Checklist informatieveiligheid 12 januari 2017 - versie 1.1
ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in het totale beheer van uw systeem en in uw organisatie? Voert u actief risicomanagement uit? Zijn alle ICT-componenten inclusief de onderlinge relaties vastgelegd en wordt dit overzicht permanent onderhouden? Maakt u gebruik van een hardingsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen? Test u alle wijzigingen altijd eerst voordat deze in productie worden genomen en worden deze wijzigingen via wijzigingsbeheer doorgevoerd? De beveiliging van informatie is bij alle stappen van het proces continu punt van aandacht. Zowel hardware als software worden proactief gemonitord. Taken, verbanden en verantwoordelijkheden zijn in een proces vastgelegd, welke wordt aangepast indien wijzigingen optreden. Een actieplan is terug te vinden in de procesbeschrijving. HR Appstore maakt gebruik van een OTAP straat in combinatie met een versiebeheersysteem. Alle software wijzigingen doorlopen diverse test stadia voordat deze in productie genomen worden. Door het versiebeheersysteem kunnen wijzigingen ongedaan gemaakt worden. 2
Beschrijving van de beveiligingsrichtlijn Worden de laatste (beveiligings)patches tijdig geïnstalleerd en worden deze volgens een patchmanagement proces doorgevoerd? Voert u penetratietests periodiek uit? Heeft u een toereikend recovery proces ingericht waar back-up en restore onderdeel van uit maakt? Heeft u maatregelen ontworpen en ingericht met betrekking tot toegangsbeveiliging/toegangsbeheer? Legt u afspraken met uw leveranciers/onderaannemers vast in een overeenkomst? Heeft u maatregelen tegen (d)dos aanvallen geïmplementeerd? Deze acties worden uitgevoerd door de provider. Penetratietests worden niet op vaste data/tijden uitgevoerd. Dagelijks wordt van de databases een full back-up gemaakt en snapshots van de systemen. De retentie van de back-up is 1 maand. Toegang tot de applicatie wordt verleend met gebruikersnaam en wachtwoord. Hiervoor wordt gebruik gemaakt van het HTTPS protocol. Toegang tot de serveromgeving wordt verleend met VPN (gebruikersnaam en wachtwoord). Alle leveranciers en partners worden verbonden aan een overeenkomst met strikte geheimhoudingsbepalingen. Medewerkers tekenen bij indiensttreding een geheimhoudings- en integriteitsverklaring. Beheer- en testapplicaties worden op basis van IP-adres gefilterd. 3
Beschrijving van de beveiligingsrichtlijn Maakt u gebruik van lokale firewalls? Valideert de webapplicatie de inhoud van een HTTPrequest voordat deze wordt gebruikt? Maakt de webserver alleen gebruik van de hoogst noodzakelijke HTTP-methoden? Controleert de webapplicatie voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisatie heeft? Normaliseert de webapplicatie invoerdata voor validatie? Gebruikt de webapplicatie voor het raadplegen en/of wijzigen van gegevens in de database alleen geparametriseerde query's? Alle standaard HTTP requests worden door de server geaccepteerd. Deze zijn HEAD, GET, PUT en POST. Standaard onderdeel van de applicatie server functionaliteit (.NET). 4
Beschrijving van de beveiligingsrichtlijn Valideert de webapplicatie alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde? Beperkt de webserver de informatie, bij het optreden van een fout, aan de gebruiker tot een minimum in een HTTPresponse? Voert u periodiek een code review uit? Is er expliciete functionaliteit aanwezig om uit te loggen (het verbreken van de sessie), daar waar de gebruiker en/of beheerder kan inloggen op de webapplicatie. Maakt u gebruik van versleutelde (HTTPS) verbindingen? Slaat u gevoelige gegevens versleuteld of gehashed op? Versleuteld u de cookies? Synchroniseert u de systeemklokken van alle servers? Heeft u Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging adequaat vastgesteld. Alle data wordt aan de serverzijde ge(her)valideerd. De HTTP-response is een gebruikersvriendelijke boodschap. Alle website hebben een HTPPS verbinding. Gevoelige gegevens als wachtwoorden en data. 5
Additionele Security en beschikbaarheidsrichtlijnen Beschrijving van de beveiligingsrichtlijn Wordt er gebruik gemaakt van DNSSEC voor DNSservices? Heeft u een wachtwoordbeleid voor uw applicatie (beschrijf deze) en welke technische maatregelen zijn genomen om sterke wachtwoorden af te dwingen? Heeft u een procedure voor het wijzigen van wachtwoorden en op welke wijze is geregeld dat dit op de veilige manier plaatsvindt. Gebruikt u crypto grafische protocollen zoals SSL en/of TLS en welke versies? Zijn de SSL-certificaten op een trusted niveau vastgesteld en zo ja, welke: EV (Extended validation, hoog niveau), organisatie validatie (midden-hoog niveau), domeinnaam validatie (laagste niveau) of het hoogste niveau van PKI? HR Appstore heeft zelf geen DNS servers. Voor DNS requests worden de DNS servers van onze hostingproviders gebruikt. Een gebruikerswachtwoord dient minimaal 8 karakters, 1 cijfer, 1 hoofdletter en 1 speciaal karakter te bevatten. De gebruiker kan zijn/haar wachtwoord binnen de ingelogde omgeving wijzigen in zijn/haar profiel. Als een gebruiker zijn/haar wachtwoord is vergeten kan deze via de site middels een link in een email resetten. Verificatie via email wordt afgedwongen. TLS v1.2 Ja, extended valiation 6
Vraag Is het mogelijk dat informatie in de database versleuteld opgeslagen wordt m.b.v. een certificaat van de gegevenseigenaar? Beschikt u in het kader van informatiebeveiliging over een ISO27001 certificering of een andere assurance (ISAE3000/ISAE3402) verklaring? Bent u als leverancier bereid om mee te werken aan een penetratietest, uitgevoerd in opdracht van opdrachtgevers op elk gewenst moment door een externe onafhankelijke partij? Heeft u als leverancier de broncode en technische documentatie betreffende product ten behoeve van opdrachtgevers gedeponeerd bij een escrow leverancier? Wat zijn de garanties dat de opdrachtgevers in alle gevallen eigenaar blijft van de gegevens? Is de van toepassing zijnde wet- en regelgeving in het land waar de data is opgeslagen in overeenstemming met de Nederlandse wet- en regelgeving? Provider is ISO27001 gecertificeerd. Ja, indien op afspraak en op kosten van de externe partij Het eigendom van de gegevens is in een overeenkomst vastgelegd. Alle data binnen de HR Appstore applicatie wordt opgeslagen op de servers van Provider in NL (Previder.nl). 7
Vraag Is authenticatie (toegang tot de applicatie) en autorisatie (toegang binnen de applicatie) geregeld en zo ja: op welke wijze? Geeft u garanties m.b.t. de beschikbaarheid van het systeem? Heeft u een onderhoudswindow ingeregeld (periode waarbinnen het systeem niet beschikbaar is vanwege onderhoud), zo ja: welke (beschrijven)? Geeft u garanties af m.b.t. gemiddelde en maximale response tijd voor de interactieve toepassingen, zo ja: welke (beschrijven)? Is de applicatie inclusief de onderliggende gegevensopslag schaalbaar, zo ja: op welke wijze (beschrijven)? Toegang tot de applicatie wordt verleend met gebruikersnaam en wachtwoord. De rol van de gebruiker bepaald welke informatie te zien is en functionaliteiten beschikbaar worden gesteld. Ja, deze garanties zijn beschreven in de SLA. Ja, deze periodes zijn beschreven in de SLA. Ja, zie SLA. Ja, het is mogelijk om zowel op hardware niveau (aantal CPU s, memory, storage) alsook horizontaal te schalen. 8
Vraag Is de schaalbaarheid van de applicatie en onderliggende gegevensopslag onderdeel van de standaard dienstverlening? Worden alle klanten waarop het betrekking heeft ingelicht op het moment dat er zich een beveiligingsincident heeft voorgedaan? Voldoet u als cloud provider aantoonbaar aan van toepassing zijnde Nederlandse wet- en regelgeving? De cloud provider mag tijdens de looptijd van de overeenkomst niet eenzijdig belangrijke wijzigingen doorvoeren in de dienstverlening? Is de vernietigingsprocedure van archiefbescheiden en backups zowel in de cloud als intern, beschreven en geborgd. In het geval van een beveiligingsincident informeren wij de betrokkenen over de consequentie(s), oplossing(en) en planning. Wij werken in deze situaties conform regels van Autoriteit Persoonsgegevens. Alle data binnen de HR Appstore applicatie wordt opgeslagen op de servers van Provider in NL (Previder.nl). Gebruikers kunnen hun sollicitatiegegevens anonimiseren, waarna de gedepersonaliseerde gegevens beschikbaar blijven voor statische doeleinden (rapportage). 9
Vragen? 023 55 30 359 info@hroffice.nl