Assurance-rapport en Verantwoording 2011 Producten van Logius

Assurance-rapport en Verantwoording 2011 Producten van Logius DigiD Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Haagse Ring (onderdeel van Diginetwerk)

Datum Status

18 mei 2012 Definitief

Definitief| Assurance-rapport en Verantwoording 2011 | 18 mei 2012

Colofon

Projectnaam Versienummer Organisatie

Assurance-rapport en Verantwoording 2011 1.0 Servicecentrum Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 [email protected]

Bijlage(n)

Lijst met afkortingen Beheersdoelstellingen

Auteurs

Verantwoording: Logius Assurance-rapport: Auditdienst Rijk

Pagina II


Woord vooraf

Logius, dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, biedt publieke dienstverleners een samenhangende ICT-infrastructuur, zodat burgers en bedrijven eenvoudig, snel, groen en betrouwbaar elektronisch zaken met hen kunnen doen. Logius geeft haar klanten sinds 2008 door middel van een Assurancerapport en Verantwoording inzicht in de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de belangrijkste uitontwikkelde producten. Het Assurance-rapport en de Verantwoording die voor u liggen, hebben betrekking op de opzet, het bestaan en de werking van DigiD voor Burgers (hierna: DigiD), Digipoort op de koppelvlakken SMTP, X.400, FTP en POP3 (hierna: Digipoort) en Haagse Ring (onderdeel van Diginetwerk) in de periode 1 januari 2011 tot en met 31 december 2011 (hierna: onderzoeksperiode), met dit jaar bijzondere aandacht voor fraudebestrijding. In de Verantwoording is de conclusie van Logius weergegeven, mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd door de Auditdienst Rijk (ADR) en Deloitte. De Verantwoording wordt geverifieerd en dit komt tot uiting in het Assurancerapport, waarin ADR een oordeel geeft over de juistheid en volledigheid van de Verantwoording van Logius. De Verantwoording en het Assurancerapport zijn onlosmakelijk met elkaar verbonden. Door incidenten in 2011 op het gebied van continuïteit en beveiliging, waaronder Diginotar en Lektober, staat Logius in het front van de (politieke) belangstelling, niet in de laatste plaats vanwege het gebruik van de producten van Logius in diverse bedrijfskritieke klantprocessen met burgers en bedrijven in Nederland. Met name het beveiligingsaspect komt daarmee in een ander daglicht te staan. De onderzoeken geven daar uiting aan: verscherpte controle op de uitvoering. De opzet van de onderzoeken en de rapportage over 2010 is geëvalueerd met een aantal grote klanten. De opzet en uitvoering van de onderzoeken zijn gelijk gebleven aan voorgaande jaren. De opzet van de Verantwoording is naar aanleiding van de evaluatie gewijzigd in een kortere en bondigere rapportage. Voor Logius is het Assurance-traject ook een interne prikkel om onze dienstverlening te blijven verbeteren. De resultaten van het Assuranceonderzoek over 2011 hebben inmiddels geleid tot een aantal intensieve gesprekken met leveranciers. Logius en leveranciers zijn reeds gestart met het oppakken van verbeterpunten om de dienstverlening te borgen die u van Logius mag verwachten. Incidenten, media-aandacht en audits zijn ook een prikkel voor u als klant. Denk bijvoorbeeld aan de verscherpte beveiligingsnormen voor organisaties die DigiD gebruiken. Pagina III


Wij bouwen graag samen met u verder aan elektronische dienstverlening, met blijvende aandacht voor verbetering. Met vriendelijke groet, Steven Luitjens Directeur Logius

Pagina IV


Assurance-rapport Auditdienst Rijk

Geadresseerde Dit Assurance-rapport is bestemd voor de huidige en potentiële afnemers van Logius van de producten DigiD, Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) (hierna Digipoort) en Haagse Ring (onderdeel van Diginetwerk). Het rapport dient uitsluitend in samenhang met de Verantwoording over de periode 1 januari tot en met 31 december 2011 over deze producten te worden verstrekt en heeft als doelstelling aanvullende zekerheid te geven over de juistheid en volledigheid van deze Verantwoording. Opdracht Ingevolge de opdracht van 5 juli 2007 met kenmerk 2007-238442 en de aanvullende opdracht van 30 augustus 2011 met kenmerk RAD/2011/541 hebben wij de Verantwoording van Logius van 18 mei 2012, waarin de in de periode 1 januari tot en met 31 december 2011 beoogde en geïmplementeerde maatregelen en procedures bij Logius en betrokken leveranciers zijn opgenomen ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD, Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) en het tactisch beheer van Haagse Ring (onderdeel van Diginetwerk) beoordeeld. Reikwijdte en gehanteerde normen In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten: beschikbaarheid: de mate waarin een object conform afspraken beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; integriteit: de mate waarin de verwerking van de ingevoerde gegevens juist, volledig en tijdig verloopt en de programma‟s en bestanden ongeschonden blijven; exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is om vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. Bij deze opdracht zijn wij uitgegaan van de door Logius vastgestelde beheerdoelstellingen en normen (op te vragen bij Logius). Deze sluiten aan op algemeen aanvaarde uitgangspunten en op de contracten tussen Logius en haar leveranciers. Logius heeft zorg gedragen voor de afstemming van de beheerdoelstellingen en normen met een vertegenwoordiging van haar Programmaraad. De normen zijn voldoende concreet en volledig om uitgaande hiervan de inhoud van de Verantwoording te kunnen onderzoeken. Verantwoordelijkheden en werkzaamheden De Verantwoording is opgesteld onder verantwoordelijkheid van de directeur van Logius. Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel over deze Pagina V


Verantwoording te geven. Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de Nederlandse richtlijnen voor assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid. Onze belangrijkste werkzaamheden waren: het verkrijgen van inzicht in relevante kenmerken van Logius en haar leveranciers; het reviewen van de werkzaamheden, dossier en rapportage van de externe auditor van de leverancier van Digipoort, gericht op het beoordelen van de opzet en op het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures bij de externe leverancier van Digipoort; het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico‟s in de externe omgeving en de betrokken organisaties en het onderzoeken in hoeverre deze risico‟s worden afgedekt door maatregelen en procedures en het beoordelen van de plausibiliteit van de informatie in de Verantwoording; het beoordelen van de opzet en het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures; het onderzoeken van de juistheid en volledigheid van de informatie in de Verantwoording, mede gelet op de informatiebehoeften van de huidige en potentiële afnemers van de producten van Logius; het evalueren van het algehele beeld van de Verantwoording, inclusief het beoordelen van de consistentie van de informatie, aan de hand van de bovengenoemde normen. Oordeel Op grond van ons onderzoek zijn wij van oordeel dat de in de verantwoording van Logius opgenomen informatie over de maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD, Digipoort en Haagse Ring bij Logius en haar leveranciers betreffende het tijdvak 1 januari 2011 tot en met 31 december 2011 juist en volledig is. Toelichting op het oordeel De producten DigiD, Digipoort en Haagse Ring zijn bouwstenen voor de realisatie van betrouwbare digitale diensten. Organisaties dienen zich ervan bewust te zijn dat het toepassen van één of meerdere van deze bouwstenen alleen niet voldoende is om een betrouwbare digitale dienst te realiseren. Hiervoor dient de betreffende organisatie een analyse uit te voeren van de beveiligingseisen die samenhangen met het karakter van de eigen digitale dienstverlening. Vervolgens dient de organisatie vast te stellen dat de in de digitale dienstverlening gebruikte componenten gezamenlijk toereikend invulling geven aan de beveiligingseisen. Voor de producten DigiD, Digipoort en Haagse Ring kan hiervoor gebruik worden gemaakt van de informatie van Logius, waaronder de informatie die in deze Verantwoording is opgenomen.

Pagina VI


Ondanks dat ons oordeel zich positief uitspreekt over de juistheid en volledigheid van deze Verantwoording, wijzen wij de lezer erop dat gedurende de verantwoordingsperiode op een aantal onderdelen niet voldoende invulling is gegeven aan de afgesproken normen voor DigiD en Digipoort. Voor nadere informatie verwijzen wij voor DigiD naar paragraaf 3.5 van de Verantwoording en voor Digipoort naar paragraaf 4.5 van de Verantwoording. In de Verantwoording van Logius wordt gesteld dat het doel is om met de implementatie van DigiD 4.1 de bij Applicatie- en Infrastructuurbeheer (paragraaf 3.3.1) en de Dienstspecifieke beheersmaatregelen DigiD (paragraaf 3.4) geconstateerde tekortkomingen te adresseren. Wij benadrukken dat wij dit niet hebben onderzocht, daar onze werkzaamheden de periode 1 januari 2011 tot en met 31 december 2011 betroffen en DigiD 4.1 toen nog niet geïmplementeerd was. De opvolging van deze tekortkomingen zal worden beoordeeld tijdens het onderzoek over 2012.

Den Haag, 18 mei 2012 Auditdienst Rijk

mr. drs. J. Roodnat RE RA Clustermanager ADR

mw. drs. C.N. de Vette RE Audit Manager

Pagina VII

Definitief | Assurance-rapport en Verantwoording 2011 | 18 mei 2012

Inhoud

Colofon .................................................................................................................. II Woord vooraf................................................................................................... III Assurance-rapport Auditdienst Rijk .................................................... V Inhoud .................................................................................................................... 1 1

2

3

Managementsamenvatting.................................................................. 3 1.1

Algemeen .................................................................................................. 3

1.2

DigiD ........................................................................................................... 3

1.3

Digipoort ................................................................................................... 4

1.4

Haagse Ring ............................................................................................. 4

Inleiding ......................................................................................................... 5 2.1

Algemeen .................................................................................................. 5

2.2

Normstelling ............................................................................................ 6

2.3

Totstandkoming van de Verantwoording ...................................... 6

2.4

Leeswijzer ................................................................................................. 6

Bevindingen DigiD .................................................................................... 8 3.1

Algemeen .................................................................................................. 8

3.2

Tactisch beheer ...................................................................................... 9

3.3 Operationeel beheer ............................................................................. 9 3.3.1 Applicatie- en infrastructuurbeheer ......................................... 9 3.3.2 Print- en maildienstverlening ................................................... 10 3.3.3 Callcenter......................................................................................... 10 3.3.4 Ondersteuning SMS-authenticatie ......................................... 10

4

3.4

Dienstspecifieke beheersingsmaatregelen DigiD ..................... 11

3.5

Conclusie ................................................................................................. 11

Bevindingen Digipoort ......................................................................... 13 4.1

Algemeen ................................................................................................ 13

4.2

Tactisch beheer .................................................................................... 13

4.3 Operationeel beheer ........................................................................... 14 4.3.1 Applicatie- en infrastructuurbeheer ....................................... 14

5

4.4

Dienstspecifieke beheersingsmaatregelen Digipoort ............. 14

4.5

Conclusie ................................................................................................. 15

Bevindingen Haagse Ring .................................................................. 16 5.1

Algemeen ................................................................................................ 16

5.2

Rolverdeling en inrichting beheer.................................................. 16 Pagina 1


5.3

Aansluitvoorwaarden Haagse Ring ............................................... 17

5.4

Informatiebeveiliging Haagse Ring ............................................... 17

5.5

Conclusie ................................................................................................. 17

Bijlage I Lijst met afkortingen.............................................................. 18 Bijlage II Beheersdoelstellingen .......................................................... 19

Pagina 2


1

Managementsamenvatting

1.1

Algemeen Logius is verantwoordelijk voor het beheer en de verdere (door)ontwikkeling van de producten DigiD, Digipoort en Haagse Ring. Voor de klanten binnen de overheid en gelieerde organisaties is het betrouwbaar en veilig functioneren van deze producten van groot belang in hun keten van dienstverlening aan burgers en bedrijven. Met de Verantwoording inclusief Assurance-rapport geeft Logius aanvullende zekerheid aan haar klanten over de kwaliteit van haar belangrijkste producten. De Verantwoording van Logius is mede gebaseerd op de uitkomsten van onderzoeken die door de Auditdienst Rijk (ADR) zijn uitgevoerd naar de producten DigiD, Digipoort en Haagse Ring. De in de Verantwoording beschreven situatie heeft betrekking op de periode 1 januari 2011 tot en met 31 december 2011 (hierna: onderzoeksperiode). De onderzoeken zijn uitgevoerd aan de hand van normenkaders met als doel geïmplementeerde maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD, Digipoort en Haagse Ring vast te stellen. Voor het opstellen van de normenkaders is gebruik gemaakt van wet- en regelgeving, contracten met leveranciers en algemeen aanvaarde standaarden.

1.2

DigiD Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. De DigiD dienstverlening heeft in 2011 grotendeels de gestelde beheersdoelstellingen gehaald. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer betreft applicatie- en infrastructuurbeheer, print- en maildienstverlening, callcenteractiviteiten, sms-authenticatie en dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD. Het operationeel beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen, die zijn vermeld in bijlage II. Een aantal belangrijke beheersdoelstellingen is echter niet gehaald. Access management behoeft bij meerdere leveranciers verbetering. Voor applicatie- en infrastructuurbeheer zijn er daarnaast tekortkomingen op het gebied van Security management en Infrastructure management. Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD is sprake van tekortkomingen met betrekking tot de wijze van inloggen door de beheerders van Logius, applicatielogging en cryptografie. Fraudebestrijding blijft een aandachtspunt. Wanneer de genoemde verbeterpunten en tekortkomingen met betrekking tot tactisch en operationeel beheer worden bezien over de keten van de DigiD dienstverlening waar Logius verantwoordelijk voor is, trekt Logius de conclusie dat aan het kwaliteitsaspect beschikbaarheid voldoende invulling is gegeven. Aan de kwaliteitsaspecten beveiliging en beheersbaarheid is matig invulling gegeven en er zijn belangrijke aandachtspunten, met name met betrekking tot het applicatie- en Pagina 3


infrastructuurbeheer en de dienstspecifieke beheersmaatregelen applicatie DigiD die de meest kritieke onderdelen zijn in de keten van DigiD dienstverlening. Het doel is met de implementatie van DigiD 4.1 in mei 2012 onder andere een aantal belangrijke tekortkomingen ten aanzien van de beveiliging van DigiD weg te nemen. Dit zal door Auditdienst Rijk worden beoordeeld bij het onderzoek over 2012.De overige tekortkomingen worden separaat opgepakt door Logius en leveranciers. 1.3

Digipoort Logius is verantwoordelijk voor het tactisch en operationeel beheer van Digipoort. De aan de Digipoort dienstverlening gestelde operationele beheersdoelstellingen zijn in 2011 grotendeels niet gehaald. Het tactisch beheer geeft over het algemeen in voldoende mate invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer geeft onvoldoende invulling aan de eisen die voortvloeien uit de beheersdoelstellingen. De volledigheid en tijdigheid van de berichtenverwerking door Digipoort is middels logging controleerbaar en dit is door de leverancier bewaakt. De verwerking van de overeengekomen werklast door Digipoort is geborgd. De beschikbaarheid van de Digipoort-dienstverlening was over geheel 2011 gemeten boven de norm. De belangrijkste tekortkomingen zijn gerelateerd aan de beheersdoelstellingen op het gebied van Security & Infrastructure Management, Access Management, Continuity Management en Operations Management. De leverancier heeft in april 2012 verbeteringen met betrekking tot Continuity Management doorgevoerd. Logius heeft afspraken gemaakt met de leverancier en toezicht ingericht op basis van rapportages die door de externe auditor van de leverancier worden gereviewd om te borgen dat de overige materiële tekortkomingen op 1 juli 2012 zijn weggenomen.

1.4

Haagse Ring Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. De basis voor Haagse Ring is een mantelovereenkomst tussen alle 'aangesloten organisaties', Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het ministerie van Defensie. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. De beheersmaatregelen voor het tactisch beheer van Haagse Ring worden in voldoende mate uitgevoerd.

Pagina 4


2

Inleiding

2.1

Algemeen Als onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is Logius de regieorganisatie die samen met klanten, partners en leveranciers de e-overheid groot maakt. Dit doet Logius door te zorgen voor overheidsbrede, samenhangende ICTproducten. Of het nu gaat om digitale dienstverlening aan burgers, aan bedrijven of samenwerking tussen overheden. Logius stimuleert organisaties met een publieke taak om de producten breed toe te passen en is verantwoordelijk voor het beheer en de verbetering van haar producten en diensten. Zo is Logius de drijvende kracht achter de digitale overheid. Logius, in januari 2006 opgericht onder de naam GBO.Overheid, is sinds 1 januari 2010 een baten-lastendienst van het ministerie van BZK. Logius werkt in opdracht van verschillende ministeries, die opdracht geven tot het in beheer nemen, beheren en doorontwikkelen van producten. Logius zorgt ook voor het bevorderen van het gebruik van de producten. Zij laat zich adviseren door de Programmaraad, een adviesorgaan waarin haar klanten zijn vertegenwoordigd. Drie belangrijke, op zichzelf staande, producten die Logius aanbiedt zijn: 1. DigiD. DigiD is het digitale authenticatiesysteem voor de overheid en publieke dienstverleners. DigiD zorgt ervoor dat zij betrouwbaar zaken kunnen doen met burgers via hun website. Klanten zijn óf direct aangesloten op DigiD óf indirect aangesloten op DigiD, middels Eenmalig Inloggen. Eenmalig Inloggen is een uitbreiding van DigiD, waarmee het mogelijk is dat de burger maar eenmalig hoeft in te loggen en kan doornavigeren naar de website van een andere aangesloten dienstaanbieder. Technisch gezien zijn DigiD en Eenmalig Inloggen verschillende diensten, waarbij Eenmalig Inloggen zich gedraagt als een reguliere webdienst die op DigiD is aangesloten. Het aantal klanten dat middels Eenmalig Inloggen is aangesloten is beperkt. Eenmalig Inloggen wordt geïntegreerd in de nieuwe versie van DigiD, die in mei 2012 in gebruik zal worden genomen. Evenals voorgaande jaren en met instemming van de grootste aangesloten klant, is Eenmalig Inloggen in 2011 niet meegenomen in de scope van het onderzoek. 2. Digipoort (koppelvlakken SMTP, X.400, FTP en POP3). Digipoort is het elektronische postkantoor voor bedrijven voor het snel en efficiënt uitwisselen van informatie met de overheid. Dat is handig als een bedrijf regelmatig gegevens moet verstrekken. Digipoort zorgt dat informatie bij u als overheidsorganisatie terechtkomt, eventueel een validatie wordt uitgevoerd en informatie die u verstuurt, wordt afgeleverd bij het juiste bedrijf. 3. Haagse Ring. Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van de departementen, de Hoge Colleges van Staat en andere organisaties die op voordracht van departementen zijn aangesloten. Het beheerdomein van Logius beperkt zich tot de regie en uitvoering van onderdelen van het tactisch beheer voor Haagse Ring. Pagina 5


Klanten van deze producten hebben behoefte aan zekerheid over de kwaliteit van de dienstverlening van Logius. Gehanteerde kwaliteitsaspecten zijn beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid. Logius geeft invulling aan deze klantbehoefte door deze Verantwoording op te stellen en te laten voorzien van een Assurance-rapport. In een Assurance-rapport is de conclusie van een auditor (registeraccountant of register IT-auditor) opgenomen waarin in dit geval met een redelijke mate van zekerheid -dit is tevens de hoogst mogelijke mate van zekerheid- een uitspraak wordt gedaan over de juistheid en volledigheid van de Verantwoording. Logius heeft de Auditdienst Rijk gevraagd dit jaarlijkse Assurance-rapport te verzorgen. De Verantwoording gaat in op de opzet en het bestaan per 31 december 2011 en op de werking van de beheersmaatregelen en -procedures van de drie genoemde producten gedurende het jaar 2011. 2.2

Normstelling Logius heeft een normenkader opgesteld met als doel een objectief beeld te kunnen geven van de kwaliteit van (het beheer van) de producten. Dit normenkader beschrijft in hoofdlijnen aan welke eisen het beheer van de producten moet voldoen en vormt de basis voor deze Verantwoording. Het normenkader is samengesteld op basis van de relevante wet- en regelgeving, met name het „Tijdelijk besluit nummergebruik overheidtoegangsvoorziening‟, de Wet bescherming persoonsgegevens, het Voorschrift Informatiebeveiliging Rijksdienst (VIR 2007) en algemeen aanvaarde kaders voor IT-omgevingen zoals „Business Information Services Library‟ (BiSL) en „Normen voor de beheersing van uitbestede ICT-beheerprocessen‟ van de NOREA (de beroepsorganisatie voor ITauditors). Het normenkader is risicogebaseerd en richt zich voor een belangrijk deel op tactische en operationele beheerprocessen. Daarnaast zijn bijvoorbeeld voor de DigiD applicatie en voor de onderliggende ITinfrastructuur specifieke normen geformuleerd. De directeur van Logius heeft het normenkader in 2008 vastgesteld na afstemming met een vertegenwoordiging van de Programmaraad. Logius heeft het Assurancetraject eind 2011, begin 2012 geëvalueerd met een aantal leden/vertegenwoordigers van de Programmaraad. Op basis van deze evaluatie worden de reikwijdte, scope en diepgang van het onderzoek gehandhaafd. Wel is er voor gekozen om de Verantwoording korter en bondiger op te stellen en meer te richten op uitzonderingen. In 2012 zal Logius de beheersdoelstellingen en het normenkader herzien en laten bekrachtigen door de Programmaraad, Beleidsopdrachtgever(s) en Eigenaar.

2.3

Totstandkoming van de Verantwoording De auditor heeft op basis van de normenkaders onderzoeken uitgevoerd bij Logius en de leveranciers. De uitkomsten van deze onderzoeken zijn mede gebruikt als basis voor deze Verantwoording en het Assurancerapport. De directeur van Logius is verantwoordelijk voor de inhoud van de Verantwoording. De Auditdienst Rijk is verantwoordelijk voor het Assurance-rapport.

2.4

Leeswijzer De lezer die globaal kennis wil nemen van de inhoud van het rapport kan zich beperken tot het Assurance-rapport, de managementsamenvatting van deze Verantwoording en de inleiding. In de hoofdstukken drie en verder wordt in meer detail ingegaan op het beheer en de Pagina 6


doorontwikkeling van de producten. In bijlage I is een overzicht opgenomen van de meest gebruikte afkortingen en begrippen. In bijlage II is een overzicht opgenomen van de getoetste beheersdoelstellingen.

Pagina 7


3

Bevindingen DigiD

3.1

Algemeen DigiD staat voor Digitale Identiteit. DigiD is het digitale authenticatiesysteem voor de overheid en publieke dienstverleners. DigiD zorgt ervoor dat zij betrouwbaar zaken kunnen doen met burgers via hun website. Voor burgers die deze diensten via internet afnemen is DigiD een handig hulpmiddel. Met één inlogcode krijgt de burger toegang tot elektronische diensten van steeds meer overheidsinstellingen en publieke dienstverleners. In totaal zijn er in 2011 30 nieuwe organisaties aangesloten op DigiD. Het aantal aansluitingen in 2011 is daarmee gestegen naar 523. Het aantal DigiD-accounts is in 2011 gegroeid van 8,1 naar 8,7 miljoen. Het aantal gelukte authenticaties voor 2011 was ruim 52 miljoen. Het Assurance-rapport van 2011 richt zich voor wat betreft DigiD op versie 2.17, die gedurende 2011 in productie was. In afwachting van de nieuwe release DigiD 4.1, die in mei 2012 in gebruik wordt genomen, zijn in 2011 geen belangrijke functionele wijzigingen in versie 2.17 van DigiD doorgevoerd. Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. Het operationeel beheer, dat bestaat uit infrastructuur- en applicatiebeheer, print- en mail-, callcenter- en sms-dienstverlening, is uitbesteed aan externe leveranciers. Logius heeft een regiefunctie en bewaakt de kwaliteit van de dienstverlening van externe leveranciers door middel van periodieke rapportages, overleggen en assurance onderzoeken. In onderstaande figuur is weergegeven welke onderdelen van de DigiD dienstverlening onderdeel zijn van de scope van het Assurance-rapport en de Verantwoording.

Pagina 8


Logius is niet verantwoordelijk voor de webdiensten en Gemeentelijke Basisadministratie Verstrekkingen (GBA-V). Logius stelt wel eisen aan de webdiensten die aansluiten op DigiD. In oktober 2011 heeft de minister van BZK de Tweede Kamer geïnformeerd over de aanpak van de geconstateerde beveiligingslekken bij een aantal gemeentelijke websites. De feitelijke uitvoering van het beleid is door de minister opgedragen aan Logius. Alle organisaties die DigiD gebruiken, moeten voldoen aan een vastgestelde beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen door een Register EDP-auditor. De grootgebruikers van DigiD moeten voor het eind van 2012 een ICTbeveiligingsassessment hebben laten uitvoeren. De overige organisaties moeten het assessment voor eind 2013 hebben laten uitvoeren. Partijen moeten hierover rapporteren aan Logius. 3.2

Tactisch beheer Logius heeft een aantal tactische processen ingericht voor het beheer van haar producten. Doelstelling van deze processen is om de kwaliteit van de producten van Logius op een voldoende niveau en in overeenstemming met wet- en regelgeving te borgen. Het tactisch beheer heeft over 2011 over het algemeen in voldoende mate invulling gegeven aan de beheersdoelstellingen. Uitzondering is de controleerbaarheid van de processen Access Management en Continuity Management voor de kantoorautomatisering en de interne applicaties. Verbeterpunten zijn het toezicht op de juistheid van de uitgereikte autorisaties voor de kantoorautomatisering en de interne applicaties, het toezicht op de dienstverlening van de kantoorautomatisering en de ondersteunende applicaties en de inschatting van de capaciteitsvraag naar producten van Logius door (nieuwe) klanten die nieuwe diensten verlenen waarvoor DigiD wordt gebruikt. Logius heeft actieplannen opgesteld en is in gesprek met de ICT-leverancier voor de kantoorautomatisering om de verbeterpunten op te pakken.

3.3

Operationeel beheer

3.3.1

Applicatie- en infrastructuurbeheer Logius heeft het beheer van de applicatie en IT-infrastructuur van DigiD uitbesteed aan een externe leverancier. Hiertoe is een overeenkomst afgesloten tussen Logius en deze leverancier. De leverancier heeft een aantal IT-beheerprocessen ingericht om de afgesproken dienstverlening te realiseren. Er is onderzoek uitgevoerd naar zowel het algemeen beheer als naar (het beheer van) de IT-infrastructuur. Op basis van onderzoek is onze conclusie dat de leverancier in voldoende mate invulling heeft gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Tekortkomingen zijn geconstateerd met betrekking tot Infrastructure Management. De technische infrastructuur wijkt af van de specifieke ontwerp- en beveiligingseisen. De DigiD dienstverlening vindt bij de leverancier plaats in een aparte, dedicated omgeving. Bepaalde netwerkservices zoals netwerklogging en steppingstones zijn echter niet alleen beschikbaar voor de DigiD-dienstverlening, maar worden ook gebruikt voor de dienstverlening aan andere klanten van de leverancier. De DigiD- en de netwerkwerkomgeving zijn echter logisch van elkaar gescheiden. De leverancier houdt zich niet altijd aan de overeengekomen beveiligingseisen en specifieke bewaartermijnen met betrekking tot netwerklogging. Toezicht op afhandeling van verkeersstromen vindt Pagina 9


beperkt plaats waardoor er sprake is van een minder beheersbare situatie. Aan de processen Security Management en Access Management is voldoende invulling gegeven, met de kanttekening dat logging en toegangsbeveiliging verbetering verdienen. De beschikbaarheid van de DigiD-dienstverlening was over heel 2011 99,89%, boven de met klanten afgesproken norm van 99,5%. De verstoringen die zijn opgetreden betroffen het aanvraagproces van DigiD in augustus en november 2011. Beide storingen zijn gerelateerd aan de Gemeentelijke Basisadministratie Verstrekkingen (GBA-V). Basisadministratie Persoonsgegevens en Reisdocumenten (BPR), tevens onderdeel van het ministerie van BZK, is de verantwoordelijke partij voor GBA-V. Logius heeft aanvullende afspraken gemaakt met ketenleverancier BPR ter verbetering van de dienstverlening gedurende de piekperiode in het eerste kwartaal van 2012. Logius onderneemt acties om de ketenafhankelijkheid in kaart te brengen en afspraken te maken met partijen om die dienstverlening te verbeteren. 3.3.2

Print- en maildienstverlening Logius heeft de print- en maildienstverlening uitbesteed aan een externe leverancier (verder: print- en mailleverancier). Hiertoe is een overeenkomst afgesloten tussen Logius en deze print- en mailleverancier. Er is een onderzoek uitgevoerd naar (de beheersing van) het print- en mailproces. De print- en mailleverancier heeft in voldoende mate invulling gegeven aan het primaire print- en mailproces en de daaraan gestelde eisen met betrekking tot de beschikbaarheid. De print- en mailleverancier heeft echter in onvoldoende mate invulling gegeven aan de beheersdoelstelling met betrekking tot Access Management. Onze conclusie is dat de print- en mailleverancier voor het print- en mailproces en de daaraan gerelateerde beheerprocessen als geheel bezien in onvoldoende mate invulling heeft gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid. De toegangsbeveiliging is een nadrukkelijk punt van aandacht. Logius heeft de print- en mailleverancier opdracht gegeven om de geconstateerde tekortkomingen vóór 1 juni 2012 op te lossen. Logius bewaakt de voortgang nauwlettend en heeft de Auditdienst Rijk opdracht gegeven de stand van zaken in juni 2012 te toetsen bij de print- en mailleverancier.

3.3.3

Callcenter Logius heeft de callcenteractiviteiten voor de eerste lijn DigiD ondersteuning uitbesteed. Hiertoe is een overeenkomst afgesloten tussen Logius en de callcenterleverancier. Er is een onderzoek uitgevoerd naar de beheersing van het callcenterproces. De conclusie is dat het telefoonafhandelingsproces en de daaraan gerelateerde dienstverlening bij de callcenterleverancier in voldoende mate invulling geven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Ten opzichte van 2010 zijn er verbeteringen in de monitoring van de door de callcenterleverancier uitbestede ICT-beheerprocessen doorgevoerd.

3.3.4

Ondersteuning SMS-authenticatie Logius heeft de SMS-dienstverlening uitbesteed aan een externe leverancier. Voor de DigiD dienstverlening vindt voor het 'zekerheidsniveau midden' authenticatie plaats op basis van een combinatie van naam, wachtwoord en een per sms-bericht verzonden code. Pagina 10


Per 9 mei 2011 is de overeenkomst met de oorspronkelijke smsdienstverlener beëindigd en is na een Europese aanbesteding een overeenkomst aangegaan met een andere sms-dienstverlener. Voor de periode 1 januari 2011 t/m 9 mei 2011 is bij de oorspronkelijke leverancier een afloopcontrole uitgevoerd. Voor de periode van 9 mei t/m 31 december 2011 is bij de andere leverancier onderzoek uitgevoerd naar de beheersing van de sms-dienstverlening. De conclusie voor beide leveranciers is dat de sms- dienstverlening en de daaraan gerelateerde beheerprocessen in voldoende mate invulling hebben gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. 3.4

Dienstspecifieke beheersingsmaatregelen DigiD Het functioneren van de dienstspecifieke maatregelen in en rondom DigiD geeft voor de meeste onderdelen voldoende invulling aan de beheersdoelstellingen. Voor een aantal bevindingen wordt significant afgeweken van de norm die is gebaseerd op de beheersdoelstellingen. De belangrijkste tekortkomingen zijn gerelateerd aan: toereikend invulling geven aan de eisen met betrekking tot het inloggen van beheerders van Logius; bewaring, analyse en afhandeling van de applicatielogging; gebruik van een gecertificeerde cryptografische bibliotheek. Het doel is met de implementatie van DigiD 4.1 in mei 2012 onder andere deze belangrijke tekortkomingen ten aanzien van de beveiliging van DigiD weg te nemen. Dit zal door Auditdienst Rijk worden beoordeeld bij het onderzoek over 2012. Fraudebestrijding wordt separaat opgepakt. Het algemene beeld is dat fraude waarbij misbruik wordt gemaakt van DigiD toeneemt. In 2011 heeft Logius in samenwerking met partijen een aantal stappen gezet op het gebied van fraudebeheersing rondom DigiD en de diensten die hiervan gebruikmaken. Samen met de opdrachtgever is vastgesteld welke aanpassingen en maatregelen noodzakelijk zijn. Fraudebeheersing behoeft ook in 2012 veel aandacht van Logius. Logius zal de ingeslagen weg met kracht voortzetten.

3.5

Conclusie Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. De DigiD dienstverlening heeft in 2011 grotendeels de gestelde beheersdoelstellingen gehaald. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Wel zijn er tekortkomingen die zijn gerelateerd aan de controleerbaarheid van de beheersdoelstellingen met betrekking tot Access management en Continuity management van de kantoorautomatisering en interne applicaties. Het operationeel beheer vindt plaats door verschillende leveranciers en betreft Applicatie- en Infrastructuurbeheer, Print- en Maildienstverlening, Callcenteractiviteiten, SMS-authenticatie en Dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD. Het operationeel beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Wel behoeft Access Management bij meerdere leveranciers verbetering. Voor Applicatie- en Infrastructuur zijn er daarnaast tekortkomingen op het gebied van Security Management en Infrastructure Management. Ten Pagina 11


aanzien van de Dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD is sprake van tekortkomingen met betrekking tot de wijze van inloggen door de beheerders van Logius, applicatielogging en cryptografie. Fraudebestrijding blijft een aandachtspunt. Wanneer de genoemde verbeterpunten en tekortkomingen met betrekking tot tactisch en operationeel beheer worden bezien over de keten van de DigiD dienstverlening waar Logius verantwoordelijk voor is, trekt Logius de conclusie dat aan het kwaliteitsaspect beschikbaarheid voldoende invulling is gegeven. Aan de kwaliteitsaspecten beveiliging en beheersbaarheid is matig invulling gegeven en zijn er belangrijke aandachtspunten, met name met betrekking tot het Applicatie- en Infrastructuurbeheer en de Dienstspecifieke beheersmaatregelen applicatie DigiD die de meest kritieke onderdelen zijn in de keten van DigiD dienstverlening. De beschikbaarheid van de DigiD dienstverlening was over geheel 2011 gemeten boven de norm, ondanks incidenten gerelateerd aan de GBA-V. GBA-V valt onder verantwoordelijkheid van de Basisadministratie Persoonsgegevens en Reisdocumenten (BPR). Logius heeft aanvullende afspraken gemaakt met ketenleverancier BPR ter verbetering van de dienstverlening gedurende de piekperiode in het eerste kwartaal van 2012. Het doel is met de implementatie van DigiD 4.1 in mei 2012 onder andere een aantal belangrijke tekortkomingen ten aanzien van de beveiliging van DigiD weg te nemen. De overige tekortkomingen worden separaat opgepakt door Logius en leveranciers.

Pagina 12


4

Bevindingen Digipoort

4.1

Algemeen Digipoort is het 'elektronische postkantoor' van de overheid voor bedrijven. Ieder bedrijf dat is aangesloten kan digitaal informatie uitwisselen met de overheid. Dat is handig als een bedrijf regelmatig gegevens moet verstrekken. Digipoort zorgt dat de informatie van een bedrijf bij de betreffende overheidsorganisaties terechtkomt en dat informatie die een overheidsorganisatie verstuurt, wordt afgeleverd bij het juiste bedrijf. Het gebruik van de Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) is het afgelopen jaar verder toegenomen met een stijging van ca. 40 miljoen berichten in 2010 tot ca. 72 miljoen berichten in 2011. In 2011 zijn vijf nieuwe klanten aangesloten op Digipoort. Voor 2012 verwacht Logius een verdere groei in het aantal berichten door te maken. Logius is verantwoordelijk voor het tactisch en operationeel beheer van Digipoort. Het operationeel infrastructuur- en applicatiebeheer is uitbesteed aan een externe leverancier. Logius heeft een regiefunctie en bewaakt de kwaliteit van de dienstverlening van de leverancier door middel van periodieke rapportages en overleggen. In onderstaande figuur is weergegeven welke onderdelen van de Digipoort dienstverlening onderdeel zijn van de scope van het Assurance-rapport en de Verantwoording.

4.2

Tactisch beheer Logius maakt voor het tactisch beheer van de Digipoort dienstverlening gebruik van de standaard Logius beheerprocessen. Het tactisch beheer van Logius geeft over het algemeen in voldoende mate invulling aan de beheersdoelstellingen. Uitzonderingen zijn de processen Access Management en Continuity Management voor de kantoorautomatisering en interne applicaties. Logius pakt deze verbeterpunten in 2012 op.

Pagina 13


4.3

Operationeel beheer

4.3.1

Applicatie- en infrastructuurbeheer Het operationeel infrastructuur- en applicatiebeheer van de dienst Digipoort zijn uitbesteed aan een externe leverancier. De conclusie is dat het infrastructuur- en applicatiebeheer omtrent Digipoort over het algemeen niet voldoen aan de gestelde beheersdoelstellingen. De belangrijkste beheersdoelstellingen die gehaald zijn, hebben betrekking op Generieke Beheersaspecten, Service Level Management, Capacity Management. Ook zijn de volledigheid en tijdigheid van de berichtenverwerking door Digipoort gewaarborgd door controleerbare logging en door bewaking hiervan door de leverancier. De beschikbaarheid van de dienstverlening was over geheel 2011 99,79%, dat is boven de met de klanten afgesproken norm van 99,7%. Verstoringen zijn opgetreden in mei en december 2011 en zijn gerelateerd aan incidenten op de infrastructuur. Voor het merendeel van de beheersdoelstellingen is echter vastgesteld dat deze niet zijn gehaald gedurende de onderzoeksperiode. De belangrijkste, materiële tekortkomingen zijn gerelateerd aan de beheersdoelstellingen op het gebied van Security & Infrastructure Management, Access Management, Continuity Management en Operations Management. Ten opzichte van 2010 zijn verbeteringen doorgevoerd. De leverancier heeft destijds een actieplan opgesteld en de voortgang periodiek besproken met Logius. Bij assurance door de externe auditor van de leverancier over 2011 zijn de gerealiseerde verbeteringen onvoldoende gebleken. Logius heeft met de leverancier expliciete afspraken gemaakt inzake governance om de in 2011 geconstateerde tekortkomingen het hoofd te kunnen bieden. Met de leverancier is afgesproken dat de belangrijkste tekortkomingen met betrekking tot Continuity Management in april 2012 zijn opgelost. De overige tekortkomingen op onder meer de gebieden Security & Infrastructure Management, Access Management en Operations Management dienen vóór juli 2012 te zijn opgelost. De leverancier heeft een concreet actieplan opgesteld en is reeds gestart met de verbeteracties om de operationele beheersmaatregelen voor de betrouwbaarheid en beschikbaarheid van Digipoort als geheel zo snel mogelijk te verbeteren. Logius ziet strikt toe op realisatie van de verbeterpunten. Op verzoek van Logius vervult de externe auditor van de leverancier een Quality Assurance (QA)-rol. De externe auditor voert QA uit op het actieplan van de leverancier, de voortgang van het project en de door de leverancier genomen maatregelen. De leverancier en externe auditor rapporteren maandelijks aan de directie van Logius over de voortgang.

4.4

Dienstspecifieke beheersingsmaatregelen Digipoort De beheersdoelstellingen met betrekking tot het specifiek beheer van Digipoort waarvan de uitvoering bij Logius is belegd, zijn gehaald. In 2011 zijn geen nieuwe berichtstromen in productie genomen, in de zin van nieuwe overheidsdeelnemer dan wel van een ander koppelvlak. Indien sprake is van berichtverlies bij één van de klanten van Digipoort heeft Logius de mogelijkheid herinjectie van berichten uit te voeren. Herinjecties hebben in 2011 niet plaatsgevonden. Pagina 14


4.5

Conclusie De aan de Digipoort-dienstverlening gestelde beheersdoelstellingen zijn in 2011 grotendeels niet gehaald. Het tactisch beheer geeft over het algemeen in voldoende mate invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer geeft onvoldoende invulling aan de eisen die voortvloeien uit de beheersdoelstellingen. De volledigheid en tijdigheid van de berichtenverwerking door Digipoort is middels logging controleerbaar en is door de leverancier bewaakt. De verwerking van de overeengekomen werklast door Digipoort is geborgd. De beschikbaarheid van de Digipoort-dienstverlening was over geheel 2011 gemeten boven de norm. De belangrijkste tekortkomingen zijn gerelateerd aan de beheersdoelstellingen op het gebied van Security & Infrastructure Management, Access Management, Continuity Management en Operations Management. De verbeterpunten met betrekking tot Continuity Management zijn in april afgerond. Logius heeft afspraken gemaakt met de leverancier en toezicht ingericht op basis van rapportages welke door de externe auditor van de leverancier zijn gereviewd om te borgen dat de overige materiële tekortkomingen op 1 juli 2012 zijn weggenomen.

Pagina 15


5

Bevindingen Haagse Ring

5.1

Algemeen Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van: de 'aangesloten organisaties' en de daaronder ressorterende baten-lastendiensten (waarbij is afgesproken dat de aangesloten organisaties zorgen voor de koppeling van deze diensten); de Hoge Colleges van Staat (voor zover zij dat wensen) en andere direct aan de rijksoverheid gelieerde organisaties. Binnen Haagse Ring wordt gebruik gemaakt van virtuele private netwerken (VPN's) waarmee naar wens verbindingen tussen aangesloten organisaties kunnen worden gerealiseerd. In december 2011 waren 23 VPN‟s met in totaal 148 aansluitingen beschikbaar op Haagse Ring. Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. Logius vervult namens de aangesloten organisaties de rol van opdrachtgever richting IVENT. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. IVENT behoort tot het ministerie van Defensie en onder rechtstreekse verantwoordelijkheid van de minister van Defensie. In onderstaande figuur is weergegeven welke onderdelen van de Haagse Ring vallen in de scope van het Assurance-rapport en de Verantwoording.

5.2

Rolverdeling en inrichting beheer De basis voor Haagse Ring is een mantelovereenkomst tussen ministeries, Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het Commando Diensten Centrum van het ministerie van Defensie. Logius is verantwoordelijk voor uitvoering van de strategische en tactische beheerprocessen. Logius is tevens verantwoordelijk voor het tactische aansluitproces op Haagse Ring. De juiste en volledige uitvoering van het Pagina 16


aansluitproces en de generieke tactische processen vormt één van de randvoorwaarden voor de betrouwbare werking van Haagse Ring. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. IVENT is verantwoordelijk voor het handhaven van het afgesproken beschikbaarheidsniveau en de afgesproken performance en capaciteit, het afhandelen van incidenten en doorvoeren van wijzigingen. Logius is verantwoordelijk voor bewaking van de dienstverlening. Logius bewaakt de dienstverlening van IVENT. IVENT levert conform de Service Level Agreement maandelijks Service Level Rapportages over de beschikbaarheid, responsetijd en professionaliteit/tijdigheid (zijnde de incidenten en wijzigingen). Logius bespreekt deze rapportages en toekomstige ontwikkelingen periodiek met IVENT. De rapportages worden ook geplaatst in een samenwerkingsruimte op Rijksweb, zodat de 'aangesloten organisaties' hiervan kennis kunnen nemen. De beschikbaarheid van Haagse Ring is over geheel 2011 100% geweest. 5.3

Aansluitvoorwaarden Haagse Ring Organisaties kunnen aansluiten op de Haagse Ring na goedkeuring van de beveiligingsambtenaar (BVA) van het departement dat de aanvraag ondersteunt. Logius ziet hier op toe. In een bijlage van de mantelovereenkomst Haagse Ring is aangegeven dat een organisatie die aansluit, moet voldoen aan de aansluitvoorwaarden Haagse Ring. De essentie van deze aansluitvoorwaarden is dat de organisatie die aansluit een adequaat niveau van beveiliging hanteert. Logius heeft in een notitie aan het SIB/DGOBR gevraagd of de door Logius gehanteerde werkwijze betreffende de Haagse Ring met betrekking tot de handhaving van de aansluitvoorwaarden nog steeds voldoet. De voorzitter van het SIB heeft DGOBR/DIR gevraagd te onderzoeken op welke wijze het voorstel voor generieke voorzieningen kan worden toegepast. Besluitvorming hierover heeft nog niet plaatsgevonden.

5.4

Informatiebeveiliging Haagse Ring In de afspraken voor Haagse Ring met IVENT is opgenomen dat het standaard beveiligingsniveau van Haagse Ring „departementaal vertrouwelijk‟ is, zoals bedoeld in het VIR-BI. IVENT is verantwoordelijk voor het handhaven van het afgesproken beveiligingsniveau. Binnen de mantelovereenkomst tussen ministeries, Logius en IVENT is afgesproken dat IVENT zich via de eigen bestuurlijk lijn verantwoordt over het voor Haagse Ring gerealiseerde beveiligingsniveau. De werkzaamheden van Logius hebben geen directe relevantie voor het informatiebeveiligingsniveau van Haagse Ring en aangesloten partijen. Het enige raakvlak is het aansluitingenbeheerproces, waarbij Logius schriftelijk laat vastleggen dat de verantwoordelijke BVA van de aansluitende organisatie verantwoordelijk is voor het voldoen aan de mantelovereenkomst, waarvan de aansluitvoorwaarden c.q. informatiebeveiligingsnormen een onderdeel zijn.

5.5

Conclusie De beheersdoelstellingen voor het tactisch beheer van Haagse Ring zijn in voldoende mate gehaald.

Pagina 17


Bijlage I

Lijst met afkortingen

ADR BiSL BPR BZK DigiD FTP ICT ITIL IVENT

Auditdienst Rijk Business Information Services Library Basisadministratie Persoonsgegevens en Reisdocumenten Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Digitale Identiteit File Transfer Protocol Informatie- en communicatietechnologie Information Technology Infrastructure Library De bedrijfsgroep Informatievoorziening en -technologie van het Commando Diensten Centrum van het ministerie van Defensie Gemeentelijke Basis Administratie Verstrekkingen Post Office Protocol 3 Subcommissie Informatiebeveiliging van de Interdepartementale Commissie van CIO‟s (ICCIO)/ Directoraat Generaal Organisatie en Bedrijfsvoering Rijk Short Message Service Simple Mail Transfer Protocol Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie

GBA-V POP3 SIB/DGOBR

SMS SMTP VIR VIR-BI

Pagina 18


Bijlage II Beheersdoelstellingen

Tactisch beheer Incident Management • Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Change Management • De juiste besluiten, gebaseerd op de kenmerken van de wijzigingen, worden genomen over het aanbrengen van wijzigingen of vernieuwingen in de informatievoorziening; • Wijzigingen in de informatievoorziening worden geïnventariseerd, geprioriteerd, ten uitvoer gebracht, gemonitord en geëvalueerd. Capacity Management • De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Continuity Management • De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Access Management Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Security Management: De samenhang tussen de individuele Security Management processen is geborgd. DigiD specifiek Het stelsel van application en user controls waarborgt het betrouwbaar functioneren van de authenticatiedienst DigiD in overeenstemming met wet- en regelgeving op het voorgeschreven niveau (WBP gegevensklasse II en Tijdelijk besluit nummergebruik overheidstoegangsvoorziening). Het stelsel van application en user controls bestaat uit het authenticatieprotocol inclusief de bijbehorende cryptografie en geautomatiseerde en handmatige procedures en (controle)maatregelen. Het protocol is logisch sluitend en maakt gebruik van algemeen aanvaarde (cryptografische) standaarden. Het voorziet in een veilige en betrouwbare authenticatie via Internet. De gegevens die binnen DigiD worden opgeslagen dienen door de getroffen maatregelen te worden beschermd. De authenticatievoorziening biedt de mogelijkheid belanghebbenden volledig en juist te informeren over de prestaties inclusief de werking van de controles.

Pagina 19


Operationeel beheer DigiD Beheersdoelstellingen Beheer infrastructuur DigiD Generieke Beheersaspecten Het proces dient beheersbaar te zijn. Het proces dient controleerbaar te zijn. Belanghebbenden dienen juist en volledig over het proces te zijn geïnformeerd. Service Level Management De geleverde ICT-diensten dienen te voldoen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen. Security Management Alle risico‟s voor de beschikbaarheid, integriteit en vertrouwelijkheid van de ICT-diensten dienen te zijn geadresseerd. Capacity Management De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Availability Management De ICT-dienst dient onder normale bedrijfsomstandigheden te voldoen aan het overeengekomen niveau van beschikbaarheid. Continuity Management De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Infrastructure Management Beheer: De instellingen van de ICT-middelen dienen overeen te komen met het geautoriseerde ontwerp. Beheer: Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te zijn gedetecteerd. Infra: Er dient een stelsel te zijn geïmplementeerd waarin voorzien is in (passieve en actieve) security monitoring. Dit betekent ondermeer dat er procedurele en technische maatregelen dienen te zijn getroffen die bij voortduring de integriteit van het beveiligingsontwerp waarborgen. Daarnaast dienen bij afwijkingen op het beveiligingsontwerp toereikende acties te worden ondernomen; Infra: De integriteit van opgeslagen logbestanden dient te zijn gewaarborgd (security logmanagement). Alle beveiligingskritieke gebeurtenissen worden gelogd en inbreuken op het beoogde niveau van security (blijkend uit het beveiligingsontwerp) worden gedetecteerd, geanalyseerd en toereikend afgehandeld. Infra: De database van de DigiD applicatie dient te allen tijde betrouwbare data te bevatten; Ingeval van verstoringen en calamiteiten dient de dienstverlening aan de burger in korte tijd hersteld te kunnen worden. Alle kritieke componenten van de DigiD dienstverlening dienen bij voortduring gemonitord te worden.

Pagina 20


Access Management Beheer: Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Infra: Personen buiten de beheerorganisatie mogen geen enkele toegang hebben tot de DigiD systemen en data anders dan voor de DigiD dienstverlening noodzakelijk is; Infra: Toegangsrechten van beheerders moeten zoveel mogelijk beperkt worden (“het customizen van beheerrechten”). Alle beveiligingskritieke handelingen van beheerders moeten gelogd worden. Pogingen van beheerders tot misbruik moeten detecteerbaar en traceerbaar zijn naar uitvoeringsverantwoordelijke personen. Configuration Management Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te zijn geïdentificeerd en vastgelegd. Change Management Wijzigingen dienen te zijn geautoriseerd met inachtneming van de risico‟s voor de beschikbaarheid, integriteit en vertrouwelijkheid van de ICT-diensten. Wijzigingen dienen tijdig en volledig te zijn doorgevoerd. Wijzigingen dienen effectief te zijn. Incident Management Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Problem Management Problemen dienen tijdig en volledig te zijn gesignaleerd en afgehandeld. Operations Management Productieopdrachten dienen te zijn geautoriseerd Productieopdrachten dienen juist en volledig te zijn verwerkt. Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te zijn geïdentificeerd en vastgelegd. Beheersdoelstellingen Print- en maildienstverlening DigiD Generieke Beheersaspecten Het proces van DigiD dienstverlening door de leverancier dient beheersbaar te zijn. Het proces van DigiD dienstverlening door de leverancier dient controleerbaar te zijn. Belanghebbenden dienen juist en volledig over het proces van DigiD dienstverlening te zijn geïnformeerd. Availability Management De DigiD dienstverlening door de leverancier dient onder normale bedrijfsomstandigheden te voldoen aan het overeengekomen niveau van beschikbaarheid. Continuity Management De DigiD dienstverlening door de leverancier dient in het geval van een calamiteit tijdig herstelbaar te zijn.

Pagina 21


Access Management Toegang tot de DigiD dienstverlening door de leverancier dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Beheersdoelstellingen Callcenter DigiD Generieke Beheersaspecten Het proces van DigiD dienstverlening door de leverancier dient beheersbaar te zijn. Het proces van DigiD dienstverlening door de leverancier dient controleerbaar te zijn. Belanghebbenden dienen juist en volledig over het proces van DigiD dienstverlening te zijn geïnformeerd. Continuity Management De DigiD dienstverlening door de leverancier dient in het geval van een calamiteit tijdig herstelbaar te zijn. Capacity management De DigiD dienstverlening door de leverancier dient de overeengekomen werklast te kunnen verwerken. Access Management Toegang tot de DigiD dienstverlening door de leverancier dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Incident management Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Beheersdoestellingen Sms-authenticatie DigiD Generieke Beheersaspecten Het proces dient beheersbaar te zijn; Het proces dient controleerbaar te zijn; Belanghebbenden dienen juist en volledig over het proces te zijn geïnformeerd. Capacity Management De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Availability Management De ICT-dienst dient onder normale bedrijfsomstandigheden te voldoen aan het overeengekomen niveau van beschikbaarheid. Continuity Management De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Access Management Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.

Pagina 22


Beheersdoelstellingen Operationeel beheer Digipoort Generieke beheersaspecten Het Digipoort proces dient te worden gegarandeerd. Het Digipoort proces dient controleerbaar te zijn. Het Digipoort proces dient aan de actuele vereisten te voldoen Belanghebbenden dienen juist en volledig over het Digipoort proces te worden geïnformeerd. Service Level Management De geleverde ICT-diensten dienen aan de overeengekomen dienstenniveaus en beheersdoelstellingen te voldoen Security Management Alle risico‟s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. Infrastructure Management De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Access Management Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders. Capacity Management De ICT-diensten dienen de overeengekomen werklast te kunnen verwerken. Availability Management De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te voldoen. Continuity Management De ICT-diensten dienen in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration Management Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Change Management Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico‟s voor de ICT-diensten. Wijzigingen dienen tijdig en volledig te worden doorgevoerd. Wijzigingen dienen te worden beoordeeld op doeltreffendheid. Incident Management Incidenten dienen tijdig en volledig te worden afgehandeld. Incidenten dienen doeltreffend te worden afgehandeld.

Pagina 23


Problem Management Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld. Problemen dienen doeltreffend te worden afgehandeld. Operations Management Productieopdrachten dienen te worden geautoriseerd. Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt. Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd. Digipoort specifiek De levenscyclus van aansluitingen en berichtenstromen worden op controleerbare wijze beheerst. De volledigheid en tijdigheid van de herinjectie door Digipoort wordt bewaakt en is controleerbaar. De volledigheid en tijdigheid van de berichtenverwerkingen door Digipoort wordt bewaakt en is controleerbaar. Het informatiebeveiligingsbeleid van Digipoort is vertaald naar inrichting en exploitatie eisen. Alle relevante beheerhandelingen aan de Digipoort applicatie en infrastructuur zijn controleerbaar en worden aantoonbaar bewaakt. Alle afgesproken bewaartermijnen zijn op de juiste wijze vertaald naar juiste instellingen in Digipoort.

Pagina 24


Haagse Ring Beheersdoelstellingen Haagse Ring Informatie voor het tactisch aansluitingenbeheerproces zoals gebruikers/aansluitingen, geautoriseerde medewerkers van gebruikers, VPN's en opdrachten aan de leverancier dient juist en volledig te zijn vastgelegd en te zijn beschermd tegen ongeautoriseerde kennisname. Het tactisch aansluitingenbeheerproces draagt op beheersbare en controleerbare wijze zorg voor de vertaling van gebruikersverzoeken in opdrachten aan de leverancier waarmee wordt bijgedragen aan de betrouwbaarheid en beschikbaarheid van Haagse Ring.

Pagina 25

Assurance-rapport en Verantwoording 2011 Producten van Logius

Recommend Documents