Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD ICT-beveiligingsassessment op basis van de Logius norm. Het is de verantwoordelijkheid van de individuele auditor voldoende werkzaamheden te verrichten om per norm een oordeel te verstrekken met een redelijke mate van zekerheid.
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij
B0-5
Alle wijzigingen worden altijd eerst Scope: de DigiD applicatie en de infrastructuur getest voordat deze in productie Governance Nadere toelichting: de focus is het vaststellen dat het proces wijzigingsbeheer zodanig is opgezet en geïmplementeerd dat alle wijzigingen altijd worden genomen en worden via eerst worden getest voordat deze in productie worden genomen en via wijzigingsbeheer worden doorgevoerd. wijzigingsbeheer doorgevoerd. Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, gerichte deelwaarneming op wijzigingen. Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers en de route naar het internet
B0-6
Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.
Nadere toelichting: de focus is op het hardeningsproces. Onderdeel hiervan is een security baseline voor de systemen. De hardening van
Infra-Proces internet facing systemen dient strak te zijn geregeld: alles wat open staat moet een reden hebben en alles wat open staat moet secure worden aangeboden. De hardening van interne systemen mag minder stringent. Wel moeten de management functies secure zijn, er geen onveilige protocollen worden gebruikt, default wachtwoorden zijn gewijzigd, voorbeeld applicaties na default install zijn verwijderen , etc. Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten. Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers en de route naar het internet
B0-7
De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.
Infra-Proces
Nadere toelichting: de focus is op het patching proces. Het patching proces kan gedifferentieerd zijn naar OS en netwerk. Een maandelijks patching cycles is aanvaardbaar tenzij er security alerts zijn. Voor internet facing systemen dienen de laatste stabiele beveiligingspatches te zijn geïnstalleerd. Indien patching niet mogelijk is in verband met oudere applicaties, zal dit risico moeten zijn afgewogen. Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten.
pag. 1
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: software ontwikkelaar, hosting partij Scope: DigiD applicatie en het IP adres van de DigiD applicatie Nadere toelichting: de penetratietest/applicatiescan dient minimaal eenmaal per jaar en na significante wijzigingen te worden uitgevoerd.
B0-8
Penetratietests worden periodiek uitgevoerd.
De externe blackbox/greybox infrastructuur penetratietest dient zich ten minste te hebben gericht op de hardening en patching van systemen, het via internet benaderbare management interfaces, het gebruik van zwakke encryptie, het gebruik van onveilige protocollen en de Infra-Pentest kwetsbaarheid voor publiekelijk bekende exploits. De greybox/whitebox applicatiescan dient industrie standaards zoals de OWASP top 10, de SANS top 25 en de WASC te omvatten. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een herstelplan op te stellen. Test aanpak: evaluatie van de pentester en de scope van de penetratietest, zo nodige review van het pentest dossier, analyse van de uitkomsten van penetratietesten, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers Nadere toelichting: de interne geybox/whitebox vulnerability scan pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen.
B0-9
Vulnerability assessments (security scans) worden periodiek Infra-Pentest De is een netwerk based scan dient zich ten minste te hebben gericht op de hardening en patching van systemen en het detecteren van uitgevoerd. mogelijke kwetsbaarheden van deze systemen. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een herstelplan op te stellen. Test aanpak: evaluatie van de pentester en de scope van de vulnerability assessment, zo nodig review van het dossier, analyse van de uitkomsten van vulnerability assessment, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan.
pag. 2
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers
Ontwerp en richt maatregelen in met betrekking tot B0-12 toegangsbeveiliging / toegangsbeheer.
Infra-Proces
Nadere toelichting: de focus ligt op het beheerproces(sen). Dit betreft enerzijds toegang tot de DigiD applicatie (naast de DigiD geauthentiseerde gebruikers) en anderzijds toegang tot DigiD webservers, de routers en de firewalls. Aandachtpunten hierbij zijn wachtwoordinstellingen, joiners/movers/leavers, administrator accounts, shared accounts en periodieke review. Test aanpak: interview met de verantwoordelijke functionarissen, beoordeling van documentatie, inspectie van configuratie documentatie, inspectie van periodieke reviews en gerichte deelwaarnemingen. Toepasbaarheid gebied: houder van de DigiD aansluiting Scope: DigiD webservers
Niet (meer) gebruikte websites B0-13 en/of informatie moet worden verwijderd.
Nadere toelichting: deze beveiligingsrichtlijn dient procesmatig te worden benaderd. Er dient een overzicht (of CMDB) te zijn van de websites.
Governance Elke website moet een eigenaar hebben die verantwoordelijk is dat niet meer gebruikte websites en/of informatie die niet meer wordt gebruikt wordt verwijderd. Daarnaast dient minimaal jaarlijks een controle te worden uitgevoerd of de operationele websites nog worden gebruikt en/of informatie bevat daadwerkelijk is verwijderd. Test aanpak: interviews met de verantwoordelijke functionarissen, inspectie van de CMDB, inspectie van de laatste controle op de relevantie van de website en/of informatie op de website en analyse van de uitkomsten van penetratietesten. Toepasbaarheid gebied: houder van de DigiD aansluiting Scope: Software leverancier en hosting partij
Leg afspraken met leveranciers B0-14 vast in een overeenkomst.
Governance
Nadere toelichting: Aandachtspunten die in de overeenkomst geadresseerd moeten worden zijn beschreven in de ICT-Beveiligingsrichtlijnen voor webapplicaties deel 2 van NCSC. Test aanpak: interviews met verantwoordelijke functionarissen en beoordeling van de overeenkomsten met leveranciers. Toepasbaarheid gebied: hosting partij
B1-1
Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), Scope: De Demilitarised Zone (DMZ) waar de DigiD applicatie zich bevindt. waarbij compartimentering wordt toegepast en de verkeersstromen Infra-Proces Nadere toelichting: Door middel minimaal van 2 (virtuele) firewalls worden verkeersstromen tussen het internet, de (web)applicaties in het DMZ en het interne netwerk tot een minimum beperkt. tussen deze compartimenten wordt beperkt tot alleen de hoogst Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van noodzakelijke. de uitkomsten van penetratietesten.
pag. 3
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers
B1-2
Beheer- en productieverkeer zijn van elkaar gescheiden.
Infra-Proces
Nadere toelichting: door middel van fysieke scheiding, VPN verbindingen of VLANs is beheer en productieverkeer van elkaar gescheiden. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Toepasbaarheid gebied: hosting partij
B1-3
Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.
Scope: DMZ
Infra-Proces Nadere toelichting: het netwerkverkeer tot de DigiD webservers dient op de gelijke wijze te worden gefilterd als verkeer uit het externe netwerk. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Toepasbaarheid gebied: hosting partij Scope: het netwerksegment met de DigiD webservers
B2-1
Maak gebruik van veilige beheermechanismen.
Infra-Proces Nadere toelichting: dit betreft het gebruik van veilige netwerkprotocollen, beheerinterfaces via het internet uitsluitend door middel van strong authenticatie te benaderen zijn en er geen gebruik wordt gemaakt van backdoors om de systemen te benaderen (ook niet voor noodtoegang). Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van de procedurebeschrijving met betrekking tot beheermechanismen, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B3-1
De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.
Appl-Scan
Nadere toelichting: Validaties van de HTTP-request omvatten onder meer het type, lenge en formaat van de invoer, maar ook de XML protocollen als JSON SOAP REST. Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de verschillende invoermethodes te identificeren. Gerichte deelwaarneming op invoervelden waarbij, met behulp van een applicatie scanning tools de validatie aan de server zijde van de verschillende invoermethodes wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).
pag. 4
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B3-2
De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft.
Appl-Scan
Nadere toelichting: de web applicatie moet ervoor zorgen dat er verdediging tegen Cross Site Request Forgery (CSRF) en horizontale en verticale escalatie privileges is ingebouwd. Tevens spreekt NCSC in deze controle van IP adres koppelen aan sessies/cookies. Echter, dit laatste wordt niet toegepast door de industrie en kan achterwege worden gelaten. Test aanpak: Gerichte deelwaarneming op webpagina's (change state request) waarbij, met behulp van applicatie scanning tools de mogelijkheid tot CSRF wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B3-3
De webapplicatie normaliseert invoerdata voor validatie.
Appl-Scan
Nadere toelichting: De webapplicatie normaliseert invoerdata voor validatie waaronder non-printable tekens, null-byte injection, XPath injection en Code injection. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van applicatie scanning tools waarbij de normalisatie aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B3-4
De webapplicatie codeert dynamische onderdelen in de uitvoer.
Appl-Scan
Nadere toelichting: om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is het invoeren van speciale karakters (zoals < > / \ ' " ; -- &) en de uitvoer te analyseren. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van applicatie scanning tools waarbij de verwerking van speciale karakters aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Toepasbaarheid gebied: software leverancier
B3-5
Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.
Scope: DigiD applicatie
Appl-Scan
Nadere toelichting: om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is met SQL injection. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de SQL injectie aan de server zijde worden getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).
pag. 5
Ref.
B3-6
Beveiligingsrichtlijn De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde.
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: software leverancier
Appl-Scan
Scope: DigiD applicatie Nadere toelichting: afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4 en B3-5. Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B3-7
De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).
Appl-Scan
Nadere toelichting: om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirecte test hiervoor is het testen op file includes als php, phpx, asp, aspx, jsp, jhtml, py en pl. Daarnaast vormen ook file uploads met code een risico, zoals .bat .com .exe .vbs .bas .so files die getest moeten worden. Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de file uploads te identificeren. Gerichte deelwaarneming op file uploads waarbij het uploaden van mogelijk ongeschikte file type wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Toepasbaarheid gebied: software leverancier
B3-15
Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.
Appl-Scan
Scope: DigiD applicatie Nadere toelichting: afgedekt bij het testen van maatregelen B0-8. Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
Zet de cookie attributen ‘HttpOnly’ B3-16 en ‘Secure’.
Appl-Scan
Nadere toelichting: verifieer dat alle sessie cookies ‘HttpOnly’ en ‘Secure’ Test aanpak: identificeer de cookies en inspecteer het ‘HttpOnly’ en ‘Secure’ van de cookies. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Toepasbaarheid gebied: hosting partij
B5-1
Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.
Scope: DigiD infrastructuur
Infra-Proces
Nadere toelichting: de privé sleutels behorende bij de SSL certificaten mogen niet onversleuteld op de server zijn opgeslagen. Test aanpak: Interview met de verantwoordelijke functionarissen, beoordeling van documentatie en observeer dat privé sleutels niet onversleuteld op de server staan.
pag. 6
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B5-2
Maak gebruik van versleutelde (HTTPS) verbindingen.
Infra-Proces Nadere toelichting: alle gevoelige (zoals in het kader van de WBS) informatie moet via een versleutelde verbindingen worden verzonden. Bij voorkeur zou na de DigiD authenticatie de hele sessie via een versleutelde verbinding moeten plaats vinden. Test aanpak: observeer het protocol van de verbinding bij het verwerken van gevoelige gegevens. Evalueer de kwaliteit van encryptie met de industrie standaards. Toepasbaarheid gebied: houder DigiD aansluiting, software leverancier Scope: DigiD applicatie
B5-3
Sla gevoelige gegevens versleuteld of gehashed op.
Infra-Proces Nadere toelichting: de organisatie moet zelf een analyse uitvoeren om te bepalen wat gevoelige gegevens zijn. Gedacht moet worden aan gevoelige gegevens in het kader van de WBP en anderzijds wachtwoorden en dergelijke. Test aanpak: interview met de verantwoordelijke functionaris, beoordeling van documentatie en observeer dat gevoelige gegevens versleuteld zijn opgeslagen. Toepasbaarheid gebied: software leverancier Scope: DigiD applicatie
B5-4
Versleutel cookies.
Appl-Scan Nadere toelichting: sessie cookies moeten worden versleuteld Test aanpak: observeer of tijdens het aanmaken van een cookie een beveiligde verbinding wordt gebruikt. Toepasbaarheid gebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet
B7-1
Maak gebruik van Intrusion Detection Systemen (IDS).
Infra-Proces
Nadere toelichting: intrusion detection systeem moet zijn geïnstalleerd en ingericht en er dient een beheerprocedure te zijn ingericht. Test aanpak: interview met de verantwoordelijke functionarissen, inspectie van inrichtingsdocumentatie en inspectie van follow-up acties naar aanleiding van alerts.
pag. 7
Ref.
Beveiligingsrichtlijn
Type
Handreiking voor de IT auditor Toepasbaarheid gebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet
B7-8
Voer actief controles uit op logging
Infra-Proces
Nadere toelichting: de controle op de logging zou met name gericht moeten zijn op de ondersteuning van het change management proces. Wijzigingen op de infrastructuur, netwerkconfiguratie en applicatie moeten worden gesignaleerd zodat geverifieerd kan worden dat wijzigingen op de juiste wijze door het wijzigingsprocess zijn gegaan. Test aanpak: interviews met de verantwoordelijke functionarissen, beoordeling van procedurebeschrijving, inspectie van rapportages uit de logging en inspectie van follow-up acties naar aanleiding van incidenten.
Toepasbaarheid gebied: houder DigiD aansluiting, software leverancier, hosting leverancier
B7-9
Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.
Scope: informatiebeveiliging binnen de organisatie.
Governance
Nadere toelichting: de governance scope moet breed worden geïnterpreteerd en niet uitsluitend in het kader van DigiD. Test aanpak: interviews met de verantwoordelijke functionarissen en beoordeling van documentatie.
pag. 8
