HANDREIKING DIGID-ZELFEVALUATIE

Vergelijkbare documenten
HANDREIKING ENSIA EN DIGID

ENSIA guidance DigiD-assessments

Norm ICT-beveiligingsassessments DigiD

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

ENSIA guidance DigiD-assessments

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Nadere toelichting: De organisatie dient een, door beide partijen ondertekend, contract te hebben

Bijeenkomst DigiD-assessments

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Nieuw DigiD assessment

NOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

HANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

DigiD beveiligingsassessment

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

Concept HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

ENSIA voor informatieveiligheid

Jacques Herman 21 februari 2013

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

DigiD beveiligingsassessment Decos Information Solutions

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Handleiding uitvoering ICT-beveiligingsassessment

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

MKB Cloudpartner Informatie TPM & ISAE

Assurancerapport DigiD assessment Justis

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Handreiking Implementatie Specifiek Suwinetnormenkader

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

ENSIA voor Informatieveiligheid. Informatie voor Auditors

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

BABVI/U Lbr. 12/015

Norm ICT-beveiligingsassessments DigiD

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Jaarverslag Informatiebeveiliging en Privacy

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Nieuw normenkader ICT Beveiligingsassessments DigiD

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Handreiking DigiD ICT-beveiligingsassessment voor RE's

makkelijke en toch veilige toegang

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Handleiding ENSIA-tool. voor gemeenten

Format presentatie Kick-off

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Checklist informatieveiligheid. 12 januari versie 1.1

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

o n k Ö A fia* V/ \ ^ * f

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Databeveiliging en Hosting Asperion

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

Beveiligingsbeleid Stichting Kennisnet

Sr. Security Specialist bij SecureLabs

Factsheet Penetratietest Informatievoorziening

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Transcriptie:

HANDREIKING DIGID-ZELFEVALUATIE

Datum 2 augustus 2017 Versie 1 2

INHOUDSOPGAVE 1 Inleiding en achtergrond... 4 1.1 DigiD in relatie tot ENSIA... 4 1.2 DigiD en de ENSIA-tool... 5 1.3 DigiD en de auditor... 5 1.4 DigiD en ENSIA, de bouwstenen... 6 2 Praktische uitvoering hoe te beginnen... 13 3 Bijlagen... 15 3.1 Omnummertabel oude en nieuwe vormen... 15 3.2 Mogelijke verdeling normen... 17 3.3 Overzicht te verzamelen documentatie... 20 3.4 Documentstructuur voor structurering DigiD-documentatie... 23 3.5 Achtergrond DigiD... 25 3

1 Inleiding en achtergrond 1.1 DigiD in relatie tot ENSIA Vanaf 2017 wordt voor het eerst gebruik gemaakt van de ENSIA-verantwoordingsprocedure. De grootste verandering, is dat de verantwoording over DigiD onderdeel is geworden van de ENSIAzelfevaluatie en de horizontale verantwoording. Daarnaast is het DigiD-normenkader geactualiseerd. DigiD als onderdeel van ENSIA-zelfevaluatie Het opnemen van DigiD in de ENSIA-zelfevaluatie heeft een aantal effecten: 1) De rol van de gemeente ten aanzien van de DigiD-verantwoording wijzigt. 2) Het tijdspad is veranderd. Veranderde rol van de gemeente De gemeente vult zelf de DigiD-vragenlijst in als onderdeel van de ENSIA-zelfevaluatie (in de ENSIA-tool). Voorheen voorzag de auditor de gemeenten voorzag een DigiD-assessmentrapportage en maakte de auditor de afweging op welke manier bepaalde normen moeten worden getoetst (en welke bewijslast daarbij hoort). Voortaan gaan gemeenten dit zelf uitvoeren. De beoordeling van de normen vindt nu in eerste instantie plaats door de ENSIA-coördinator. Ook draagt de gemeente/ensia-coördinator zorg voor het samenstellen van de bijlagen B en C en het tijdig verkrijgen van een of meerdere TPM( s) (TPM = Third Party Mededeling). Bijlage B en C werden voorheen door de auditor verstrekt als onderdeel van het DigiD-assesmentrapport. De ENSIAcoördinator stelt tijdens de zelfevaluatie het dossier samen en benadert en contracteert een auditor. De DigiD-zelfevaluatie in de ENSIA-tool is de basis voor de collegeverklaring. In deze verklaring verantwoordt de gemeente zich onder andere over DigiD aan de gemeenteraad. De DigiDassessmentrapportage, die de auditor voorheen uitbracht, is vervangen door een assurancerapport van een bevoegd IT-auditor met een RE-kwalificatie. Deze auditor geeft door middel van een assurance-rapport aanvullende zekerheid. Hetgeen ook van belang is voor het voldoen aan de aansluitvoorwaarden voor DigiD. Zie 1.3 DigiD en de auditor voor een nadere toelichting Ander tijdspad Doordat DigiD onderdeel is van de ENSIA-zelfevaluatie, is in vergelijking met voorgaande jaren een ander tijdspad van toepassing. In het ENSIA-tijdspad is tussen 1 juli 2017 en 31 december 2017 de periode van zelfevaluatie. Voor 1 mei 2018 heeft de gemeente de collegeverklaring opgesteld en heeft de auditor het assurance-rapport gereed. Zo kan de gemeente dit uiterlijk 1 mei 2018 inleveren bij Logius. Het gewijzigde tijdspad heeft gevolgen voor de gemeenten die een deel van de DigiD-applicatie hebben uitbesteed. Veel gemeenten maken gebruik van een serviceorganisatie. Deze voert vaak, voor de gemeente, een deel van de activiteiten in het DigiD-domein uit. In dat geval legt de serviceorganisatie veelal verantwoording af door middel van een TPM-verklaring. Daar waar deze TPM s de voorgaande jaren pas beschikbaar waren in het nieuwe jaar, zijn ze momenteel eerder beschikbaar voor gemeenten vanwege de ENSIA-zelfevaluatie. De gemeenten hebben de TPM( s) namelijk nodig om de vragenlijst te completeren. De streefdatum voor het opleveren van de TPM s, door de leverancier aan de gemeenten is 15 oktober 2017. Dit zodat de gemeente voldoende tijd heeft voor de afronding van de zelfevaluatie. 4

1.2 DigiD en de ENSIA-tool In de ENSIA-tool is een aparte vragenlijst opgenomen over DigiD. Deze is opgenomen naast de generieke vragenlijst over informatiebeveiliging, op basis van de BIG. Dit is omdat de DigiDnormen uitgebreider zijn dan de BIG-normen. Daarnaast vindt de verantwoording over DigiD per DigiD-aansluiting plaats. De DigiD-vragenlijst bestaat uit zelfevaluatievragen waarbij de ENSIA-tool gemeenten ondersteunt bij het invullen. De ENSIA-tool helpt de gemeenten bij het uitvoeren van de benodigde acties en het verzamelen van de benodigde documentatie. De vormgeving en structuur van de DigiDvragenlijst is gericht op de veelal kleinere maximaal ontzorgde gemeenten die binnen het DigiDdomein taken hebben uitbesteed. De ENSIA-tool helpt deze gemeenten bij het bepalen aan welke normen de gemeente moet voldoen en welke voor serviceorganisaties of andere dienstverleners zijn. Daarnaast ondersteunt de tooling bij de levering van bijlage B en C (die de basis vormt, en input geeft, voor de collegeverklaring). De ENSIA-tool ondersteunt u bij de zelfevaluatie tot en met het aanleveren van de benodigde informatie aan Logius. Per DigiD-aansluiting dienen de vragen beantwoord te worden en de benodigde documenten te worden geüpload. Het uploaden van de documentatie kan pas na het sluiten van de vragenlijst. De vragenlijst sluit nadat deze is ingevuld. Zie Handreiking tooling op ENSIA.nl voor meer informatie over het gebruik van de ENSIA-tool. Afhankelijk van het aantal DigiD-aansluitingen van uw gemeente, dient u mogelijk meerdere assurance-rapporten en TPM s te uploaden. Met het sluiten van de vragenlijst en het uploaden van de benodigde documentatie voldoet u aan de rapportageplicht aan Logius. U hoeft niet afzonderlijk nog een DigiD assessmentrapportage op te sturen naar Logius. Indien niet voldaan wordt aan één of meerdere normen, dan komt uw gemeente terecht in het reguliere hersteltraject van Logius. U communiceert dan rechtstreeks met Logius over het verbeterplan en de verbeterrapportage, buiten de ENSIA-tool om. 1.3 DigiD en de auditor Naast de rol van de gemeenten in relatie tot DigiD, verandert ook de rol van de auditor. In plaats van een DigiD-assessmentrapportage, op het niveau van een DigiD-aansluiting, levert de auditor een assurance-rapport dat aanvullende zekerheid geeft over informatiebeveiliging. Dit laatste in relatie tot Suwinet en DigiD. Niet alleen het onderzoeksobject en de op te leveren rapportage verandert, maar ook de auditmethodiek van de auditor. De methodiek verschuift van direct auditing naar assurance. De auditor geeft in de collegeverklaring aan of de collegeverklaring waarheidsgetrouw is of niet. Daartoe neemt de auditor kennis van de ingevulde zelfevaluatie voor DigiD, inclusief de door de gemeente verzamelde documentatie. 5

1.4 DigiD en ENSIA, de bouwstenen 1.4.1. Doelstelling en scope DigiD-assessment Het ministerie van BZK heeft een algemene doelstelling voor de DigiD-assessment geformuleerd: Het verschaffen van aanvullende zekerheid over de opzet en het bestaan in een DigiDwebomgeving van een aantal beveiligingsmaatregelen die zijn gebaseerd op een selectie uit de actuele ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en die gericht zijn op enerzijds de preventie van het optreden van bedreigingen vanaf internet en anderzijds de detectie en de incident response indien deze bedreigingen zich toch manifesteren. De DigiD-assessment beperkt zich tot het beoordelen van de opzet en het toetsen van het bestaan van de beheersmaatregelen. Met opzet wordt de beschrijving van het stelstel van informatiebeveiligings- en beheersingsmaatregelen bedoeld. Het bestaan is gedefinieerd als het daadwerkelijk functioneren van een stelsel van informatiebeveiligings- en beheersingsmaatregelen, conform beschrijving op of rond een peildatum. Het kan voorkomen dat bij het uitvoeren van de audit wel voldaan is aan de opzet van beheersingsmaatregel (de maatregel is beschreven), maar dat het bestaan niet kan worden beoordeeld. Bijvoorbeeld omdat in de onderzochte periode de relevante gebeurtenis zich niet heeft voorgedaan. In dat geval wordt dit weergegeven als voldoet in het assurance-rapport en voorzien van een toelichting. 1.4.2. Alleen bestaande aansluitingen Nieuwe aansluitingen vallen buiten de ENSIA-zelfevaluatie, daarvoor geldt de bestaande aansluitprocedure. Alleen bestaande DigiD-aansluitingen vallen onder de ENSIA-systematiek. Dit roept de vraag op wanneer een DigiD-aansluiting als een nieuwe aansluiting wordt gekenmerkt. En dat ligt aan het moment waarop de betreffende DigiD-aansluiting geactiveerd is. De activatiedatum is dus van belang om te bepalen wanneer een nieuwe DigiD-aansluiting onder het reguliere regime valt. Onderstaande voorbeelden maken dit duidelijk: Voorbeeld 1: Een nieuwe DigiD-aansluiting is geactiveerd op 2 februari 2017. De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 2 april 2017, met een vrijstelling voor 12 maanden (tot 2 april 2018). De vrijstellingsdatum van 2 april valt in de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting onder de ENSIA-systematiek. Dit betekent: uiterlijk voor 1 mei 2018 een assesment-rapportage indienen over 2017. 6

Voorbeeld 2: Een nieuwe DigiD-aansluiting is geactiveerd op 15 april 2017. De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 15 juni 2017 met een vrijstelling voor 12 maanden (tot 15 juni 2018). De vrijstellingsdatum van 15 juni valt buiten de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting niet onder de ENSIA-systematiek. Dit betekent: doorschuiven naar de volgende periode (van 1 januari tot 1 mei 2019), uiterlijk voor 1 mei 2019 een assesment-rapportage indienen over 2018. Bovenstaande casuïstiek geldt bij het indienen van groene assessmentrapportages, waarin staat dat de aansluithouder voldoet aan de gestelde normen. Indien sprake is van een situatie waarin niet aan alle normen is voldaan, dan komt de gemeente terecht in een regulier verbetertraject, zie Logius.nl voor de betekenis hiervan. Praktische tip: Indien bij uw gemeente sprake is van nieuwe DigiDaansluitingen, achterhaal de activatiedatum en bepaal of de betreffende DigiD-aansluiting binnen of buiten de ENSIA-systematiek valt. 7

1.4.3. Gebruik van meer dan één DigiD-aansluiting De ENSIA-zelfevaluatie dient te worden ingevuld per DigiD-aansluiting. Dit omdat u zich als aansluithouder per aansluiting dient te verantwoorden. Dit gebeurt door middel van een DigiDassessmentrapportage. In deze rapportage worden de aansluitnaam en het aansluitnummer van uw DigiD-aansluiting vermeld. Bij gebruik van meerdere DigiD-aansluitingen mag onder bepaalde voorwaarden gebruik gemaakt worden van één DigiD-assessmentrapportage. Het gaat hierbij om de volgende voorwaarden: De DigiD-aansluitingen dienen van dezelfde aansluithouder (gemeenten) te zijn. Er is sprake van één en dezelfde serviceorganisatie/leverancier. In de rapportage wordt duidelijk onderscheid gemaakt tussen de aansluitingen. De oordelen van de auditor, zoals geformuleerd in hoofdstuk 1.5 van het template voor de DigiD-assessmentrapportage (zie Rapportage Template DigiD-assessments Houder V 2.0), zijn hetzelfde. Praktische tip: Breng in kaart of uw gemeente voldoet aan bovengenoemde voorwaarden voor het combineren van DigiD-assessments in één rapportage, indien u gebruik maakt van meer dan één DigiD-aansluiting. 8

1.4.4. Verschillende soorten gemeenten vanuit DigiD-perspectief Gemeenten kiezen zelf of ze de taken in het DigiD-domein uitbesteden of niet. Veel gemeenten kiezen voor maximaal ontzorgen en nemen de DigiD-applicatie af bij een service organisatie. Dat kan een SAAS-oplossing zijn, maar de combinatie van een hosting- en applicatieleverancier komt ook voor. Bij dit laatste kan het voorkomen dat meerdere leveranciers participeren. Een aantal (veelal) grotere gemeenten heeft gekozen voor een eigen webserver en nemen alleen applicatiediensten af. De ENSIA-systematiek is gericht op het ontzorgen van de gemeenten die gekozen hebben voor maximaal uitbesteden. Het is van belang om per DigiD-aansluiting te weten welk model uw gemeente heeft gekozen. Praktische tip: Breng in kaart over hoeveel DigiD-aansluitingen uw gemeenten beschikt en waarvoor u als aansluithouder geregistreerd staat. Breng daarnaast per aansluiting in kaart welk model uw gemeente heeft gekozen. 9

1.4.5. Positionering, stakeholders en verdeling van verantwoordelijkheden Het komt regelmatig voor dat de aansluithouder van DigiD gebruik maakt van een serviceorganisatie. Dat betekent dat de gemeente een deel van de DigiD-applicatie (inclusief beheer) heeft uitbesteed aan een leverancier. De DigiD-applicatie is de website of de webapplicatie die gebruik maakt van DigiD voor authenticatie. Er zijn verschillende varianten als het gaat om de taken en activiteiten die zijn uitbesteed binnen het domein van de DigiD-applicatie. De mate van uitbesteding is belangrijk voor de afweging wie van de partijen verantwoordelijk is voor welke werkzaamheden. Dit in relatie tot het DigiDassessment (zie verderop in dit hoofdstuk, onderdeel Verdeling van verantwoordelijkheden bij DigiD-assesment ). De meest voorkomende varianten zijn: Zowel hosting, applicatiebeheer als de implementatie zijn in handen van de gemeente. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die geen verantwoordelijkheid heeft voor de implementatie. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die bepaalde verantwoordelijkheid heeft voor de implementatie en beheerrechten heeft in de productieomgeving. Uitbesteding van applicatiebeheer en hosting onder aansturing van de gemeente (geen SAASomgeving) aan één of twee leveranciers. Volledige uitbesteding als SAAS-oplossing, waarbij wijzigingenbeheer volledig onder de leverancier valt met betrokkenheid van een gebruikersgroep. Ook andere varianten en vormen van ketensamenwerking zijn mogelijk. Het DigiD-assessment is gebaseerd op een normenset, zie Norm ICT-beveiligingsassessments DigiD. Bij het uitvoeren van het DigiD-assessment moet per norm worden bepaald welke partij verantwoordelijk is voor een norm. Ruwweg wordt deze indeling aangehouden: Normen waarvoor de aansluithouder/gemeente verantwoordelijk is; Normen waarvoor de serviceorganisatie/leverancier verantwoordelijk is; Normen waarvoor beiden een gedeelde verantwoordelijkheid hebben. Bijlage 2 bevat een overzicht van de meest voorkomende verdeling van normen over de verschillende partijen. Een apart aandachtspunt daarbij vormen de normen waarvan de serviceorganisatie/leverancier aanneemt dat ook de aansluithouder/gemeente verantwoordelijk is (ook wel de user control considerations genoemd). Dit omdat de normen bij de serviceorganisatie alleen geen voldoende zekerheid bieden voor de beheersing van de DigiD-beveiligingsrisico s. Over deze normen dient goede afstemming te bestaan tussen de partijen. Het overzicht in bijlage 2 geeft inzicht in de normen waarvoor mogelijk zowel de aansluithouder/gemeente als de serviceorganisatie/leverancier verantwoordelijk zijn. De tabel in bijlage 2 bevat, naast de kolom voor de aansluithouder, twee kolommen: hostingpartij en softwareleverancier. Het komt voor dat een gemeente gebruik maakt van twee leveranciers, een voor de hosting en een voor applicatiebeheer. Veelal wordt dit door dezelfde leverancier uitgevoerd, in dat geval worden alle normen van de serviceorganisatie/leverancier ondergebracht 10

in één TPM. Indien gebruik gemaakt wordt van twee verschillende partijen, zullen twee TPM s opgeleverd moeten worden. Praktische tip: Breng voor uw situatie per DigiD-aansluiting de verdeling van de activiteiten in kaart en daarop gebaseerd de verdeling van de normen. De tabel in bijlage 2 kan daarbij als vertrekpunt dienen in combinatie met bijlage B uit het DigiD-assessmentrapport over 2016. 11

1.4.6. TPM s als onderdeel van DigiD-assessment De leverancier of serviceorganisatie kan een deel van de vragen beantwoorden vanuit een TPM (Third Party Mededeling of memorandum). Deze dient aan te sluiten op de vragen uit de ENSIA- tool. Het is belangrijk om tijdig afspraken te maken met uw leverancier over de inhoud van de TPM (volgens het carve-out model). Deze zullen afhankelijk zijn van de diensten die u afneemt. KING heeft tijdens het leveranciersoverleg (van 31 maart en 30 juni 2017) met leveranciers afgesproken dat de TPM s over 2017 uiterlijk op 15 oktober 2017 aan gemeenten worden opgeleverd. Alle leveranciers hebben daarnaast een brief ontvangen met aanvullende informatie. Het wenselijk dat gemeenten uiterlijk 15 oktober 2017 over de TPM beschikken. Dit zodat de gemeenten tijdig de TPM inhoudelijk beoordelen en vaststellen welke normen door de TPM zijn afgedekt. U kunt voor bestaande aansluitingen niet de bestaande TPM (over de DigiD-aansluiting in 2016) gebruiken. De TPM over 2017 dient gebaseerd te zijn op versie 2 van het DigiD-normenkader, daarnaast mogen TPM s niet worden hergebruikt. Praktische tip: Maak zo snel mogelijk afspraken met uw leverancier/serviceorganisatie over het ontvangen van de TPM, waarbij 15 oktober 2017 de streefdatum is. 12

2 Praktische uitvoering hoe te beginnen Dit hoofdstuk beschrijft de te nemen stappen, afhankelijk van uw specifieke situatie kunnen bepaalde stappen niet van toepassing zijn: 1 Aansluithouder zijn en het aantal DigiD-aansluitingen Ga na of uw gemeente DigiD-aansluithouder is en over hoeveel DigiD-aansluitingen uw gemeente beschikt. Het laatste DigiD-assesment rapport kan u hierbij verder helpen. Uw gemeente is DigiD-aansluithouder als u een contract heeft met Logius. Dit contract staat op naam van de gemeente en is voor de levering van de DigiD-snelkoppeling. 2 Uitbestede taken/activiteiten Breng per DigiD-aansluiting, waarvoor u aansluithouder bent, in kaart welke activiteiten zijn uitbesteed aan welke partij(en)/serviceorganisatie(s). Per DigiDaansluiting kan dit één partij zijn, die zowel de hosting van de webapplicatie aanbiedt als het applicatiebeheer, maar ook twee partijen/leveranciers zijn mogelijk. 3 Verdeling van DigiD-normen over de partijen Maak per DigiD-aansluiting, waarvoor u aansluithouder bent, een verdeling van de te beoordelen normen over de betrokken partijen. Maak hierbij gebruik van de tabel in bijlage 2. Bekijk per norm bij welke partij deze getoetst dient te worden. Een aantal normen raakt meer dan één partij. Voor deze normen dient met de betrokken partijen afgestemd te worden wie van de partijen welke onderdelen toetst. Dit zodat daarover geen misverstand kan bestaan. Zie ook de Norea handreiking DigiD voor toelichting bij de normen, de testaanpak en de toelichting per vraag in de DigiD-vragenlijst op ENSIA.nl. 4 Vraag leveranciers/serviceorganisaties om de TPM( s) Benader bij DigiD-aansluitingen betrokken partijen over de op te leveren TPM( s). De streefdatum is 15 oktober 2017. Op deze manier heeft u voldoende tijd om de uitkomsten van de TPM te verwerken in de zelfevaluatie. De TPM dient gebaseerd te zijn op versie 2.0 van het normenkader (zie Norm DigiD-assessments ). 5 Maak afspraken met een auditor Benader een daartoe bevoegde (RE-)auditor voor afspraken over het op te leveren DigiD-assessmentrapport en de assurance-rapportage. Let op, het assurance-rapport gaat indirect over DigiD. De auditor stelt een assurance-rapport op met betrekking tot de door de gemeente opgestelde collegeverklaring. Deze collegeverklaring gaat over informatiebeveiliging bij het gebruik van DigiD én Suwinet. Het Format Assurance rapport en Format Collegeverklaring dienen als voorbeeld. Maak afspraken met de auditor over de timing van de werkzaamheden, de opleverdatum van de assurancerapportage (uiterlijk april 2018) en de wederzijdse verwachtingen ten aanzien van op te leveren documenten en uit te voeren acties. 6 Ga aan de slag met de normen voor de aansluithouder/gemeente Ga aan de slag met de eigen normen die van toepassing zijn voor u als aansluithouder/gemeente. Beoordeel de normen, breng in kaart waar u staat als gemeente en zet eventuele to-do s op een rij. Neem passende acties indien van toepassing. De Norea handreiking DigiD en de toelichting in de ENSIA-tool (bij de vragen in de DigiD-vragenlijst) bieden handreiking over de interpretatie van de normen. Deze kunnen u helpen bij de zelfevaluatie. 7 Vul de vragenlijst in en verzamel de benodigde documentatie Vul de vragenlijst in en verzamel de benodigde documentatie. Zie bijlage 3 voor een overzicht van benodigde documentatie en vergeet niet ervoor te zorgen dat de TPM s 13

tijdig worden ontvangen. Bijlage 3 bevat een overzicht van de op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM-verklaring, vervalt uiteraard de documentatieplicht voor de aansluithouder/gemeente. Bijlage 4 bevat een voorbeeld van een documentstructuur die u kunt toepassen om de verzamelde documentatie overzichtelijk te archiveren. 8 Beoordeel de TPM( s) Beoordeel na ontvangst de TPM( s) en weeg af welke normen voor welk gedeelte zijn afgedekt. Wellicht heeft dit gevolgen voor de acties en beantwoording van de vragen bij uw eigen normen. Hiervoor heeft u de tijd in de periode tussen 15 oktober 2017 en 31 december 2017. 9 Completeer de vragenlijst en upload de documentatie Completeer indien nodig de vragenlijst voor de zelfevaluatie. Download bijlage B en C uit de ENSIA-tool, en vul deze aan. In Bijlage B dient u een overzicht van de DigiDarchitectuur op te nemen. U kunt hierbij het overzicht uit de DigiD-assurancerapportage van afgelopen jaar als vertrektpunt nemen. Deze kan zelfs overgenomen worden indien er geen wijzigingen zijn geweest in en rondom de DigiD-applicatie. Upload de benodigde documentatie: bijlage B en C DigiD-assessmentrapportage, het assurancerapport en de onderliggende TPM s en de collegeverklaring. 14

3 Bijlagen 3.1 Omnummertabel oude en nieuwe normen Voor bestaande DigiD-aansluitingen wordt een nieuw normenkader gehanteerd: Norm ICT-beveiligingsassessments DigiD versie 2.0. Deze is gebaseerd op nieuwe beveiligingsrichtlijnen voor webapplicaties (zoals opgesteld door het NCSC en in combinatie met de uitkomsten van de analyse van de resultaten van ICT-beveiligingsassessments DigiD van de afgelopen jaren). Ten opzichte van de Norm v1.0, zijn in de Norm v2.0 een aantal normen vervangen. Daarnaast zijn de nummering en terminologie van de nieuwe beveiligingsrichtlijnen gehanteerd. Onderstaande tabel bevat de omnummering voor de oude en nieuwe normen. Oude norm Nieuwe norm Omschrijving norm B0-14 B.05 In een contract met een derde partij, voor de uitbestede levering of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. B0-12 U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen op voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. geen U/WA.02 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. B3-1 U/WA.03 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. B3-4 U/WA.04 De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. B5-3 U/WA.05 De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. B3-2 U/PW.02 De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. B3-16 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. B2-1 U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. B0-6 U/PW.07 Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. 15

B1-1 U/NW.03 Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. B7-1 U/NW.04 De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. B1-2 U/NW.05 Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. B0-6 U/NW.06 Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. B0-9 C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). B0-8 C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). B7-1 C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. B7-8 C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. B0-5 C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. B0-7 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen. 16

3.2 Mogelijke verdeling normen Norm Omschrijving norm Aansluithouder /gemeente Hostingpartij Softwareleverancier B.05 In een contract met een derde partij voor de uitbestede levering U/TV.01 U/WA.02 U/WA.03 U/WA.04 U/WA.05 U/PW.02 of beheer van een webapplicatie (als dienst) zijn de beveiligingseisen en-wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. U/PW.03 De webserver is ingericht volgens een configuratie-baseline. U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van 17

U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. 18

C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. 19

3.3 Overzicht te verzamelen documentatie Onderstaande tabel bevat een totaal overzicht van de mogelijk op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM verklaring, vervalt uiteraard de documentatieplicht voor de aansluithouder/gemeente. Norm Omschrijving norm Op te leveren documentatie B.05 In een contract met een derde partij, voor de uitbestede levering U/TV.01 U/WA.02 of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. De organisatie dient een, door beide partijen ondertekend, contract te hebben waarin tenminste de volgende zaken zijn opgenomen: een beschrijving van de diensten die onder het contract vallen; de van toepassing zijnde leveringsvoorwaarden; informatiebeveiligingeisen met de relevante eisen vanuit het beveiligingsbeleid; het melden van beveiligingsincidenten en datalekken; de behandeling van gevoelige gegevens; wanneer en hoe de leverancier toegang tot de systemen/data van de gebruikersorganisatie mag hebben; Service Level Reporting; het jaarlijks uitvoeren van audits bij de leverancier(s); beding dat deze voorwaarden back-to-back worden doorgegeven aan mogelijke subleveranciers. Het beveiligingsbeleid, joiners/movers/leavers-procedure, de autorisatieprocedure, afspraken met leveranciers met betrekking tot de toegang tot systemen & data en andere gerelateerde documenten. Inspecteer de functie/taakbeschrijvingen van beheerders, de autorisatiematrix en het autorisatiebeheerproces. 20

U/WA.03 U/WA.04 U/WA.05 U/PW.02 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. Geen documentatie van toepassing. Geen documentatie van toepassing. Overzicht van de classificatie van gegevens en daaraan gerelateerde risicoanalyse, de netwerkarchitectuur (HTTPS en TLS-configuraties) en het inrichtingsdocument waar de encryptie van gegevens in staat beschreven. Geen documentatie van toepassing. U/PW.03 De webserver is ingericht volgens een configuratie-baseline. De configuratie-baseline van de webserver. U/PW.05 U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. Het (operationele) beleid met betrekking tot het gebruik van beheervoorzieningen en de daarbij vereiste authenticatie. Hardeningsrichtlijn. Netwerkarchitectuurschema, inclusief een overzicht van de toegestane verkeersstromen tussen netwerksegmenten. Het netwerkarchitectuurschema, de inrichtingsdocumentatie en de beheerprocedure van de IDS/IPS. Inrichtingsdocument waaruit blijkt op welke wijze contentbeheer (web- en databasecontent), applicatiebeheer en technisch beheer worden uitgeoefend en het netwerkarchitectuurschema. Hardeningsrichtlijn. 21

C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. Vulnerabilityassessmentrapport, het actieplan naar aanleiding van de vulnerabilityassessment en het statusrapport met betrekking tot de bevindingen. Penetratietestrapport, het actieplan naar aanleiding van de penetratietest en het statusrapport met betrekking tot de bevindingen. Configuratiedocument waarin de alarmsituaties en drempelwaarden in het IDS/IPS staan beschreven, inclusief het genereren van de bijbehorende alerts. Het incidentbeheerproces inclusief de inbedding van alert-afhandeling en de escalatieprocedure. De procedurebeschrijving met betrekking tot de logging, vastlegging van de periodiek review van de logging, periodieke rapportage aan het management en follow-up acties naar aanleiding van de review en analyse van de logging. De wijzigingsprocedure en documentatie over de inrichting van de OTAP-omgeving. Patchmanagementbeleid. 22

3.4 Documentstructuur voor structurering DigiD-documentatie De documentenstructuur is een handreiking voor het bewaren van de evidence bij de DigiD-vragenlijst in de ENSIA-tool. Een mogelijk structuur is: Algemeen (evidence die hoort bij vragen voor alle aansluitingen). Aansluiting 1 (evidence bij de vragen per aansluiting, met apart mapje per aansluiting): o Norm: B.05 o Norm: U/TV.01 o Norm: U/WA.02 o Norm: U/WA.03 o Norm: U/WA.04 o Norm: U/WA.05 o Norm: U/PW.02 o Norm: U/PW.05 o Norm: U/PW.07 o Norm: U/NW.03 o Norm: U/NW.04 o Norm: U/NW.05 o Norm: U/NW.06 o Norm: C.03 o Norm: C.04 o Norm: C.06 o Norm: C.07 o Norm: C.08 o Norm: C.09 Aansluiting 2 (eventueel aparte submappen voor de U-groep, C-groep, et cetera.) o Norm: B.05 o Norm: U groep Norm: U/TV.01 Norm: U/WA.02 Norm: U/WA.03 Norm: U/WA.04 Norm: U/WA.05 Norm: U/PW.02 Norm: U/PW.05 Norm: U/PW.07 Norm: U/NW.03 23

Norm: U/NW.04 Norm: U/NW.05 Norm: U/NW.06 o Norm: C Norm: C03 Norm: C.04 Norm: C.06 Norm: C.07 Norm: C.08 Norm: C.09 o Norm: groep PM Aansluiting 3. Geef in de mapnamen de referentie van de norm weer, zoals in de titel van de vraag in de ENSIA-tool staat. Mogelijk is een clustering handig. Een voorstel voor clustering is weergegeven onder Aansluiting 2. Voor mapvolgorde is de volgorde aangehouden zoals die van de normen in de vragenlijst. 24

3.5 Achtergrond DigiD Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot uw digitale dienstverlening. Veel gemeenten maken gebruik van DigiD. Aan het gebruik van DigiD worden eisen gesteld voor de aansluithouders. Eén daarvan is dat alle DigiD gebruikende organisaties hun ICTbeveiliging getoetst dienen te hebben op basis van een ICT-beveiligingsassessment (bron: Brief minister van BZK aan de Tweede Kamer: Lekken in een aantal gemeentelijke websites, d.d. 11 oktober 2011, kenmerk: 2011 20000454268). Dit ICT-beveiligingsassessment dient jaarlijks te worden herhaald. Het assessment wordt uitgevoerd op basis van een normenset die is samengesteld door NCSC in overleg met VNG/KING. De normenset gaat in op alle aspecten die van belang zijn bij het vaststellen van veilige informatie-uitwisseling (zie document Norm DigiD assessments DigiD ). De hoofddoelstelling van het verplichte assessment en onderliggende normen is het waarborgen van het vertrouwen van de burger in de elektronische overheidsdienstverlening. Op hoofdlijnen zijn hierbij drie aspecten van belang: a. De beveiliging van een webapplicatie die gebruik maakt van DigiD moet op orde zijn; b. Detectieve maatregelen moeten aanwezig zijn, waarmee misbruik van een eventuele kwetsbaarheid in de webapplicatie wordt gedetecteerd; c. Een toereikende incidentmanagementprocedure dient aanwezig te zijn, waarmee adequaat kan worden gereageerd op een incident en gevolgschade kan worden beperkt. 25

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback