Kwaliteitsanalyse van het DigiD normenkader

Kwaliteitsanalyse van het DigiD normenkader

Kwaliteitsanalyse van het DigiD normenkader

Een analyse van het normenkader dat wordt gehanteerd bij het DigiD beveiligingsassessment.

Nummer: 2006 24-03-2014

Auteurs Roland Swinkels, MSc Tim Coenen, MSc

2514475 2525815

Begeleiders drs. Bart van Staveren, RE (VU) ing. Jacques Herman, RA RE (Deloitte)

Voorwoord Deze scriptie is tot stand gekomen in het kader van de Postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Vanwege de grote betrokkenheid van ons kantoor bij het DigiD beveiligingsassessment stelden wij vragen bij de totstandkoming van het gehanteerde normenkader. Dit in samenspraak met de maatschappelijke relevantie van het beveiligingsassessment zorgde ervoor dat wij dit een geschikt onderwerp vonden om onze studie mee af te sluiten. Graag bedanken wij onze begeleiders ing. Jacques Herman, RA RE (Deloitte) en drs. Bart van Staveren, RE (Vrije Universiteit) voor hun begeleiding en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie. Tevens bedanken wij drs. Rob Christiaanse (Vrije Universiteit) en dr. Joris Hulstijn (TU Delft) als zijnde sparring-partners met betrekking tot natuurlijke deductie en de meta-norm ‘relevantie’.

I

Samenvatting In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Om de beveiliging van de diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is een specifiek normenkader opgesteld. In dit onderzoek is de kwaliteit van versie 1.0 van het DigiD beveiligingsassessmentnormenkader onderzocht. Om de kwaliteit van normenkaders te kunnen beoordelen hebben wij de door NOREA gedefinieerde meta-normen verder geconcretiseerd en vervolgens hebben wij deze 5 meta-normen (objectiviteit; eenduidigheid; relevantie; herleidbaarheid; zorgvuldigheid) gehanteerd om een methode te ontwikkelen voor het beoordelen van normenkaders. Deze methode is vervolgens toegepast op het DigiD normenkader. Door het DigiD-normenkader te evalueren aan de hand van deze methode concluderen wij dat het DigiD beveiligingsassessment-normenkader slechts deels voldoet aan de kwaliteitseisen voor IT-audit normenkaders van NOREA. De specificiteit van normen kan vergroot worden door concreter aan te gegeven welke audit-objecten en acties relevant zijn en welke tijdslijnen hierbij in acht genomen dienen te worden. De herleidbaarheid van het normenkader is beperkt, waarbij wij constateren dat voornamelijk technische maatregelen sterk zijn vertegenwoordigd. Het normenkader besteedt onvoldoende aandacht aan het waarborgen van de authenticiteit en beschikbaarheid in het kader van de meta-norm zorgvuldigheid. Vanuit het oogpunt van maatschappelijk verantwoord IT-gebruik zijn dit essentiële aspecten. De relevantie van het normenkader als geheel dekt alle (door ons) geïdentificeerde risico’s en is daarom geschikt voor het beoogde doel. Aangezien bepaalde normen een lagere relevantiescore hebben kan overwogen worden om dergelijke normen achterwege te laten of deze te vervangen.

II

Inhoudsopgave VOORWOORD .................................................................................................................................. I SAMENVATTING ............................................................................................................................. II LIJST VAN FIGUREN ........................................................................................................................ V LIJST VAN TABELLEN ...................................................................................................................... V 1.

INLEIDING ................................................................................................................................ 1 1.1 1.2 1.2.1 1.3 1.4 1.4.1 1.4.2 1.4.3

RELEVANTIE ............................................................................................................................................ 1 PROBLEEMSTELLING ................................................................................................................................ 1 Deelvragen ....................................................................................................................................... 2 ONDERZOEKSAANPAK ............................................................................................................................ 2 THEORETISCH KADER ............................................................................................................................. 2 Afbakening ....................................................................................................................................... 3 Variabelen ........................................................................................................................................ 3 Termen en concepten ...................................................................................................................... 3

1.4.3.1 1.4.3.2 1.4.3.3 1.4.3.4 1.4.3.5

2.

Objectiviteit ............................................................................................................................................ 4 Eenduidigheid ........................................................................................................................................ 5 Relevantie ............................................................................................................................................... 5 Herleidbaarheid ..................................................................................................................................... 7 Zorgvuldigheid ....................................................................................................................................... 8

METHODE ............................................................................................................................... 10 2.1 2.2 2.2.1 2.2.2 2.3 2.4 2.5 2.5.1

3.

OBJECTIVITEIT ......................................................................................................................................10 EENDUIDIGHEID.....................................................................................................................................11 Multi-criteria analyse......................................................................................................................11 Effectentabel ....................................................................................................................................11 RELEVANTIE .......................................................................................................................................... 12 HERLEIDBAARHEID ............................................................................................................................... 13 ZORGVULDIGHEID................................................................................................................................. 14 Het proces van totstandkoming .................................................................................................... 15

CASE STUDY ............................................................................................................................ 16 3.1

OBJECTIVITEIT ......................................................................................................................................16 3.1.1 Specifiek ..........................................................................................................................................16 3.1.2 Meetbaar ......................................................................................................................................... 17 3.1.3 Realistisch .......................................................................................................................................19 3.1.4 Tijdsgebonden .................................................................................................................................19 3.1.5 Multi-criteria analyse.................................................................................................................... 20 3.1.6 Beantwoording deelvraag .............................................................................................................. 21 3.2 EENDUIDIGHEID................................................................................................................................... 22 3.2.1 Audit Objecten ............................................................................................................................... 22 3.2.2 Acties .............................................................................................................................................. 23 3.2.3 Tijdslijnen....................................................................................................................................... 24 3.2.4 Multi-criteria analyse.................................................................................................................... 25 3.2.5 Beantwoording deelvraag ............................................................................................................. 26 3.3 RELEVANTIE ......................................................................................................................................... 27 3.3.1 Risico identificatie ......................................................................................................................... 27 3.3.2 Relevantie berekening ................................................................................................................... 28

III

3.3.3 Beantwoording deelvraag ............................................................................................................. 29 3.4 HERLEIDBAARHEID .............................................................................................................................. 30 3.4.1 Gebruikte bronnen......................................................................................................................... 30 3.4.2 Risicoanalyse ................................................................................................................................. 30 3.4.3 Hiaten.............................................................................................................................................. 31 3.4.4 Beantwoording deelvraag ............................................................................................................. 32 3.5 ZORGVULDIGHEID................................................................................................................................ 34 3.5.1 Vertrouwelijkheid .......................................................................................................................... 34 3.5.2 Integriteit ....................................................................................................................................... 35 3.5.3 Authenticiteit................................................................................................................................. 36 3.5.4 Beschikbaarheid............................................................................................................................. 36 3.5.5 Beantwoording deelvraag ............................................................................................................. 37 4.

CONCLUSIE ............................................................................................................................. 39 4.1 4.2 4.3 4.4 4.5

BEANTWOORDING DEELVRAGEN .......................................................................................................... 39 BEANTWOORDING HOOFDVRAAG ........................................................................................................ 40 RELEVANTIE EN VERVOLG ONDERZOEK ................................................................................................. 41 REFLECTIE TIM COENEN ...................................................................................................................... 42 REFLECTIE ROLAND SWINKELS............................................................................................................. 42

LITERATUUR .................................................................................................................................. 43 BIJLAGEN ....................................................................................................................................... 44 APPENDIX A: NORMENKADER DIGID BEVEILIGINGSASSESSMENT ...................................................................... 44 APPENDIX B: LOGISCH BEWIJS VAN RELEVANTIE STELLING................................................................................ 46 APPENDIX C: UITWERKING VAN METANORM OBJECTIVITEIT ............................................................................. 47 APPENDIX D: MULTI-CRITERIA ANALYSE BIJ METANORM OBJECTIVITEIT ........................................................... 55 APPENDIX E: UITWERKING VAN METANORM EENDUIDIGHEID .......................................................................... 57 APPENDIX F: MULTI-CRITERIA ANALYSE BIJ METANORM EENDUIDIGHEID ......................................................... 62 APPENDIX G: RELEVANTIEGRADEN DIGID NORMENKADER ............................................................................... 64 APPENDIX H: UITWERKING VAN METANORM HERLEIDBAARHEID ..................................................................... 65 APPENDIX I: UITWERKING VAN METANORM ZORGVULDIGHEID ........................................................................ 69 APPENDIX J: MULTI-CRITERIA ANALYSE BIJ METANORM ZORGVULDIGHEID ....................................................... 73

IV

Lijst van figuren Figuur 1: Causaal model ....................................................................................................................................... 3 Figuur 2: Aspecten van herleidbaarheid............................................................................................................. 7 Figuur 3: Classificatie Specificiteit ..................................................................................................................... 17 Figuur 4: Classificatie Meetbaarheid .................................................................................................................18 Figuur 5: Classificatie Realisme ..........................................................................................................................19 Figuur 6: Classificatie Tijdsgebondenheid ....................................................................................................... 20 Figuur 7: Slecht scorende normen op objectiviteit .......................................................................................... 21 Figuur 8: Classificatie Audit Objecten.............................................................................................................. 23 Figuur 9: Classificatie Acties ............................................................................................................................. 24 Figuur 10: Classificatie Tijdslijnen..................................................................................................................... 25 Figuur 11: Slecht scorende normen op eenduidigheid .................................................................................... 26 Figuur 12: Raamwerk beveiliging web applicaties ........................................................................................... 27 Figuur 13: Classificatie Vertrouwelijkheid ........................................................................................................ 35 Figuur 14: Classificatie Integriteit ..................................................................................................................... 35 Figuur 15: Classificatie Authenticiteit ............................................................................................................... 36 Figuur 16: Classificatie Beschikbaarheid .......................................................................................................... 37 Figuur 17: Multi-criteria analyse Zorgvuldigheid ............................................................................................ 37

Lijst van tabellen Tabel 1: Effectentabel metanorm Eenduidigheid ............................................................................................. 12

V

1. Inleiding Volgens de ‘e-Government Survey’ van de Verenigde Naties is Nederland, na Zuid-Korea, wereldleider op het gebied van ontwikkelingen en investeringen in digitale communicatie tussen de overheid en haar inwoners (United Nations. Department of Economic and Social Affairs, 2012). Dergelijke ontwikkelingen en investeringen bieden Nederland aanzienlijke efficiëntie- en flexibiliteitsvoordelen. Hier dient echter wel rekening te worden gehouden met de risico’s die gepaard gaan met het digitaal aanbieden van overheidsdiensten. In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Het vereist niet veel fantasie om voor te stellen wat een kwaadwillende zoal kan doen met uw belastinggegevens, uw kentekenbewijs, of na het digitaal maken van een afspraak bij de gemeente: uw identiteitsbewijs. Om de beveiliging van diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is specifiek voor dit doel een normenkader opgesteld. Op basis hiervan dienen publieke organisaties die gebruik maken van de DigiD dienst zich uiterlijk voor eind 2013 te laten auditen.

1.1

Relevantie 1

De ‘DigiD’ dienst is de laatste periode regelmatig onderwerp van gesprek geweest : 8 januari 2014: ‘DigiD Amsterdammers gehackt’ 16 augustus 2013: ‘DigiD urenlang slecht bereikbaar door DDos-aanval’ 24 april 2013: ‘DigiD onbereikbaar door DDos-aanval’ 4 april 2013: ‘DigiD over paar jaar vervangen door fysieke pas’ 15 januari 2013: ‘DigiD volgens minister 'zo goed als het kan' 9 januari 2013: ‘DigiD onbereikbaar na lek’ 25 juli 2012: ‘Gemeenten nog niet klaar voor beveiligingstest’ 4 november 2011: ‘Veel gemeentesites nog niet veilig genoeg voor DigiD’ oktober 2011: ‘DigiD-fraude mogelijk door kwetsbare overheid sites’ 2

Naar aanleiding van onder meer het ‘lektober’ schandaal en andere beveiligingsincidenten is begin 2012 door de toenmalige minister Spies bepaald dat DigiD-gebruikende organisaties jaarlijks een beveiligingsassessment uit dienen te voeren naar de veiligheid van hun DigiD dienstverlening (Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties, 2012). Door Logius (de beheerorganisatie van DigiD) is gekozen voor een aantal beveiligingsrichtlijnen met betrekking tot web-applicaties, zoals opgesteld door het NCSC (Nationaal Cyber Security Centrum, 2012). Deze zijn verwerkt in het normenkader dat gehanteerd dient te worden bij het uitvoeren van het DigiD beveiligingsassessment, zie Appendix A: Normenkader DigiD beveiligingsassessment.

1.2

Probleemstelling

Het DigiD beveiligingsassessment staat nog in de kinderschoenen en in het normenkader is qua effectiviteit, duidelijkheid en toegevoegde waarde nog ruimte voor verbetering mogelijk. Het doel van dit onderzoek is de kwaliteit te onderzoeken van versie 1.0 van het DigiD beveiligingsassessment1

Bron: Nu.nl

2

In oktober 2011 is van tientallen (lokale) overheidssites aangetoond dat ze grote beveiligingslekken bevatten. Het ‘lektober’ schandaal. 1

normenkader. Een tweede doel is het aandragen van punten ter verbetering met betrekking tot het DigiD beveiligingsassessment-normenkader. Door het huidige normenkader tegen het licht te houden wordt meer inzicht verkregen in hoe op uniforme en efficiënte wijze assurance gegeven kan worden over cyber security. De hoofdvraag die zal worden beantwoord is de volgende: In welke mate voldoet het DigiD beveiligingsassessment-normenkader aan de kwaliteitseisen voor IT-audit normenkaders van NOREA? Deze vraag bekijken wij vanuit het perspectief van de auditor. 1.2.1 Deelvragen Om deze hoofdvraag te kunnen beantwoorden beoordelen wij het normenkader op basis van een aantal meta-normen (kwaliteitseisen) die door NOREA zijn opgesteld. In december 2002 heeft NOREA het studierapport ‘Raamwerk voor ontwikkeling Normenstelsels en standaarden’ uitgebracht (NOREA, 2002). Hierin wordt een vijftal meta-normen beschreven waarmee de kwaliteit van normenkaders in het IT-audit vakgebied kan worden beoordeeld, zijnde: herleidbaarheid, zorgvuldigheid, relevantie, eenduidigheid en objectiviteit. Op basis van deze meta-normen hebben wij onze deelvragen geformuleerd. 1. 2. 3. 4. 5.

Objectiviteit: Is het normenkader vrij van subjectiviteit bij het uitwerken van de normen? Eenduidigheid: Zijn de normen helder geformuleerd en worden ze derhalve uniform geïnterpreteerd? Relevantie: Is het DigiD beveiligingsassessment-normenkader geschikt voor het beoogde doel? Herleidbaarheid: Hoe is het DigiD beveiligingsassessment-normenkader tot stand gekomen en kan worden vastgesteld waaraan normen zijn ontleend? Zorgvuldigheid: Dienen de DigiD beveiligingsassessment-normen het maatschappelijke belang en is voldoende zorg besteed aan de totstandkoming van het normenkader?

1.3

Onderzoeksaanpak

Het onderzoek bestaat uit drie delen: • •

•

Het eerste deel (paragraaf 1.4 Theoretisch kader) richt zich op het beschrijven van onze interpretatie van de meta-normen aan de hand van de literatuur. Het tweede deel (hoofdstuk 2 Methode) richt zich op het ontwikkelen van een methode om de kwaliteit van een normenkader te toetsen aan de hand van de meta-normen en dit waar mogelijk te kwantificeren. Het derde deel (hoofdstuk 3 Case study) richt zich op het toepassen van de ontwikkelde methode op het DigiD beveiligingsassessment-normenkader.

Hierbij is het onderzoek te typeren als een kwalitatief toetsend onderzoek.

1.4

Theoretisch kader

De theoretische basis die wij hanteren voor de opzet van dit onderzoek is voornamelijk gebaseerd op een publicatie van NOREA (Nederlandse Orde van Register EDP-Auditors) waarin meta-normen zijn gedefinieerd waarmee de kwaliteit van een IT-audit raamwerk kan worden getoetst (NOREA, 2002). De NOREA publicatie formuleert de vijf verschillende meta-normen als volgt: 1. 2.

Objectiviteit: de mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding; Eenduidigheid: de mate van precisering en eenduidigheid van formulering; 2

3. Relevantie: de mate waarin normen(stelsels) bruikbaar zijn voor bepaalde audit-opdrachten; 4. Herleidbaarheid: de mate waarin kan worden vastgesteld waaraan normen(stelsels) zijn ontleend; 5. Zorgvuldigheid: de mate waarin het normenstelsel beantwoordt, al dan niet juridisch verankerd, aan de maatschappelijke opvattingen over behoorlijk IT-gebruik. De 5 deelvragen die worden beantwoord in dit onderzoek (zie paragraaf 1.2.1) zijn gebaseerd op bovenstaande meta-normen. 1.4.1 Afbakening Binnen dit onderzoek doen wij de aanname dat de publicatie van NOREA met de vijf meta-normen de graadmeter is voor het bepalen van de kwaliteit van een normenkader. We nemen dit gegeven aan als waarheid en proberen zo helder mogelijk onze interpretatie van de meta-normen te specificeren in paragraaf 1.4.3. Daarnaast passen wij deze kwaliteitsanalyse toe op versie 1.0 van het normenkader dat wordt gebruikt voor het uitvoeren van het DigiD beveiligingsassessment zoals dit is vastgesteld op 21 februari 2012 (Logius - Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2012). Dit normenkader bestaat uit 28 normen en is te vinden in Appendix A: Normenkader DigiD beveiligingsassessment. 1.4.2 Variabelen In onderstaand causaal model representeren wij de variabelen in dit onderzoek om de oorzakelijkheid grafisch weer te geven.

Voldoen aan meta-normen

Norm

+

Kwaliteit van normenkader

Figuur 1: Causaal model

De mate waarin de normen voldoen aan de meta-normen zoals door NOREA opgesteld, is positief gecorreleerd aan de kwaliteit van het normenkader. 1.4.3 Termen en concepten In het rapport van NOREA is per meta-norm een definitie gegeven. Deze definities geven echter nog ruimte voor verschillende interpretaties. In deze paragraaf bespreken we de vijf meta-normen en wordt per meta-norm de interpretatie uitgelegd zoals is gehanteerd in dit onderzoek.

3

1.4.3.1

Objectiviteit

ob·jec·tief 1 zich bepalend tot de feiten, niet beïnvloed door eigen gevoel of door vooroordelen hyperoniem: waarheidsgetrouw hyponiem(en): broodnuchter, nuchter

3

Er zijn vele verschillende manieren waarop objectiviteit kan worden geïnterpreteerd. Binnen de filosofie bijvoorbeeld bestaat iets objectief wanneer dit niet afhangt van het bewustzijn van een individu. In de juridische wereld ligt de nadruk op onpartijdigheid en onafhankelijkheid en in de psychologie gebruiken ze niet het woord objectief maar de termen betrouwbaarheid en validiteit om hetzelfde aan te duiden. Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de metanorm ‘objectiviteit’: De mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding. De definitie van de norm geeft veel ruimte voor interpretatie. We doen twee aannames in het kader van de definitie: 1.

2.

Een norm wordt opgesteld door een persoon en een norm wordt getest door een ander persoon. Dit zijn de twee actoren binnen de definitie waar ‘persoonlijke beïnvloeding’ op van toepassing kan zijn. Daarnaast kan ‘persoonlijke beïnvloeding’ van toepassing zijn op de beschrijving van de norm of op de uitwerking van de norm.

Op basis van de bovenstaande twee aannames zijn vier manieren te onderscheiden waarop de persoonlijke beïnvloeding van of door de normen plaats kan vinden: 1. 2. 3. 4.

Beïnvloeding in de beschrijving van de norm door de tester (uitgesloten); Beïnvloeding in de beschrijving van de norm door de opsteller (herleidbaarheid); Beïnvloeding in de uitwerking van de norm door de tester (relatie met eenduidigheid); Beïnvloeding in de uitwerking van de norm door de opsteller (evident);

De eerste manier is uitgesloten, daar een tester geen beschrijving opstelt. De tweede manier heeft te maken met de herleidbaarheid van de norm: op welke wijze heeft de opsteller de beschrijving van de norm opgesteld? Herleidbaarheid is een andere meta-norm die in paragraaf 1.4.3.4 is uitgewerkt. De derde manier heeft een sterke relatie met de meta-norm eenduidigheid: werken alle testers de norm op dezelfde wijze uit? Eenduidigheid is een andere meta-norm die in paragraaf 1.4.3.2 is uitgewerkt. De vierde manier is tevens uitgesloten, aangezien het evident is dat de wijze waarop de norm is opgesteld invloed zal hebben op de uitwerking van de norm. De bovenstaande uitwerkingen van deze vier “manieren” leiden ertoe dat wij in het kader van dit onderzoek voornamelijk uitgaan van de derde interpretatie van het begrip objectiviteit: beïnvloeding in de uitwerking van de norm door de tester. Hierbij onderkennen wij een duidelijk verschil met de metanorm eenduidigheid. Waar bij objectiviteit wordt uitgegaan van een verschillende uitwerking van een

3

Van Dale versie 5.0 uit 2009 4

norm bij eenzelfde interpretatie, is bij eenduidigheid juist de vraag of sprake is van deze gelijke interpretatie. Bij het beoordelen van objectiviteit beperken wij ons binnen dit onderzoek tot de objectiviteit van de individuele normen en derhalve laten wij de objectiviteit van het normenkader als geheel buiten beschouwing. 1.4.3.2

Eenduidigheid

een·dui·dig 1 voor slechts één uitleg vatbaar synoniem(en): ondubbelzinnig antoniem(en): meerduidig

4

Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm ‘eenduidigheid’: De mate van precisering en eenduidigheid van formulering. Het antoniem van eenduidig is ambigu. Ambiguitieit komt voor wanneer context mist. Een normenkader is ontwikkeld met een duidelijk doel. Om die reden wordt de eenduidigheid van het normenkader als geheel niet getoetst. Daarentegen wordt de syntactische ambiguiteit (multiinterpretabele zinsconstructies) en semantische ambiguiteit (multi-interpretabele woorden) voor de individuele normen wel getoetst aangezien de indivduele normen wellicht op meerdere manieren kunnen worden geinterpreteerd. Wij maken hierbij een duidelijk onderscheid met de meta-norm objectiviteit. Bij de meta-norm objectiviteit kan men zich de vraag stellen: Kan de norm op verschillende wijzen worden uitgewerkt bij een gelijke interpretatie van de norm? Bij de meta-norm eenduidigheid kan men zich de vraag stellen: Kan de norm op verschillende wijze worden geinterpreteerd? De mate van eenduidigheid van een norm is negatief gecorreleerd aan het subjectief uitwerken van de norm. In andere woorden: hoe minder eenduidig de norm is opgesteld, hoe groter de kans dat een norm subjectief wordt uitgewerkt. Bij het beoordelen van eenduidigheid beperken wij ons binnen dit onderzoek tot de eenduidigheid van de individuele normen en daarom laten wij de eenduidigheid van het normenkader als geheel buiten beschouwing. 1.4.3.3

Relevantie

re·le·vant 1 belangrijk binnen een bepaald kader hyperoniem: belangrijk1 antoniem(en): irrelevant

5

Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm ‘relevantie’:

4

Van Dale versie 5.0 uit 2009

5

Van Dale versie 5.0 uit 2009 5

De mate waarin normen(stelsels) bruikbaar zijn voor bepaalde audit-opdrachten In een artikel van Hjørland & Sejer Christensen uit 2002 (Christensen, 2002) vinden we de volgende definitie van relevantie: Something (A) is relevant to a task (T) if it increases the likelihood of accomplishing the goal (G), which is implied by T. De waarden A, T en G vertalen zich in ons onderzoek als volgt: (A) De Logius normen; (T) Het uitvoeren van het DigiD beveiligingsassessment; (G) Het beoordelen van de beheersing van de informatiebeveiligingsrisico’s ten aanzien van DigiD. Dat geeft de volgende definitie in het kader van ons onderzoek: De Logius normen zijn relevant voor het uitvoeren van het DigiD beveiligingsassessment als het de waarschijnlijkheid vergroot dat daarmee de informatiebeveiligingsrisico’s van de DigiD koppeling inzichtelijk worden gemaakt. Op basis van bovenstaande definitie van relevantie hebben wij stellingen gedefinieerd waarmee de relevantie aangetoond kan worden. Onze stelling over de relevantie van een normenkader in natuurlijke taal is als volgt: Voor alle normen in het normenkader geldt: als er een norm is dat een risico mitigeert en dit risico is relevant voor het assessment, dan is de norm ook relevant voor het assessment. En andersom geldt: Voor alle normen in het normenkader geldt: als er norm is dat geen risico mitigeert, of als er een norm is dat een risico wel mitigeert en dit risico is niet relevant voor het assessment, dan is deze norm niet relevant voor het assessment. We gaan hierbij uit van een oplossingsgerichttheid waarbij uit een norm altijd maatregelen vloeien die een risico kunnen mitigeren. Op basis van bovenstaande definities spreken we in dit kader dus over de relevantie van de opzet van de normen. De relevantie van de uitwerking van de normen valt buiten de scope van dit onderzoek. Natuurlijke deductie is een methode om de geldigheid van een redenering te bewijzen. Met preditcaatlogica kunnen we de relatie tussen verzamelingen objecten aangeven. Onze stelling geformuleerd in predicaatlogica maakt het volgende:

Zie Appendix B: Logisch bewijs voor het logisch bewijs van de bovenstaande stelling. Naast het beoordelen van de relevantie per norm volgens bovenstaande methodologie onderkennen wij binnen dit onderzoek echter ook de relevantie van het gehele normenkader. Hierbij zal worden gekeken naar hoe de relevantie van het normenkader zich verhoudt tot de omgeving waarbinnen het 6

normenkader wordt gehanteerd. Het normenkader zal namelijk worden toegepast bij een breed scala aan organisaties, waarbij sprake is van grote diversiteit als het gaat om omvang en complexiteit. De risico’s zijn niet altijd hetzelfde en in elke omgeving zijn andere aspecten relevant. 1.4.3.4

Herleidbaarheid

her·leid·baar 1 herleid kunnende worden, te herleiden antoniem(en): onherleidbaar

6

Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm ‘herleidbaarheid’: De mate waarin kan worden vastgesteld waaraan normen(stelsels) zijn ontleend. De bron waar de normen op zijn gebaseerd dient duidelijk beschreven te zijn en er dient een duidelijke relatie te bestaan tussen de normen en de bronnen. We testen deze norm op verschillende aspecten: 1. 2. 3.

Is de relatie duidelijk tussen het normenkader en de gebruikte bronnen? Ligt een risicoanalyse ten grondslag aan de samenstelling van het normenkader? Onderkennen wij aspecten uit raamwerken/standaarden die onvoldoende zijn meegenomen door het normenkader?

Risicoanalyse

2

1 Normen

Bronnen

3 Figuur 2: Aspecten van herleidbaarheid

Met het eerste aspect toetsen wij of de normen in het normenkader hun oorsprong vinden in bronnen die zijn gebruikt bij het ontwikkelen van het normenkader. Met het tweede aspecten toetsen wij of een risicoanalyse ten grondslag ligt aan de totstandkoming van het normenkader. In paragraaf 1.4.3.3 Relevantie hebben wij gezegd dat een normenkader relevant is als het risico’s mitigeert. Deze risico’s dienen wel geïdentificeerd te zijn. Met het derde aspect wordt getoetst of onderdelen uit bronnen waarvan wij vinden dat deze in het normenkader voor moeten komen daadwerkelijk met het normenkader worden getoetst. We testen deze meta-norm daarom vanuit verschillende perspectieven. Niet enkel van normenkader naar bronnen, maar ook van te verwachte bronnen naar normenkader en van normenkader naar onderliggende riscio’s. Hierbij kijken wij naar de herleidbaarheid van zowel de normen als het normenkader in zijn geheel.

6

Van Dale versie 5.0 uit 2009 7

1.4.3.5

Zorgvuldigheid

zorg·vul·dig 1 waaraan veel zorg besteed is of wordt synoniem(en): accuraat, consciëntieus, nauw, nauwgezet, nauwkeurig, precies, punctueel, scrupuleus, secuur, soigneus, stipt

7

Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm ‘zorgvuldigheid’: De mate waarin het normenstelsel beantwoordt, al dan niet juridisch verankerd, aan de maatschappelijke opvattingen over behoorlijk IT-gebruik. Maatschappelijke opvattingen in dit kader zijn de opvattingen van de maatschappij over hoe de overheid met de digitale gegevens van de burgers omgaat. Vanuit het oogpunt dat we te maken hebben met een normenkader dat is gericht op de beveiliging van digitale gegevens, is binnen de rechtspraak een aantal beginselen met betrekking tot het behoorlijk IT gebruik juridisch verankerd (Siemerink, 2007). 1.

Vertrouwelijkheid a. Het recht dat onbevoegden geen kennis nemen van als geheim of vertrouwelijk aangemerkte gegevens. 2. Integriteit a. Het recht om zeker te zijn van de correctheid van gegevens. 3. Authenticiteit a. Het vaststellen van de geldigheid van (rechts)handelingen. 4. Beschikbaarheid a. Het recht om informatie te ontvangen (Raad van Europa, 1950). 5. Transparantie a. Het recht om inzicht te hebben in de informatie die de overheid over je beheert. 6. Flexibiliteit a. Het recht dat nieuwe regelingen en feiten eenvoudig moeten kunnen worden ingepast binnen de gebruikte informatiesystemen. Maatschappelijke opvattingen zijn aan verandering onderhevig. Wat nu een hoge prioriteit heeft, heeft dat morgen misschien niet meer. Het kan daarom afhankelijk zijn van de testperiode welke de maatschappelijke opvattingen relevant zijn. We doen de aanname dat we de belangrijkste maatschappelijke opvattingen met betrekking tot behoorlijk IT gebruik met bovenstaande 6 beginselen genoemd hebben. Naast dat de meta-norm zorgvuldigheid voor elk van de normen uit het normenkader is toegepast, richt dit onderzoek zich tevens op de zorgvuldigheid van de totstandkoming van het normenkader als geheel. Wij onderkennen verschillende elementen die van belang zijn om de zorgvuldigheid van de totstandkoming van het normenkader te beoordelen: 1. 2. 7

Hoe zijn ‘key’ beslissingen genomen? Zijn de belangen van betrokken partijen voldoende afgewogen?

Van Dale versie 5.0 uit 2009 8

3.

Wat waren beperkingen binnen het proces en wat was de invloed hiervan op het eindresultaat?

9

2. Methode We voeren een kwaliteitsanalyse uit op basis van onze interpretatie van de meta-normen zoals beschreven in het theoretisch kader. In dit hoofdstuk wordt de methode beschreven waarmee wij onze analyse uitvoeren. We proberen dit waar mogelijk te kwantificeren, maar het uitvoeren van een kwaliteitsanalyse impliceert al dat kwantificatie niet altijd mogelijk is.

2.1 Objectiviteit Om de objectiviteit van de normen te toetsen, oftewel om vast te stellen in hoeverre een norm verschillend kan worden uitgewerkt bij een gelijke interpretatie, controleren we of de normen het SMART-principe hanteren. SMART staat voor: Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden (Rubin, 2002). Wanneer normen het SMART principe hanteren wordt een acceptabele mate van objectiviteit gewaarborgd (Doran, 1981). Voor het toetsen van de mate van objectiviteit van de normen, verifiëren wij of de normen voldoen aan het SMART-principe. Hiervoor worden de normen grammaticaal ontleed aan de hand van de volgende aspecten: Specifiek: In de norm staat duidelijk beschreven op welke objecten de norm van toepassing is. Voor het toetsen of de norm specifiek genoeg is ontleden we de norm taalkundig en redekundig ontleden. Afhankelijk van de wijze waarop de norm is opgesteld zoeken we een zelfstandig naamwoord (taalkundig), een lijdend voorwerp (redekundig) of een meewerkend voorwerp (redekundig). Meetbaar: De acties in de norm zijn door middel van documentatie/auditwerkzaamheden te bewijzen. De wijze waarop een norm gemeten kan worden is subject aan de professionaliteit van de auditor en wordt doorgaans niet gedocumenteerd in de norm zelf. Dat het te bewijzen moet kunnen zijn tijdens de auditwerkzaamheden is wel van belang. Acceptabel: Zoals vermeld in het theoretisch kader werken wij het principe Acceptabel niet uit in deze paragraaf. Zie hoofdstuk 2.3. Realistisch: Het uitvoeren van de norm is haalbaar binnen de kaders van het assessment. Een norm is realistisch wanneer men naar alle redelijkheid mag verwachten dat de auditor die verantwoordelijk is voor het testen van de norm hiertoe in staat kan worden geacht. Het hanteren van onrealistische normen kan er toe leiden dat bij een gelijke interpretatie van de norm deze toch anders wordt gehanteerd. Tijdsgebonden: In de norm staan concrete tijdspaden vermeld. Het vermelden van tijd is niet bij elke norm even relevant. Echter het concretiseren van tijd is wel van belang. Passieve vermeldingen van tijd zijn bijvoorbeeld: af en toe, regelmatig of genoeg. Om de normen te beoordelen op bovenstaande aspecten en dit tevens te kwantificeren passen wij een multi-criteria analyse toe. Voor een nadere toelichting met betrekking tot de aanpak van deze analyse verwijzen wij naar paragraaf 1.12.2.1.

10

Bij deze multi-criteria analyse is aan elk van de aspecten (specificiteit etc.) een weging meegegeven. De toegekende wegingen zijn als volgt voor de verschillende aspecten: • • • •

Specificiteit: 50% Meetbaarheid: 10% Realisme: 10% Tijdsgebondenheid: 30%

Voor deze verdeling is gekozen aangezien wij verwachten dat het aspect specificiteit een grote invloed zal hebben op de overige aspecten. Met betrekking tot de multi-criteria analyse is per norm voor elk van de principes een waarde toegekend (0=not ok; 1=partially ok; 2=ok of 2=niet van toepassing). Door deze waarden vervolgens te vermenigvuldigen met de wegingen per principe en door vervolgens de waarden per norm op te tellen komen wij tot een waardering per norm.

2.2 Eenduidigheid Om te toetsen of per norm sprake is van syntactische of semantische ambiguiteit, voeren wij per norm een analyse uit waarbij de volgende vragen worden gesteld: 1. 2. 3.

Is het op verschillende manieren te interpreteren welke audit objecten van toepassing zijn? Is het op verschillende manieren te interpreteren welke acties uitgevoerd dienen te worden? Is het op verschillende manieren te interpreteren op welke tijdslijnen de acties uitgevoerd dienen te worden?

Aangezien de normen op bovenstaande 3 criteria beoordeeld worden op zowel syntactische als semantische ambiguiteit maken wij gebruik van een multi-criteria analyse. 2.2.1 Multi-criteria analyse Met een multi-criteria analyse kunnen objecten op meerdere criteria beoordeeld worden om deze kwalitatieve beoordeling zoveel mogelijk te kwantificeren. Per norm wordt beoordeeld in welke mate deze voldoet aan de eerder genoemde criteria. We gebruiken drie verschillende waarden in onze analyse: een ‘0’ wanneer een criterium niet voorkomt in de norm; een ‘1’ wanneer een criterium wel voorkomt in de norm maar ambigu is opgesteld, dus op twee verschillende manieren kan worden geïnterpreteerd; een ‘2’ wanneer een criterium wel voorkomt in de norm en maar op één manier kan worden geïnterpreteerd. De antwoorden op de eerder genoemde drie vragen zijn de criteria waarop kwalitatief wordt beoordeeld of een norm al dan niet eenduidig is. Welke waarde elk criterium heeft is vastgelegd in een effectentabel. In het theoretisch kader is er voor gekozen om dit onderzoek slechts te beperken tot de objectiviteit van de individuele normen. 2.2.2 Effectentabel Er zijn twee manieren waarop ambiguiteit kan voorkomen: syntactische ambiguiteit (multiinterpretabele zinconstructies) en semantische ambiguiteit (multi-interpretabele woorden). In een effectentabel kennen we waarden toe aan zowel de syntactische ambiguiteit als de semantische

11

ambiguiteit van elk van de eerder genoemde criteria. De waarden liggen tussen de ‘0’ en ‘1’ en zijn kwalitatief gekozen. Zo is er voor gekozen om de criteria ‘Audit objecten’, ‘Acties’ en ‘Tijdslijnen’ te toetsen, omdat het voor de eenduidigheid van de norm belangrijk is dat deze criteria helder en uniform worden geinterpreteerd. Bij het aspect ‘Tijdslijnen’ is er voor gekozen om deze semantisch te testen, aangezien dit bij de interpretatie van de tijdslijnen de meeste onduidelijkheid op kan leveren.

Syntactisch Semantisch

Audit objecten 0,35 -

Acties 0,45 -

Tijdslijnen 0,20

Tabel 1: Effectentabel metanorm Eenduidigheid

Aan de hand van bovenstaande waarden in de effectentabel is het mogelijk om voor zowel de syntactische ambiguiteit als de semantische ambiguiteit een kwantitatieve waarde te berekenen na de multi-criteria analyse. Afhankelijk van deze waarde kan bepaald worden in welke mate een norm eenduidig is. Het is theoretisch mogelijk om hiermee de eenduidigheid van het gehele normenkader te kwantificeren, echter is er in het theoretisch kader voor gekozen om dit onderzoek slechts te beperken tot de eenduidigheid van de individuele normen.

2.3 Relevantie Relevantie is een subjectief begrip, niet elke norm is even relevant en een norm kan indirect relevant zijn. We proberen dit te kwanitificeren op basis van onderstaande, zelf ontwikkelde, methode. De basis hiervoor is ons begrip van relevantie zoals dat in het theoretisch kader is genoemd. Per norm kan een ‘relevantiegraad‘ worden bepaald door het kwalitatief classificeren van het risico. Dus ) in relatie tot de norm en het inschatten van de impact en de likelyhood van de gekoppelde risico’s ( het doel van het assessment. Dit doen we door te beginnen met een risico identificatie. De risico identificatie vindt plaats op basis van het doel van het assessment. Vervolgens leggen we de relatie tussen normen en één of meerdere risico’s die worden gemitigeerd door deze normen. Daarna kunnen we het risicoprofiel van elk van de 28 normen individueel beoordelen en kunnen we een relevantiegraad aan de normen toekennen. De som van alle relevantiegraden geeft de mate weer waarin het normenstelsel relevant is voor het doel. Wanneer elk risico minstens één mitigerende norm heeft, dan is de relevantiewaarde van het normenstelsel altijd 100%.

We nemen hierbij drie verschillende aspecten mee in onze berekening: (1) de classificatie van de risico’s (2) het aantal normen dat een risico mitigeert en (3) het aantal risico’s dat wordt gemitigeerd door een norm. 12

Wanneer een norm een risico mitigeert dat een hoge risico classificatie heeft, dan wordt deze norm relevanter voor het assessment. Wanneer vervolgens meerdere normen eenzelfde risico mitigeren, dan worden de normen iets minder relevant voor het assessment. Als een norm niet wordt getest, wordt het bijbehorende risico immers nog steeds getest door andere normen. Tenslotte, wanneer een norm meerdere risico’s mitigeerd wordt deze norm relevanter voor het assessment aangezien deze norm meer bijdraagt aan het verwezenlijken van het assessment doel. Om complementaire normen of indirect relevante normen in dit model te berekenen, kan naast een 100% mitigerende waarde ( = 1) ook een andere waarde tussen 0 en 1 gekozen worden. Een mitigerende waarde van

= 0,5 betekent dus dat een norm maar voor 50% het risico mitigeert. Dit kan

betekenen dat de norm van andere normen afhankelijk is om het risico volledig te mitigeren, of dat een norm indirect relevant is en wij de mitigerende waarde als 50% inschatten. De impact, likelyhood en variabele

worden op een kwalitatieve wijze beoordeeld.

Naast het beoordelen van de relevantie van de verschillende normen voor het DigiD beveiligingsassessment van de verschillende normen, beoordelen we in het kader van dit onderzoek ook de relevantie van het normenkader als geheel.

2.4 Herleidbaarheid Om de herleidbaarheid van het normenkader als geheel te toetsen, zijn binnen het theoretisch kader al 3 verschillende elementen beschreven. Stap 1 betreft het herleiden van de bron(nen) waarop de normen zijn gebaseerd. Vervolgens kunnen deze bronnen waarschijnlijk ook herleid worden naar de bronnen van deze bronnen. Om niet te verzanden in een oneindige zoektocht naar de absolute basisbronnen zijn enkel de eerste 2 stappen genomen. Dus het herleiden van de bronnen van de normen, en de bronnen van deze bronnen. Met betrekking tot het tweede aspect van de toetsing van de herleidbaarheid wordt onderzocht of een risicoanalyse ten grondslag heeft gelegen aan de totstandkoming van het normenkader. Hierbij wordt gekeken of een dergelijke analyse heeft plaatsgevonden en zo ja, hoe en door wie deze is uitgevoerd en hoe hierbij is gegarandeerd dat men volledig is geweest. Daarnaast wordt tevens gekeken in hoeverre de normen en het normenkader als geheel aansluiten bij een eventuele risicoanalyse. Bij het derde aspect van het toetsen van de herleidbaarheid nemen we onder andere een aantal belangrijke bronnen in ogenschouw. Wij vinden dat rekening gehouden dient te worden met enkele van onderstaande bronnen. COBIT framework 4.1, ISACA. ISACA staat voor de Information Systems Audit and Control Association en ISACA is de organisatie die het COBIT framework heeft ontworpen met als doel om richtlijnen te bieden met betrekking tot het gestructureerd inrichten en beoordelen van ITbeheeromgevingen. Ten tijde van het opstellen van het DigiD normenkader (begin 2012) was versie 4.1 de meest recente versie van het COBIT framework (ISACA, 2007) Special Publication (SP) 800-53, NIST. Het NIST (National Institute for Standards and Technology) heeft Special Publication (SP) 800-53 ontwikkeld als richtlijn op het gebied van IT security (National Institute of Standards and Technology (NIST), 2009). CSIS: 20 Critical Security Controls Version 4.0, SANS Institute. Het SANS Institute heeft een aantal kritische beheersmaatregelen beschreven ten aanzien van cyber security: de CSIS: 20 Critical Security Controls Version 4.0.

13

ISO27001, International Organization for Standardization. De ISO27001 norm is de ISO standaard voor informatiebeveiliging. Hierin worden richtlijnen aangeven over hoe processen rondom informatiebeveiliging ingericht kunnen worden. OWASP Top 10, Open Web Application Security Project. OWASP brengt met enige regelmaat de OWASP Top 10 uit met de 10 meest voorkomende zwakheden in web applicaties. Door het attenderen van ontwikkelaars op deze zwakheden kunnen mogelijkheden waarop hackers web applicaties kunnen compromitteren worden aangepakt.

2.5 Zorgvuldigheid 8

Artikel A-100.1 uit de Code of Ethics van NOREA (de beroepsorganisatie van IT-auditors) is de volgende:

De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee. De IT-auditor dient het algemeen belang. Een normenkader dat wordt gehanteerd door een IT-auditor dient zorgvuldig te worden opgesteld zodat de auditor met behulp van dit normenkader het algemeen of maatschappelijk belang dient. Dit doet de IT-auditor door te toetsen op behoorlijk IT gebruik door bedrijven die te maken hebben met voor de maatschappij relevante informatie, zoals persoonsgegevens. In het theoretisch kader hebben wij 6 beginselen van behoorlijk IT gebruik onderkend. Van deze 6 beginselen zijn slechts de eerste 4 beginselen getoetst in het kader van dit onderzoek. De beginselen 5 en 6 hebben geen directe relevantie hebben binnen het DigiD beveiligingsassessment aangezien beheersmaatregelen met betrekking tot de informatiebeveiliging niet tegemoet komen aan deze beide aspecten. 1.

Vertrouwelijkheid a. Het recht dat onbevoegden geen kennis nemen van als geheim of vertrouwelijk aangemerkte gegevens.

De gegevens die met DigiD op te vragen zijn, zijn onder andere belastinggegevens, gegevens uit de Gemeentelijke Basis Administratie of bijvoorbeeld gegevens van de zorgverzekeraar. Dit zijn bij uitstek gegevens die als vertrouwelijk aan te merken zijn. Het DigiD normenkader zal moeten voorzien in acties of processen die er voor zorgen dat gegevens versleuteld worden opgeslagen en minder eenvoudig kunnen worden ingezien door onbevoegden. 2.

Integriteit a. Het recht om zeker te zijn van de correctheid van gegevens (niet ten onrechte gewijzigd of aangevuld).

Gebruikers van DigiD moeten er op kunnen vertrouwen dat gegevens die door de dienstverlenende partij worden beheerd niet ten onrechte worden gewijzigd of worden aangevuld, waardoor de gebruiker van DigiD zal worden benadeeld. Derhalve zal het DigiD normenstelsel moeten voorzien in normen waarmee wordt getoetst of maatregelen waarmee de integriteit van gegevens worden gewaarborgd aanwezig zijn en correct functioneren. 3.

8

Authenticiteit

http://www.norea.nl/Norea/Thema's/Statuten+en+reglementen/Reglement+Gedragscode.aspx 14

a. Ten aanzien van de natuurlijke of rechtspersonen die deelnemen aan het elektronisch berichtenverkeer moet kunnen worden vastgesteld of zij ‘echt’ zijn, anders kan de geldigheid van (rechts)handelingen niet worden vastgesteld. Wanneer iemand in probeert te loggen op de DigiD dienst dan moet het onweerlegbaar zijn dat dit de juiste persoon betreft. Dit is een onderdeel dat de DigiD dienst dient te waarborgen. Het DigiD normenkader zal normen moeten bevatten waarmee wordt voorkomen dat de authenticiteit van de gebruiker kan worden gecompromitteerd. 4. Beschikbaarheid a. Het recht om informatie te ontvangen (Raad van Europa, 1950). 9

De beschikbaarheid van elke web applicatie is erg fragiel. DDos of soortgelijke aanvallen kunnen de beschikbaarheid van web applicaties (en dus de DigiD dienst) ondermijnen. Het normenkader dient hierin te voorzien door op zijn minst te toetsen op stabiliteit en continuïteit van de infrastructuur. We toetsen deze meta-norm door per norm aan te geven op welke van de 4 bovenstaande aspecten deze norm betrekking heeft. Vervolgens beoordelen wij per aspect of deze in voldoende mate is meegenomen in het normenkader. We beoordelen deze meta-norm dus op het normenkader als geheel. 2.5.1 Het proces van totstandkoming Naast het inhoudelijk beoordelen van de zorgvuldigheid zoals hierboven beschreven, onderzoeken we in het kader van dit onderzoek tevens in hoeverre het proces aangaande de totstandkoming van het normenkader voldoende zorgvuldig is verlopen. Hierbij wordt specifiek gekeken naar de in het theoretisch kader genoemde elementen om te beoordelen in hoeverre voldoende zorg is besteed aan de totstandkoming van het normenkader. De elementen die hierbij worden beoordeeld zijn de volgende: 1. 2. 3.

Hoe zijn ‘key’ beslissingen genomen (e.g. waarom en hoe zijn de 28 normen gekozen uit de totale set van 59 beveiligingsrichtlijnen)? Zijn de belangen van betrokken partijen voldoende afgewogen? Wat waren beperkingen binnen het proces en wat was de invloed hiervan op het eindresultaat (e.g. politieke, financiële of tijdsbeperkingen)?

9

Distributed Denial of Service attacks. Het overbelasten van een infrastructuur met het doel de beschikbaarheid van web applicaties te ondermijnen. 15

3. Case study Om de methode zoals beschreven in hoofdstuk 2 te toetsen, passen wij deze toe op het DigiD beveiligingsassessment-normenkader opgesteld door Logius (bestaande uit 28 normen). We beginnen met de meta-normen Objectiviteit en Eenduidigheid aangezien een sterke relatie bestaat tussen deze twee normen. Vervolgens wordt de Relevantie en de Herleidbaarheid beschreven om af te sluiten met de Zorgvuldigheid. Aan het eind van elke paragraaf wordt het antwoord gegeven op de deelvraag behorende bij de desbetreffende meta-norm.

3.1 Objectiviteit De eerste meta norm die getoetst wordt is de meta-norm objectiviteit. Hierbij richten wij ons specifiek op de individuele normen en niet op het normenkader als geheel. Zoals in paragraaf 2.1 is toegelicht beoordelen wij aan de hand van de SMART principes de normen. In paragraaf 2.1 is nader toegelicht dat dit heeft geleid tot de volgende 4 aspecten welke wij per norm beoordelen: • • • •

Specifiek: In de norm staat duidelijk beschreven op welke objecten de norm van toepassing is en daarbij is specifiek aangegeven aan welke criteria de objecten moeten voldoen. Meetbaar: De acties in de norm zijn door middel van documentatie/auditwerkzaamheden te bewijzen. Realistisch: Het uitvoeren van de norm is haalbaar binnen de kaders van het assessment. Tijdsgebonden: In de norm staan concrete tijdspaden vermeld.

De tabel in Appendix C: Uitwerking van metanorm Objectiviteit bevat een overzicht van de resultaten per getoetst principe (Specifiek, Meetbaar, Realistisch, Tijdsgebonden) voor elk van de normen uit het DigiD beveiligingsassessment normenkader. Onderstaande paragrafen bevatten de belangrijkste observaties en conclusies met betrekking tot de verschillende principes in relatie tot het normenkader. Daarnaast bevat Appendix D: Multi-criteria analyse bij metanorm Objectiviteit de resultaten van een uitgevoerde multi-criteria analyse waarbij de resultaten van de getoetste principes per norm zijn gekwantificeerd. In paragraaf 3.1.5 is nog een analyse toegevoegd van de normen die het slechtst scoren in de multi-criteria analyse. 3.1.1 Specifiek Bij het analyseren van de normen met betrekking tot of in de norm specifiek beschreven staat op welke objecten deze van toepassing is, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

Het object van onderzoek is duidelijk beschreven en daarbij is specifiek aangegeven aan welke criteria dit object moet voldoen.

partially ok

Het object van onderzoek en de daaraan gestelde criteria zijn onvoldoende specifiek beschreven.

not ok

Het object van onderzoek en de daaraan gestelde criteria zijn onvoldoende specifiek beschreven.

Na het analyseren van de normen aan de hand van bovenstaande classificatie constateren wij dat voor een groot deel van de normen voldoende helder is gespecificeerd wat het object is dat door de norm 16

getoetst wordt en daarbij ook wat de gestelde criteria zijn aan het te toetsen object. Voor 19 van de 28 normen is dit voldoende toegelicht. Voor een 8-tal normen is onvoldoende toegelicht wat de gestelde eisen aan het te toetsen object zijn. Neem ter illustratie bijvoorbeeld normen B0-5 en B0-14: B0-5: Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-14: Leg afspraken met leveranciers vast in een overeenkomst. De norm B0-5 licht onvoldoende toe wat men precies verstaat onder wijzigingsbeheer (betekent dit alleen een goedkeuring van management, of bijvoorbeeld ook een impact analyse etc.) en bij B0-14 is onvoldoende beschreven welke afspraken met de leveranciers precies vastgelegd dienen te worden. Voor de normen waarbij sprake is van onvoldoende context omtrent het te toetsen object en de daaraan gestelde criteria zou eventueel de handreiking voor de IT-auditor uitkomst kunnen bieden (NOREA, 2012). Dit neemt niet weg dat het vanuit het oogpunt van objectiviteit aan te bevelen is om ook de normen zelf voldoende specifiek te beschrijven. In Figuur 3 is de verdeling van normen over de verschillende classificaties (ok; partially ok; not ok) grafisch weergegeven.

Figuur 3: Classificatie Specificiteit

Wij concluderen op basis van de analyse dat voor het overgrote deel van de normen voldoende specifiek is aangegeven wat het object is waarop de norm toetst en wat de aan het object gestelde criteria zijn. Daarnaast is door NOREA een handreiking is opgesteld om de auditor van nadere details te voorzien. Echter merken wij op dat voor een aanzienlijk deel van de normen verbetering mogelijk is met betrekking tot het verder specificeren van het te toetsen object en de daaraan gestelde criteria. 3.1.2 Meetbaar Bij het analyseren van de normen met betrekking tot of de normen voldoende meetbaar zijn is het van belang om te realiseren dat de wijze waarop een norm gemeten wordt doorgaans niet wordt gedocumenteerd in de norm zelf. Vaak is de meetbaarheid afhankelijk van vastlegging die niet in de norm wordt benoemd. Tevens is de meetbaarheid van een norm vaak direct gerelateerd aan de specificiteit van de norm (wanneer een norm niet specifiek beschreven is, is deze tevens moeilijk meetbaar). Vanuit het oogpunt van meetbaarheid classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

De norm is voldoende meetbaar.

partially ok

De norm is voldoende meetbaar mits sprake is van voldoende vastlegging.

17

(depends on documentation) not ok

De norm is onvoldoende meetbaar (vaak is dit direct gerelateerd aan een gebrek aan specificiteit).

Door de normen te analyseren met betrekking tot meetbaarheid stellen wij vast dat het overgrote deel van de normen voldoende meetbaar is. Hierbij zijn geen specifieke vereisten met betrekking tot vastlegging van belang. Neem bijvoorbeeld de normen B1-3 en B3-16: B1-3: Netwerktoegang tot de web applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B3-16: Zet de cookie attributen ‘HttpOnly’ en ‘Secure’. Ongeacht of hierbij sprake is van aanvullende vastlegging zou op basis van de gehanteerde systeeminrichting/configuratie vastgesteld moeten kunnen worden of aan de normen wordt voldaan. Daarnaast zijn er ook enkele normen waarbij aanvullende vastlegging wel van belang is, bijvoorbeeld bij de normen B0-8 en B0-9: B0-8: Penetratietests worden periodiek uitgevoerd. B0-9: Vulnerability assessments (security scans) worden periodiek uitgevoerd. Bij deze normen is het van belang dat de resultaten van de penetratietests en vulnerability assessments zijn vastgelegd om te kunnen vaststellen of aan de normen is voldaan. Tot slot zijn er ook nog verschillende normen die onvoldoende meetbaar zijn en dit is in alle gevallen direct gerelateerd aan een gebrek aan specificiteit. Doordat de norm onvoldoende specifiek is beschreven is het tevens onvoldoende specifiek wat gemeten dient te worden en daarom is de norm onvoldoende meetbaar. Voorbeelden hiervan zijn: B0-6: Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. B0-7: De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B2-1: Maak gebruik van veilige beheermechanismen. In Figuur 4 is de verdeling van normen over de verschillende classificaties (ok; not ok; depends on documentation) grafisch weergegeven.

Figuur 4: Classificatie Meetbaarheid

Wij concluderen op basis van de uitgevoerde analyse dat het overgrote deel van de normen voldoende meetbaar is. Daarnaast kan voor een deel van deze normen worden gesteld dat deze meetbaar zijn onder het voorbehoud dat wel sprake is van voldoende vastlegging bij de partij die verantwoordelijk is voor de uitvoering van de norm. Met betrekking tot meetbaarheid zijn voor verschillende normen verbeteringen mogelijk en deze zijn direct gerelateerd aan het verder specificeren van de normen. 18

3.1.3 Realistisch Een norm is realistisch wanneer men naar alle redelijkheid mag verwachten dat de auditor die verantwoordelijk is voor het testen van de norm hiertoe in staat kan worden geacht. Bij het analyseren van de normen met betrekking tot of het uitvoeren van de norm haalbaar is binnen de kaders van het DigiD beveiligingsassessment, classificeren wij de verschillende normen als volgt: Classificatie ok

not ok

Toelichting Het toetsen van de norm is voldoende haalbaar. Men kan naar alle redelijkheid verwachten dat de auditor die verantwoordelijk is voor het testen van de norm hiertoe in staat kan worden geacht. Het toetsen van de norm is onvoldoende haalbaar. Men kan niet naar alle redelijkheid verwachten dat de auditor die verantwoordelijk is voor het testen van de norm hiertoe in staat kan worden geacht.

Op basis van een analyse van de normen waarbij is gekeken of de normen voldoende realistisch zijn, stellen wij vast dat dit voor een groot deel van de normen niet generiek te zeggen is. Veel normen lijken zeker uitvoerbaar voor auditors, echter doen zich in de praktijk ook situaties voor waarin door een gebrek aan middelen (personeel, kennis, tijd, budget) auditors niet in staat zijn om de gestelde normen ook daadwerkelijk te testen. Daarnaast zijn er een 4-tal normen geïdentificeerd waarvan men niet in alle redelijkheid kan verwachten dat deze conform vereisten worden uitgevoerd. Dit is in alle gevallen wederom direct gerelateerd aan het feit dat de normen onvoldoende specifiek zijn beschreven. Derhalve is het ook niet mogelijk een zinnige uitspraak te doen over de haalbaarheid van de norm. In Figuur 5 is de verdeling van normen over de verschillende classificaties (ok; not ok) grafisch weergegeven.

Figuur 5: Classificatie Realisme

Wij concluderen op basis van de uitgevoerde analyse dat het realisme of de haalbaarheid van een norm in veel gevallen afhankelijk is van de auditor die verantwoordelijk is voor het testen van de norm. Het overgrote deel van de normen (86%) is realistisch, er vanuit gaande dat de auditor over voldoende middelen beschikt om de norm te testen. Wij concluderen tevens dat een aantal normen bestaan die niet realistisch zijn. Dit is echter wederom direct gerelateerd aan een gebrek aan specificiteit. 3.1.4 Tijdsgebonden Bij het analyseren van de normen met betrekking tot het wel of niet beschrijven van concrete tijdspaden classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

19

ok

Concrete tijdspaden zijn van belang en worden in de norm benoemd.

not ok

Concrete tijdspaden zijn van belang en worden in de norm niet benoemd.

n/a

Concrete tijdspaden zijn voor deze norm niet van toepassing (In de meeste gevallen is deze classificatie van toepassing aangezien sprake is van een continue frequentie of een event-driven control).

Na het analyseren van de normen aan de hand van bovenstaande classificatie stellen wij vast dat het aangeven van concrete tijdspaden voor een groot deel van de normen niet van toepassing is. In deze gevallen betreffen het voornamelijk normen waarbij sprake is van een continue frequentie of normen waarbij de norm nageleefd dient te worden in alle gevallen waarin de situatie zich voordoet (eventdriven). Tevens zijn verschillende normen in het normenkader opgenomen waarbij heldere tijdslijnen van belang zijn en waarbij deze niet concreet worden gemaakt. Bij de normen B0-8, B0-9 en B3-15 wordt gesproken over acties die ‘periodiek’ uitgevoerd dienen te worden. Dergelijke terminologie is onvoldoende concreet, waardoor auditors bij een gelijke interpretatie van de norm deze alsnog verschillend kunnen toetsen. Hierdoor is ruimte voor eigen gevoel of vooroordelen aan de kant van de auditor, wat de objectiviteit van het DigiD beveiligingsassessment niet ten goede komt. Ook bij de normen B0-7, B0-13 en B7-8 zijn concrete tijdspaden wel relevant, echter niet opgenomen in de norm. In Figuur 6 is de verdeling van normen over de verschillende classificaties (ok; not ok; n/a) grafisch weergegeven.

Figuur 6: Classificatie Tijdsgebondenheid

Wij concluderen op basis van de analyse dat voor een groot deel van de normen de tijdspaden niet van toepassing zijn (in verband met continue frequentie of in verband event-driven occurrence) en dat voor de normen waar de tijdspaden wel relevant zijn, deze niet concreet zijn benoemd. 3.1.5 Multi-criteria analyse Door het uitvoeren van de multi-criteria analyse zijn de resultaten zoals deze in bovenstaande paragrafen en in Appendix C: Uitwerking van metanorm Objectiviteit zijn opgenomen gekwantificeerd. Uit de multi-criteria analyse komen de volgende normen naar voren als de normen met de laagste waardering (zie Figuur 7: Slecht scorende normen voor een extractie uit Appendix D: Multi-criteria analyse bij metanorm Objectiviteit): • • • • •

B0-6 B7-8 B0-7 B0-12 B2-1

20

Figuur 7: Slecht scorende normen op objectiviteit

Het feit dat deze normen zo laag scoren is direct gerelateerd aan een gebrek aan specificiteit. Het ontbreken van een specifieke aanduiding van het object en de acties zorgen er automatisch voor dat laag wordt gescoord op realisme en meetbaarheid. Ook zorgt een gebrek aan specificiteit met betrekking tot tijdslijnen er voor dat door deze normen laag gescoord wordt. 3.1.6 Beantwoording deelvraag De volgende deelvraag kan beantwoord worden met bovenstaande data: Objectiviteit: Is het normenkader vrij van subjectiviteit bij het uitwerken van de normen?

Op basis van de uitgevoerde analyse constateren wij dat voor een groot deel van de normen wel enige subjectiviteit een rol speelt wanneer normen op dezelfde wijze worden geïnterpreteerd. Deze ruimte voor subjectiviteit wordt voornamelijk veroorzaakt door een gebrek aan specificiteit, waardoor bij verschillende normen onvoldoende concreet wordt wat het audit-object is en welke acties getoetst dienen te worden. Wij constateren dat in het geval dat de auditor slechts gebruik maakt van het normenkader wel degelijk ruimte is voor subjectiviteit. Het hanteren van de bijbehorende handreiking (NOREA, 2012) en deel 2 van de NCSC richtlijnen dragen bij aan het verminderen van deze subjectiviteit, echter het hanteren van deze handreiking is geen vereiste en derhalve blijft subjectiviteit mogelijk.

21

3.2 Eenduidigheid Om de eenduidigheid van het DigiD normenkader te beoordelen wordt van alle 28 normen kwalitatief bepaald of er sprake is van ambiguiteit. Om deze kwalitatieve beoordeling op een wetenschappelijke wijze te onderbouwen is gebruik gemaakt van een multi-criteria analyse. Per criterium, zoals besproken in de methode in paragraaf 2.2, wordt de eenduidigheid beoordeeld om uiteindelijk een oordeel te kunnen geven over de eenduidigheid van de individuele norm. Door het gebruik van de multi-criteria analyse kan een ‘eenduidigheidswaarde’ worden toegekend aan de normen. In Appendix F staat de volledige multi-criteria analyse, in onderstaande paragrafen worden de resultaten behandeld. 3.2.1 Audit Objecten Bij het analyseren van de normen of de audit objecten eenduidig beschreven staan, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

De audit objecten zijn eenduidig beschreven en hier is maar één interpretatie mogelijk.

not ok

De audit objecten zijn ambigu beschreven en zijn meerdere interpretaties mogelijk.

n/a

De audit objecten zijn niet/onvoldoende beschreven om hier een uitspraak over te doen.

Na analyse van de normen aan de hand van bovenstaande classificatie stellen wij vast dat voor een groot deel van de normen voldoende helder is gespecificeerd wat de audit objecten zijn om hier een eenduidige uitspraak over te kunnen doen. Voor 24 van de 28 normen is dit naar ons oordeel voldoende eenduidig beschreven. Voor een 4-tal normen is naar ons oordeel onvoldoende eenduidig beschreven wat de audit objecten van de desbetreffende normen zijn. In de onderstaande normen ontbreekt het beschrijven van de audit objecten waar de norm op van toepassing is: B3-16: Zet de cookie attributen ‘HttpOnly’ en ‘Secure’. B5-2: Maak gebruik van versleutelde (HTTPS) verbindingen. B5-4: Versleutel cookies. De onderstaande norm kan op meerdere manieren worden geïnterpreteerd: B5-1: Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Bij norm B5-1 wordt gesproken over het sleutelbeheer. Er zijn meerdere manieren van sleutelbeheer, zoals het beheren van wachtwoorden, private keys of certificaten. In Figuur 8: Classificatie Audit Objecten is de verdeling van normen over de verschillende classificaties (ok; not ok; n/a) grafisch weergegeven. 22

Figuur 8: Classificatie Audit Objecten

Wij concluderen op basis van de analyse dat voor het overgrote deel van de normen voldoende eenduidig is beschreven wat het audit object is. Daarnaast is het natuurlijk ook nog zo dat er een handreiking is opgesteld om de auditor van nadere details te voorzien (NOREA, 2012). 3.2.2 Acties Bij het analyseren van de normen of de acties die voortvloeien uit de norm eenduidig beschreven staan, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

De acties die voortvloeien uit de norm zijn eenduidig beschreven en hier is maar één interpretatie mogelijk.

not ok

De acties die voortvloeien uit de norm zijn ambigu beschreven en er zijn meerdere interpretaties mogelijk.

n/a

De acties die voortvloeien uit de norm zijn niet/onvoldoende beschreven om hier een uitspraak over te doen.

Na het analyseren van de normen aan de hand van bovenstaande classificatie constateren wij dat voor een groot deel van de normen voldoende helder is gespecificeerd wat de acties zijn die hieruit voorvloeien om hier een eenduidige uitspraak over te kunnen doen. Voor 17 van de 28 normen is dit naar ons oordeel voldoende eenduidig beschreven. Voor een 11-tal normen is onvoldoende eenduidig beschreven wat de acties van de desbetreffende normen zijn. Deze 11 normen worden hieronder benoemd: B0-6: Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. B0-7: De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-12: Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B3-3: De web applicatie normaliseert invoerdata voor validatie. B3-4: De web applicatie codeert dynamische onderdelen in de uitvoer. B3-6: De web applicatie valideert alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde. B3-16: Zet de cookie attributen ‘HttpOnly’ en ‘Secure’. B5-1: Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-3: Sla gevoelige gegevens versleuteld of gehashed op. B5-4: Versleutel cookies. B7-8: Voer actief controles uit op logging.

23

In de bovenstaande normen worden de acties beschreven die voor meerdere interpretaties mogelijk zijn. Voorbeelden zijn: normaliseren, coderen, zetten, hardenen. Dit zijn allemaal acties die zonder context op meerdere manieren te interpreteren zijn. In Figuur 9: Classificatie Acties is de verdeling van normen over de verschillende classificaties (ok; not ok; n/a) grafisch weergegeven.

Figuur 9: Classificatie Acties

Wij concluderen op basis van de analyse dat voor het overgrote deel van de normen voldoende eenduidig is beschreven wat de uit te voeren acties zijn. Daarnaast is het natuurlijk ook nog zo dat een handreiking is opgesteld om de auditor van nadere details te voorzien (NOREA, 2012). 3.2.3 Tijdslijnen Bij de analyse of de tijdslijnen in de normen eenduidig beschreven staan, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

De tijdslijnen wanneer de norm uitgevoerd dient te worden zijn eenduidig beschreven en hier is maar één interpretatie mogelijk.

not ok

De tijdslijnen wanneer de norm uitgevoerd dient te worden zijn ambigu beschreven en er zijn meerdere interpretaties mogelijk.

n/a

De tijdslijnen wanneer de norm uitgevoerd dient te worden zijn niet/onvoldoende beschreven om hier een uitspraak over te doen.

Na het analyseren van de normen aan de hand van bovenstaande classificatie stellen wij vast dat voor een groot deel van de normen voldoende helder is gespecificeerd wat de acties zijn die hieruit voorvloeien om hier een eenduidige uitspraak over te kunnen doen. Voor 17 van de 28 normen is dit naar ons oordeel voldoende eenduidig beschreven. Voor een 4-tal normen is onvoldoende eenduidig beschreven wat de tijdslijnen van de desbetreffende normen zijn: B0-7: De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B3-2: De web applicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft. B3-3: De web applicatie normaliseert invoerdata voor validatie. B7-8: Voer actief controles uit op logging.

24

Bijvoorbeeld in norm B0-7 wordt gesproken over de ‘laatste’ (beveiligings)patches. Hier kunnen alle patches mee bedoeld worden, alleen beveiligingspatches, of relevante patches na analyse van de auditee. In norm B3-3 kan worden opgevat dat het normaliseren van invoerdata dient te worden uitgevoerd vòòr validatie plaatsvindt, of zodat validatie plaats kan gaan vinden. In de overige 19 normen worden geen concrete tijdslijnen benoemd in de normen, maar uit de normen is vaak af te leiden dat het bijvoorbeeld om een continue frequentie, of juist event-based frequentie gaat. In Figuur 10: Classificatie is de verdeling van normen over de verschillende classificaties (ok; not ok; n/a) grafisch weergegeven.

Figuur 10: Classificatie Tijdslijnen

Wij concluderen op basis van de analyse dat voor het overgrote deel van de normen onvoldoende eenduidig is beschreven wat de tijdslijnen zijn waarop de norm uitgevoerd dient te worden. Daarnaast is een handreiking opgesteld om de auditor van nadere details te voorzien (NOREA, 2012). Deze handreiking lost dit probleem deels op. 3.2.4 Multi-criteria analyse Door het uitvoeren van de multi-criteria analyse zijn de resultaten zoals deze in bovenstaande paragrafen en in Appendix E: Uitwerking van metanorm Eenduidigheid zijn opgenomen gekwantificeerd. Bij deze multi-criteria analyse is aan elk van de principes (audit objecten, acties en tijdslijnen) een weging meegegeven op basis van de analyse welke is opgenomen in Appendix E: Uitwerking van metanorm Eenduidigheid. De toegekende wegingen zijn beschreven in Tabel 1: Effectentabel metanorm Eenduidigheid in paragraaf 2.2.2 en zijn als volgt: • • •

Audit objecten: 35% Acties: 45% Tijdslijnen: 20%

In de multi-criteria-analyse is per norm voor elk van de principes een waarde toegekend (0=niet vermeld; 1=ambigu; 2=eenduidig). Door deze waarden vervolgens te vermenigvuldigen met de wegingen per principe en door vervolgens de waarden per norm op te tellen komen wij tot een waardering per norm. Hieruit zijn de volgende normen naar voren gekomen als de normen met de laagste waardering (zie Figuur 11: Slecht scorende normen op eenduidigheid voor een extractie uit Appendix F: Multicriteria analyse bij metanorm Eenduidigheid):

25

Figuur 11: Slecht scorende normen op eenduidigheid

Dat deze normen zo laag scoren ligt aan het feit dat de audit objecten en de tijdslijnen niet eenduidig zijn beschreven, of helemaal niet zijn beschreven. Het niet beschrijven van deze aspecten heeft tot gevolg dat het volledig aan de interpretatie van de auditor is hoe deze aspecten worden geïnterpreteerd. 3.2.5 Beantwoording deelvraag De volgende deelvraag kan beantwoord worden met bovenstaande data: Eenduidigheid: Zijn de normen helder geformuleerd en worden ze derhalve uniform geïnterpreteerd?

De meeste normen zijn helder geformuleerd en zullen uniform worden geïnterpreteerd. Waar het aan ontbreekt is in veel gevallen het vermelden van de tijdslijnen. Door het niet vermelden van dit aspect is het aan de auditor om hier invulling aan te geven, wat de eenduidigheid niet ten goede komt. Daar het doel van de assessment duidelijk is verwachten wij dat over het algemeen minder ambiguïteit zal bestaan over de normen waardoor deze op dezelfde wijze zullen worden geïnterpreteerd. Dit heeft tot gevolg dat het voor de auditor duidelijk is wat gemeten moet gaan worden.

26

3.3 Relevantie Om de relevantie van het DigiD normenkader te gaan beoordelen dienen allereerst de risico’s te worden geïdentificeerd door middel van een risico identificatie. Wij hebben niet kunnen herleiden op basis van welke risico identificatie het DigiD normenkader is opgesteld. Het normenkader is opgesteld op basis van de ‘ICT-beveiligingsrichtlijnen voor web applicaties’ van het NCSC (Nationaal Cyber Security Centrum, 2012). Zie paragraaf 3.4 voor meer informatie over de herkomst van deze beveiligingsrichtlijnen. De toepassing van dit normenkader is dus niet gebaseerd op een risk-based approach, maar is een control-based approach. Aangezien geen risico identificatie ten grondslag ligt aan het normenkader is het niet mogelijk om de relevantie van het DigiD normenkader te berekenen. Daar wij in paragraaf 2.3 wel een methode hebben beschreven voor het berekenen van de relevantie, en wij deze methode graag willen toetsen, dienen wij voor het berekenen van de relevantie zelf een risico identificatie te doen. Dit doen wij op basis van reverse-engineering. Onderstaande risico identificatie zal niet volledig zijn, noch gebruikt zijn bij het ontwikkelen van het DigiD normenkader. Het geeft echter wel een indruk van de toepassing van onze ontwikkelde methode. 3.3.1 Risico identificatie De DigiD dienst wordt aangeboden via een web applicatie. Op basis van het raamwerk Beveiliging Web applicaties van het NCSC (Nationaal Cyber Security Centrum, 2010) is een categorisering aangebracht van de mogelijke risico’s. Zie Figuur 12: Raamwerk beveiliging .

Figuur 12: Raamwerk beveiliging web applicaties

Een risico identificatie dient te worden uitgevoerd in samenwerking met experts binnen een bepaald domein, in dit geval de DigiD dienst. Het identificeren van risico’s is mogelijk met, maar is niet gelimiteerd tot, één of meer van de hierna genoemde aanpakken: (1) interviews (2) brainstorm sessies (3) raadplegen experts (4) bestuderen vakliteratuur (5) locatiebezoek. Hierna volgen enkele risico’s met betrekking tot de DigiD web applicatie. Deze risico’s zijn opgedeeld in drie deelgebieden: strategische risico’s, tactische risico’s en operationele risico’s. Vervolgens zijn voor elke laag in Figuur 12: Raamwerk beveiliging voorbeelden van risico’s bedacht die van toepassing zouden kunnen zijn op de DigiD dienst: A. Strategische risico’s (1) Imagorisico; Het risico dat het imago van DigiD/Logius/de (lokale) overheid schade oploopt vanwege problemen met de DigiD web applicatie. 27

B. Tactische risico’s (2) Compliance risico; Het risico dat de web applicatie niet voldoet aan wet- en regelgeving zoals het gebruik van persoonlijke gegevens. (3) Aansprakelijkheidsrisico; Het risico dat geen duidelijke afspraken zijn gemaakt met leveranciers en de verantwoordelijkheden niet helder zijn. C. Operationele risico’s i) Netwerkbeveiliging (4) Beschikbaarheidsrisico; Het risico dat het netwerk overbelast raakt en de beschikbaarheid van de applicatie in gevaar komt. ii) Platformbeveiliging (5) Beschikbaarheidsrisico; Het risico dat de beschikbaarheid van de applicatie in gevaar komt door het niet installeren van patches. 10 vi) Applicatiebeveiliging (OWASP Top 10 2010 ) (6) Injection (7) Cross Site Scripting (XSS) (8) Broken Authentication and Session Management (9) Insecure Direct Object References (10) Cross Site Request Forgery (CSRF) (11) Security Misconfiguration (12) Failure to Restrict URL Access (13) Unvalidated Redirects and Forwards (14) Insecure Cryptographic Storage (15) Insufficient Transport Layer Protection iv) Identiteitsbeheer (16) Identiteitsrisico; Het risico dat een gebruiker verkeerd wordt geïdentificeerd door de applicatie. v) Toegangsbeheer (17) Integriteitsrisico; Het risico dat onbevoegden zich toegang kunnen verschaffen tot gegevens van anderen. vi) Vertrouwelijkheid en onweerlegbaarheid (18) Vertrouwelijkheidsrisico; Het risico dat de gegevens door onbevoegden kunnen worden ingezien. (19) Aansprakelijkheidsrisico; Het risico dat het niet onweerlegbaar is wie welke acties heeft uitgevoerd binnen de applicatie. Bovenstaande 19 geïdentificeerde risico’s vormen de basis voor de relevantie berekeningen zoals beschreven in de methode. Bij het maken van de berekeningen is een risico analyse uitgevoerd op de geïdentificeerde risico’s, de kans en impact zijn bepaald, en op basis daarvan is de uiteindelijke berekening gemaakt. 3.3.2 Relevantie berekening De formule om relevantie te berekenen is toegepast op het DigiD normenkader in het kader van de risico identificatie zoals in de vorige paragraaf beschreven. Hiervoor is de ontwikkelde formule verwerkt in een Excel formulier waarmee eenvoudig de resultaten te berekenen zijn. Zie Appendix G: Relevantiegraden DigiD normenkader voor een compleet overzicht van de relevantie waarden van het DigiD normenkader.

10

https://www.owasp.org/index.php/Top_10_2010-Main 28

Een aantal normen valt positief op: B0-5: (6,68%) Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-6: (18,42%) Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. B0-13: (6,66%) Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-9: (6,46%) Vulnerability assessments (security scans) worden periodiek uitgevoerd. B1-3: (5,87%) Netwerktoegang tot de web applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B3-1: (5,80%) De web applicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. Wij constateren dat de normen die positief opvallen over het algemeen wat minder specifieke normen zijn. Zie ook Appendix C: Uitwerking van metanorm Objectiviteit en Appendix D: Multi-criteria analyse bij metanorm Objectiviteit. Dit heeft tot gevolg dat deze normen meerdere risico’s af kunnen dekken. De relevantiewaarde wordt in dat geval hoger. Voor meer informatie over de berekening, zie paragraaf 2.3. Daarnaast valt een aantal normen negatief op: B2-1: (0,00%) Maak gebruik van veilige beheermechanismen. B5-4: (0,71%) Versleutel cookies. B0-14: (0,79%) Leg afspraken met leveranciers vast in een overeenkomst. B0-7: (0,89%) De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B3-6: (0,89%) De web applicatie valideert alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde. De normen die minder positief opvallen zijn over het algemeen specifiekere normen. Deze normen dekken maar weinig risico’s af. Zodra andere normen dezelfde risico’s afdekken, neemt de relevantiewaarde van deze specifieke risico’s af. Voor meer informatie over de berekening, zie paragraaf 2.3. De relevantiewaarde van het gehele normenkader is 100%. Zoals in de Methode beschreven is dit gebaseerd op het feit dat alle geïdentificeerde risico’s met het normenkader zijn afgedekt. 3.3.3 Beantwoording deelvraag De volgende deelvraag kan beantwoord worden met bovenstaande data: Relevantie: Is het DigiD beveiligingsassessment-normenkader geschikt voor het beoogde doel?

Aangezien wij niet kunnen vaststellen dat een risico identificatie ten grondslag heeft gelegen aan het opstellen van het DigiD beveiligingsassessment-normenkader hebben wij niet vast kunnen stellen dat dit normenkader geschikt is voor het beoogde doel. Op basis van een eigen risico analyse stellen wij vast dat er wel degelijk verschillen zijn in de relevantie van de normen onderling. Wat opvalt, is dat hoe meer generiek de norm is beschreven, hoe relevanter de norm kan zijn voor het assessment aangezien het meerdere risico’s af kan dekken. Alle geïdentificeerde risico’s worden afgedekt en om die reden is het gehele normenkader wel geschikt voor het beoogde doel, weliswaar op basis van onze eigen risico identificatie. De efficiëntie van het normenkader is hierin niet meegenomen. 29

3.4 Herleidbaarheid Zoals is toegelicht in hoofdstuk 2 zijn, om de herleidbaarheid van het DigiD normenkader te toetsen, drie verschillende vragen beantwoord: 1. 2. 3.

Is de relatie duidelijk tussen het normenkader en de gebruikte bronnen? Ligt een risicoanalyse ten grondslag aan de samenstelling van het normenkader? Onderkennen wij aspecten uit raamwerken/standaarden die onvoldoende zijn meegenomen door het normenkader?

In onderstaande paragrafen 3.4.1 t/m 3.4.3 worden deze vragen afzonderlijk behandeld. 3.4.1 Gebruikte bronnen Op basis van een analyse van het document betreffende de Norm ICT-beveiligingsassessment DigiD v.1.0. stellen wij vast dat hierin de volgende tekst is opgenomen: “De norm is een selectie van richtlijnen uit het document ‘ICT-beveiligingsrichtlijnen voor web applicaties’ van het Nationaal Cyber Security Centrum (NCSC). De norm is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. De beveiligingsrichtlijnen van NCSC zijn breed toepasbaar voor ICT- oplossingen die gebruikmaken van web applicaties. De norm bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD.” Hieruit blijkt dat de voor het DigiD beveiligingsassessment relevante normen zijn afgeleid van de ICTbeveiligingsrichtlijnen voor web applicaties deel I en II van het NCSC. Hierbij stellen wij vast dat wordt benoemd dat richtlijnen met de hoogste impact op de veiligheid van DigiD zijn opgenomen in het normenkader. Er wordt echter geen nadere toelichting gegeven met betrekking tot een mogelijk onderliggende impact-analyse. Door de ICT-beveiligingsrichtlijnen voor web applicaties deel I en II van het NCSC te analyseren stellen wij vast dat hierin het volgende wordt benoemd: “De maatregelen die in deel 2 worden aangereikt zijn mede tot stand gekomen aan de hand van best-practices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen.” Er worden een aantal bronnen genoemd. Echter wordt hierbij niet verder gespecificeerd hoe deze bronnen uiteindelijk hebben geleid tot de definitieve set met ICT-beveiligingsrichtlijnen. 3.4.2 Risicoanalyse Zoals in bovenstaande paragraaf vermeldt blijkt op basis van een analyse van het document betreffende de Norm ICT-beveiligingsassessment DigiD v.1.0. dat het DigiD normenkader is opgebouwd uit de NCSC richtlijnen met de hoogste impact op de beveiliging van DigiD. Dit impliceert dat een analyse is uitgevoerd om vast te stellen welke normen daadwerkelijk de grootste impact op de beveiliging van DigiD hebben. Wij stellen echter vast dat uit de “Norm ICT-beveiligingsassessment DigiD v.1.0” en “ICTbeveiligingsrichtlijnen voor webapplicaties deel I en II” niet te herleiden is of een dergelijke (risico)analyse is uitgevoerd en daarbij is tevens niet vast te stellen hoe en door wie een dergelijke analyse is uitgevoerd. Dit maakt de herleidbaarheid van het DigiD-normenkader naar een onderliggende risicoanalyse onvoldoende inzichtelijk. 30

3.4.3 Hiaten Als derde onderdeel van de beoordeling van de herleidbaarheid van het DigiD normenkader voeren wij een vergelijking uit van onderstaande bronnen met het DigiD normenkader. Dit met als doel vast te stellen of eventueel relevante normen of onderwerpen uit deze bronnen onvoldoende in het DigiD normenkader zijn vertegenwoordigd. De afwezigheid van deze normen en onderwerpen geeft een indicatie van de mate waarin de normen en het normenkader als geheel te herleiden zijn naar deze veel gehanteerde en breed geaccepteerde informatiebeveiligings-modellen. De bronnen (informatiebeveiligings-modellen) welke zijn vergeleken met het DigiD normenkader zijn de volgende: 1. 2. 3. 4. 5.

COBIT framework 4.1, ISACA. Special Publication (SP) 800-53, NIST. CSIS: 20 Critical Security Controls Version 4.0, SANS Institute. ISO27001, International Organization for Standardization. OWASP Top 10, Open Web Application Security Project.

Voor elk van de 5 bovengenoemde bronnen is een analyse uitgevoerd waarbij is gekeken in hoeverre de normen uit “Norm ICT-beveiligingsassessment DigiD v.1.0” tot deze bronnen zijn te herleiden. De resultaten van deze analyse zijn in onderstaande tabel per bron aangegeven: Informatiebeveiligingsmodel (Bron) COBIT framework 4.1, ISACA

Special Publication (SP) 800-53, NIST

CSIS: 20 Critical Security Controls Version 4.0, SANS Institute

Resultaten analyse Op basis van een analyse van “COBIT framework 4.1, ISACA“ stellen wij vast dat binnen het COBIT framework 4 verschillende categorieën van beheers-doelstellingen (control objectives) worden benoemd: • Planning & Organisation • Acquisition & Implementation • Delivery & Support • Monitor & Evaluate Door de DigiD normen te koppelen aan bovenstaande control objectives komen wij tot de conclusie dat de DigiD normen voornamelijk tegemoet komen aan de “Delivery & Support” beheer doelstellingen. Daarnaast blijkt vooral dat er weinig normen aanwezig zijn in het DigiD normenkader welke tegemoet komen aan de “Planning & Organisation” beheers-doelstelling. Dit sluit aan bij overige observaties waarbij is geconstateerd dat het DigiD-normenkader sterk de nadruk legt op technische maatregelen, terwijl organisatorische maatregelen onderbelicht blijven. Op basis van een analyse van “Special Publication (SP) 80053, NIST” stellen wij vast dat in deze bron 18 verschillende classes met security controls worden onderkend waarbij deze vervolgens zijn ingedeeld in 3 verschillende categorieën (Technical, Operational en Management). Door voor elk van de normen “Norm ICT-beveiligingsassessment DigiD v.1.0” vast te stellen in hoeverre deze te mappen zijn naar de 18 door NIST gespecificeerde categorieen komen wij tot de conclusie dat de DigiD normen met name betrekking hebben op de door NIST als technisch geclassificeerde security control classes. De security control classes op de operationele en management vlakken krijgen derhalve minder aandacht binnen het DigiD normenkader. Op basis van een analyse van “CSIS: 20 Critical Security Controls Version 4.0, SANS Institute” stellen wij vast dat door het SANS Institute een 20-tal kritieke security controls 31

Informatiebeveiligingsmodel (Bron)

ISO27001, International Organization for Standardization

OWASP Top 10, Open Web Application Security Project

Resultaten analyse worden benoemd. Wij stellen vast dat er ook normen in het DigiD normenkader terugkomen welke niet worden benoemd in “CSIS: 20 Critical Security Controls Version 4.0, SANS Institute” (e.g. met betrekking tot wijzigingsbeheer, third party management en overige organisatorisch maatregelen met betrekking tot informatiebeveiliging). Daarnaast stellen wij vast dat “CSIS: 20 Critical Security Controls Version 4.0, SANS Institute” net als het DigiD normenkader een sterke focus heeft op technische maatregelen. Hierbij constateren wij dat de normen uit het DigiD normenkader in grote mate te herleiden zijn tot de security controls “CSIS: 20 Critical Security Controls Version 4.0, SANS Institute”. Op basis van een analyse van “ISO27001, International Organization for Standardization” stellen wij vast dat wederom normen met betrekking tot informatiebeveiligingsbeleid, organisatie van informatiebeveiliging e.d. wel terug komen in “ISO27001, International Organization for Standardization” en slechts zeer beperkt vertegenwoordigd zijn in het DigiD normenkader. Ook aspecten als fysieke beveiliging en incident management zijn wel vertegenwoordigd in het ISO 27001 model en niet in het DigiD normenkader. De herleidbaarheid van de DigiD normen naar het ISO 27001 laat derhalve enkele discrepanties welke aanleiding geven te vermoeden dat het ISO 27001 model slechts beperkt is gehanteerd bij het samenstellen van het DigiD normenkader. Uit “ICT-beveiligingsrichtlijnen voor webapplicaties deel I en II” (De bron op basis waarvan de uiteindelijke DigiD beveiligingsnormen zijn bepaald) blijkt dat bij het opstellen van deze beveiligingsrichtlijnen voor webapplicaties uitgebreid wordt gesteund op de door OWASP geidentificeerde meest kritieke kwetsbaarheden. Dergelijke kritieke kwetsbaarheden zoals Injection, Broken Authentication en Cross-Site Scripting worden benoemd in “ICT-beveiligingsrichtlijnen voor webapplicaties deel I en II” bij normen welke uiteindelijk ook in het DigiD normenkader terecht zijn gekomen. Hierbij constateren wij dat de beveiligingsrichtlijnen significant gedetailleerder zijn beschreven dan de uiteindelijke DigiD normen. Derhalve is het afhankelijk van de auditor of elementen uit deze normen met betrekking tot de specifieke kwetsbaarheden ook daadwerkelijk worden meegenomen in het beveiligingsassessment.

3.4.4 Beantwoording deelvraag De volgende deelvraag kan beantwoord worden met bovenstaande data: Herleidbaarheid: Hoe is het DigiD beveiligingsassessment-normenkader tot stand gekomen en kan worden vastgesteld waaraan normen zijn ontleend?

Om de herleidbaarheid van het DigiD normenkader te toetsen zijn drie verschillende vragen behandeld: 32

1. 2. 3.

Is de relatie duidelijk tussen het normenkader en de gebruikte bronnen? Ligt een risicoanalyse ten grondslag aan de samenstelling van het normenkader? Onderkennen wij aspecten uit raamwerken/standaarden die onvoldoende zijn meegenomen door het normenkader?

Op basis van de uitgevoerde werkzaamheden met betrekking tot bovenstaande vragen komen wij tot de conclusie dat het slechts beperkt inzichtelijk is op welke wijze het DigiD beveiligingsassessmentnormenkader is samengesteld op basis van andere bronnen. Enkele bronnen worden benoemd, echter wordt hierbij niet aangegeven hoe de DigiD normen uit deze bronnen zijn afgeleid en of een risicoanalyse wellicht ten grondslag heeft gelegen aan de samenstelling van het uiteindelijke normenkader. Door het DigiD-beveiligingsassessment normenkader af te zetten tegen verschillende bronnen omtrent informatiebeveiliging, komen wij tot de conclusie dat deels sprake is van herleidbaarheid van de DigiDnormen naar deze bronnen. Dit is echter voornamelijk het geval voor beheersmaatregelen van technische aard. Beheersmaatregelen van organisatorische en procedurele aard zijn aanzienlijk minder vertegenwoordigd binnen het DigiD normenkader, ondanks het feit dat dit type normen in de bronnen structureel wordt benoemd. Aangezien een significant verschil bestaat tussen het DigiD normenkader en de bronnen constateren wij dat de herleidbaarheid van het normenkader naar de bronnen niet is vast te stellen.

33

3.5 Zorgvuldigheid Zoals in paragraaf 2.5 beschreven beoordelen wij de zorgvuldigheid van het DigiD normenkader op 4 aspecten: 1. 2. 3. 4.

Vertrouwelijkheid Integriteit Authenticiteit Beschikbaarheid

Dit betekent dat wij ons richten op het resultaat van het proces waarmee dit normenkader tot stand is gekomen. Het is ook erg relevant om te onderzoeken op welke wijze dit normenkader tot stand is gekomen en of alle input zorgvuldig afgewogen is. Dit is voor ons echter een ‘black-box’ en retrospectief niet te onderzoeken. Wij hebben er daarom voor gekozen om in deze paragraaf het resultaat (het normenkader) te onderzoeken om een conclusie te kunnen trekken over of het normenkader de 4 aspecten waaruit zorgvuldigheid bestaat voldoende terug te vinden zijn. We trekken onze conclusies hierbij over het gehele normenkader. Om deze conclusies te trekken hebben wij van alle 28 normen bepaald in hoeverre deze normen tegemoet komen aan elk van deze vier aspecten, zie Appendix I: Uitwerking van metanorm Zorgvuldigheid. Daarnaast bevat Appendix J: Multi-criteria analyse bij metanorm Zorgvuldigheid de resultaten van een uitgevoerde multi-criteria analyse waarbij de resultaten van de getoetste aspecten per norm zijn gekwantificeerd. 3.5.1 Vertrouwelijkheid Het DigiD normenkader dient te voorzien in acties of processen die er voor zorgen dat gegevens versleuteld worden opgeslagen en minder eenvoudig kunnen worden ingezien door onbevoegden. Bij het analyseren van de normen of deze het aspect vertrouwelijkheid ten goede komen, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

Het voldoen aan deze norm draagt positief bij aan de vertrouwelijkheid.

n/a

Het voldoen aan deze norm heeft geen invloed op de vertrouwelijkheid.

Na het analyseren van de normen aan de hand van bovenstaande classificatie valt het op dat een groot deel van de normen gerelateerd is aan de vertrouwelijkheid van data. Wij stellen vast dat 12 van de 28 normen gerelateerd zijn aan vertrouwelijkheid. De overige 16 normen hebben geen invloed op de vertrouwelijkheid. In Figuur 13: Classificatie Vertrouwelijkheid is de verdeling van normen over de verschillende classificaties (ok; n/a) grafisch weergegeven.

34

Figuur 13: Classificatie Vertrouwelijkheid

Wij concluderen op basis van de analyse dat een groot deel van de normen niet direct de vertrouwelijkheid ten goede komt. Desalniettemin concluderen wij dat er voldoende normen zijn die de vertrouwelijkheid wel ten goede komen dus dat dit aspect voldoende wordt getoetst. 3.5.2 Integriteit Het DigiD normenkader dient te voorzien in normen waarmee wordt getoetst of maatregelen waarmee de integriteit van gegevens worden gewaarborgd aanwezig zijn en correct functioneren. Bij het analyseren van de normen of deze het aspect integriteit ten goede komen, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

Het voldoen aan deze norm draagt positief bij aan de integriteit.

n/a

Het voldoen aan deze norm heeft geen invloed op de integriteit.

Na het analyseren van de normen aan de hand van bovenstaande classificatie stellen wij vast dat een groot deel van de normen gerelateerd is aan de integriteit van data. Wij stellen vast dat 8 van de 28 normen gerelateerd zijn aan integriteit. De overige 20 normen hebben geen invloed op de integriteit. In Figuur 14: Classificatie Integriteit is de verdeling van normen over de verschillende classificaties (ok; n/a) grafisch weergegeven.

Figuur 14: Classificatie Integriteit

Wij concluderen op basis van de analyse dat een groot deel van de normen niet direct de integriteit ten goede komt. Acht normen komen de integriteit ten goede wat overeenkomt met 29% van het totaal. Aangezien we op 4 aspecten toetsen, concluderen wij dat er voldoende normen zijn die de integriteit wel ten goede komen dus dat dit aspect voldoende wordt getoetst.

35

3.5.3 Authenticiteit Het DigiD normenkader dient normen te bevatten waarmee wordt getoetst of de mechanismen welke worden gehanteerd om de authenticiteit van de gebruiker vast te stellen voldoende zijn. Bij het analyseren van de normen en of deze het aspect authenticiteit ten goede komen, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

Het voldoen aan deze norm draagt positief bij aan de authenticiteit.

n/a

Het voldoen aan deze norm heeft geen invloed op de authenticiteit.

Na het analyseren van de normen aan de hand van bovenstaande classificatie valt het op dat een groot deel van de normen gerelateerd is aan de authenticiteit van data. Wij stellen vast dat 5 van de 28 normen gerelateerd zijn aan authenticiteit. De overige 23 normen hebben geen invloed op de authenticiteit. In Figuur 15: Classificatie Authenticiteit is de verdeling van normen over de verschillende classificaties (ok; n/a) grafisch weergegeven.

Figuur 15: Classificatie Authenticiteit

Wij concluderen op basis van de analyse dat een groot deel van de normen niet direct de authenticiteit ten goede komt. Vijf normen komen de authenticiteit ten goede wat overeenkomt met 18% van het totaal. Aangezien we op 4 aspecten toetsen, concluderen wij dat er onvoldoende normen zijn die de authenticiteit wel ten goede komen dus dat dit aspect onvoldoende wordt getoetst. 3.5.4 Beschikbaarheid Het normenkader dient hierin te voorzien door op zijn minst te toetsen op stabiliteit en continuïteit van de infrastructuur. Bij het analyseren van de normen of deze het aspect beschikbaarheid ten goede komen, classificeren wij de verschillende normen als volgt: Classificatie

Toelichting

ok

Het voldoen aan deze norm draagt positief bij aan de beschikbaarheid.

n/a

Het voldoen aan deze norm heeft geen invloed op de beschikbaarheid.

36

Na het analyseren van de normen aan de hand van bovenstaande classificatie valt het op dat een groot deel van de normen gerelateerd is aan de beschikbaarheid van data. Wij stellen vast dat 3 van de 28 normen gerelateerd zijn aan beschikbaarheid. De overige 25 normen hebben geen invloed op de beschikbaarheid. In Figuur 16: Classificatie Beschikbaarheid is de verdeling van normen over de verschillende classificaties (ok; n/a) grafisch weergegeven.

Figuur 16: Classificatie Beschikbaarheid

Wij concluderen op basis van de analyse dat een groot deel van de normen niet direct de beschikbaarheid ten goede komt. Drie normen komen de beschikbaarheid ten goede wat overeenkomt met 11% van het totaal. Aangezien we op 4 aspecten toetsen, concluderen wij dat er onvoldoende normen zijn die de beschikbaarheid wel ten goede komen dus dat dit aspect onvoldoende wordt getoetst. 3.5.5 Beantwoording deelvraag De volgende deelvraag kan beantwoord worden met bovenstaande data: Zorgvuldigheid: Dienen de DigiD beveiligingsassessment-normen het maatschappelijke belang en is voldoende zorg besteed aan de totstandkoming van het normenkader?

Over het proces van de totstandkoming van het normenkader kunnen wij geen uitspraken doen. Het resultaat van dat proces is het normenkader zelf. We zien dat niet alle vier de aspecten waarmee de zorgvuldigheid van de totstandkoming van een normenkader kan worden bepaald voldoende worden afgedekt door het normenkader. Twee aspecten wel, vertrouwelijkheid en integriteit, en twee aspecten niet, authenticiteit en beschikbaarheid. Daarnaast zien we dat 8 van de 28 normen geen betrekking hebben om één van deze vier aspecten. Dat is 29% van het normenkader dat op geen van die 4 zorgvuldigheidsaspecten betrekking heeft. Zie Figuur 17: Multi-criteria analyse Zorgvuldigheid.

Figuur 17: Multi-criteria analyse Zorgvuldigheid

37

Wij concluderen dat het normenkader niet aan de eisen voldoet op het gebied van zorgvuldigheid. Een mogelijk reden hiervoor kan zijn de korte tijdsspanne waarin dit normenkader opgesteld is.

38

4. Conclusie In hoodstuk 3 Case studypassen wij onze methode toe op het DigiD normenkader. Deze methode is door ons ontwikkeld om de kwaliteit van normenkaders beter meetbaar te maken. De methode kan grotendeels op meerdere normenkaders worden toegepast, wij hebben deze echter met het oog op het Logius normenkader ontwikkeld. Per onderzocht aspect beantwoorden wij onze deelvragen op basis van onze waarnemingen en bevindingen. In dit hoofdstuk aggregeren wij de antwoorden op de deelvragen om zo tot onze conclusie te komen op de hoofdvraag van ons onderzoek. Daarnaast beschrijven wij de mogelijkheden tot vervolgonderzoek. Tevens zal hierbij aandacht worden besteed aan de relevantie en consequenties van de onderzoeksuitkomsten voor het IT-audit vakgebied.

4.1 Beantwoording deelvragen In deze paragraaf zijn de antwoorden opgenomen op de deelvragen zoals deze zijn geformuleerd in hoofdstuk 3. Dit met als doel de correlatie van de antwoorden op de deelvragen met het antwoord op de hoofdvraag inzichtelijk te maken. Objectiviteit: Is het normenkader vrij van subjectiviteit bij het uitwerken van de normen? Op basis van de uitgevoerde analyse constateren wij dat voor een groot deel van de normen wel enige subjectiviteit een rol speelt wanneer normen op dezelfde wijze worden geïnterpreteerd. Deze ruimte voor subjectiviteit wordt voornamelijk veroorzaakt door een gebrek aan specificiteit, waardoor bij verschillende normen onvoldoende concreet wordt wat het audit-object is en welke acties getoetst dienen te worden. Wij constateren dat in het geval dat de auditor slechts gebruik maakt van het normenkader wel degelijk ruimte is voor subjectiviteit. Het hanteren van de bijbehorende handreiking (NOREA, 2012) en deel 2 van de NCSC richtlijnen dragen bij aan het verminderen van deze subjectiviteit, echter het hanteren van deze handreiking is geen vereiste en derhalve blijft subjectiviteit mogelijk.

Eenduidigheid: Zijn de normen helder geformuleerd en worden ze derhalve uniform geïnterpreteerd? De meeste normen zijn helder geformuleerd en zullen uniform worden geïnterpreteerd. Waar het aan ontbreekt is in veel gevallen het vermelden van de tijdslijnen. Door het niet vermelden van dit aspect is het aan de auditor om hier invulling aan te geven, wat de eenduidigheid niet ten goede komt. Daar het doel van de assessment duidelijk is verwachten wij dat over het algemeen minder ambiguïteit zal bestaan over de normen waardoor deze op dezelfde wijze zullen worden geïnterpreteerd. Dit heeft tot gevolg dat het voor de auditor duidelijk is wat gemeten moet gaan worden.

Relevantie: Is het DigiD beveiligingsassessment-normenkader geschikt voor het beoogde doel? Aangezien wij niet kunnen vaststellen dat een risico identificatie ten grondslag heeft gelegen aan het opstellen van het DigiD beveiligingsassessment-normenkader hebben wij niet vast kunnen stellen dat dit normenkader geschikt is voor het beoogde doel. Op basis van een eigen risico analyse stellen wij vast dat er wel degelijk verschillen zijn in de relevantie van de normen onderling. Wat opvalt, is dat hoe meer generiek de norm is beschreven, hoe relevanter de norm kan zijn voor het assessment aangezien het meerdere risico’s af kan dekken. Alle geïdentificeerde risico’s worden afgedekt en om die reden is het gehele normenkader wel geschikt voor het beoogde doel, weliswaar op basis van onze eigen risico identificatie. De efficiëntie van het normenkader is hierin niet meegenomen.

Herleidbaarheid: Hoe is het DigiD beveiligingsassessment-normenkader tot stand gekomen en kan worden vastgesteld waaraan normen zijn ontleend?

39

Op basis van de uitgevoerde werkzaamheden met betrekking tot bovenstaande vragen komen wij tot de conclusie dat het slechts beperkt inzichtelijk is op welke wijze het DigiD beveiligingsassessmentnormenkader is samengesteld op basis van andere bronnen. Enkele bronnen worden benoemd, echter wordt hierbij niet aangegeven hoe de DigiD normen uit deze bronnen zijn afgeleid en of een risicoanalyse wellicht ten grondslag heeft gelegen aan de samenstelling van het uiteindelijke normenkader. Door het DigiD-beveiligingsassessment normenkader af te zetten tegen verschillende bronnen omtrent informatiebeveiliging, komen wij tot de conclusie dat deels sprake is van herleidbaarheid van de DigiDnormen naar deze bronnen. Dit is echter voornamelijk het geval voor beheersmaatregelen van technische aard. Beheersmaatregelen van organisatorische en procedurele aard zijn aanzienlijk minder vertegenwoordigd binnen het DigiD normenkader, ondanks het feit dat dit type normen in de bronnen structureel wordt benoemd. Aangezien een significant verschil bestaat tussen het DigiD normenkader en de bronnen constateren wij dat de herleidbaarheid van het normenkader naar de bronnen niet is vast te stellen.

Zorgvuldigheid: Dienen de DigiD beveiligingsassessment-normen het maatschappelijke belang en is voldoende zorg besteed aan de totstandkoming van het normenkader? Over het proces van de totstandkoming van het normenkader kunnen wij geen uitspraken doen. Het resultaat van dat proces is het normenkader zelf. We zien dat niet alle vier de aspecten waarmee de zorgvuldigheid van de totstandkoming van een normenkader kan worden bepaald voldoende worden afgedekt door het normenkader. Twee aspecten wel, vertrouwelijkheid en integriteit, en twee aspecten niet, authenticiteit en beschikbaarheid. Daarnaast zien we dat 8 van de 28 normen geen betrekking hebben om één van deze vier aspecten. Dat is 29% van het normenkader dat op geen van die 4 zorgvuldigheidsaspecten betrekking heeft. Zie Figuur 17. Wij concluderen dat het normenkader niet aan de eisen voldoet op het gebied van zorgvuldigheid. Een mogelijk reden hiervoor kan zijn de korte tijdsspanne waarin dit normenkader opgesteld is.

4.2 Beantwoording hoofdvraag De hoofdvraag die centraal staat in dit onderzoek is de volgende: In welke mate voldoet het DigiD beveiligingsassessment-normenkader aan de kwaliteitseisen voor IT-audit normenkaders van NOREA? Op basis van de geformuleerde antwoorden op de onderzochte deelvragen komen wij tot de conclusie dat het DigiD beveiligingsassessment-normenkader slechts deels voldoet aan de kwaliteitseisen voor ITaudit normenkaders van NOREA. Op basis van de beantwoorde deelvragen is verbetering met betrekking tot het DigiD beveiligingsassessment-normenkader mogelijk door de specificiteit van normen te vergroten, waarbij concreter aangegeven dient te worden welke audit-objecten en acties relevant zijn en welke tijdslijnen hierbij in acht genomen dienen te worden. Daarnaast blijkt uit de beantwoording van de deelvragen dat de herleidbaarheid van het normenkader beperkt is, waarbij wij vaststellen dat voornamelijk technische maatregelen sterk vertegenwoordigd zijn binnen het normenkader. Organisatorische en procedurele maatregelen zijn hierbij onvoldoende vertegenwoordigd in het normenkader. Ook besteedt het normenkader onvoldoende aandacht aan de zorgvuldigheidsaspecten authenticiteit en beschikbaarheid. Vanuit het oogpunt van maatschappelijk verantwoord ITgebruik zijn dit essentiële aspecten en daarom zouden meer normen opgenomen dienen te worden in het normenkader die zekerheid bieden omtrent deze aspecten. Qua relevantie constateren wij dat de verschillende normen in meer of mindere mate relevant zijn. De relevantie van het normenkader als geheel dekt echter alle (door ons) geïdentificeerde risico’s af en is derhalve geschikt voor het beoogde doel. Let wel, hierbij hanteren wij onze eigen risico identificatie. Omdat het normenkader niet is gebaseerd op een risk-based approach, is het voor de auditors niet mogelijk om professional judgment toe te passen voor het mitigeren van een risico. In het licht van de meta-norm relevantie doen wij geen 40

uitspraken over de daadwerkelijke toepassing van dit normenkader. Aangezien bepaalde normen een lagere relevantiescore hebben kan worden overwogen om dergelijke normen achterwege te laten of deze te vervangen voor normen die bijvoorbeeld tegemoet komen aan de meta-norm zorgvuldigheid door zich meer te richten op de aspecten authenticiteit en beschikbaarheid.

4.3 Relevantie en vervolg onderzoek Met dit theoretisch kader en onze methode is het mogelijk om de kwaliteit van een normenkader te bepalen. Het vakgebied en de beroepspraktijk zijn hier bij gebaat aangezien kwaliteit van ons werk mede door wet- en regelgeving in toenemende mate belangrijk wordt. Het blijft goed om bij kwaliteitseisen stil te staan bij de ontwikkeling van normenkaders om een grotere bijdrage te kunnen leveren aan het maatschappelijk belang. Wij zijn van mening dat het antwoord op onze vraag een oplossing biedt op onze probleemstelling zoals beschreven in paragraaf 1.2. In onze probleemstelling beschrijven wij dat het DigiD beveiligingsassessment nog in de kinderschoenen staat en dat derhalve qua effectiviteit, duidelijkheid en toegevoegde waarde van het normenkader nog ruimte voor verbetering mogelijk is. Hierbij was onze verwachtte uitkomst van het onderzoek het aandragen van punten ter verbetering met betrekking tot het DigiD beveiligingsassessment-normenkader. In paragraaf 0 worden deze punten ter verbetering genoemd. Net zoals bij elk ander onderzoek heeft dit zijn beperkingen en is vervolgonderzoek mogelijk. Een van de beperkingen van dit onderzoek is dat het nog steeds gebaseerd is op kwalitatieve/subjectieve inschattingen bij de beoordeling van de normen. Het is dus van groot belang dat een juist team van relevante en capabele mensen de beoordeling doet. Daarnaast beperken wij ons in dit onderzoek enkel tot het toepassen van onze methode voor het beoordelen van de kwaliteit van een normenkader, op het DigiD normenkader. Wanneer onze methode op andere normenkaders dient te worden toegepast zal wederom kritisch gekeken moeten worden naar de aanpak om volledigheid van het onderzoek te waarborgen. Een andere beperking in dit onderzoek heeft betrekking op onze formule waarmee wij relevantie van een normenkader berekenen. We gaan er hierbij van uit dat wanneer elk risico minstens één gerelateerde mitigerende norm heeft, de relevantiewaarde van het normenkader altijd 100% is. We nemen hierin niet mee dat de som van de relevantie waarden van de normen behorende bij een risico m=1.0 moet zijn, dus het risico volledig moeten mitigeren. Als mogelijk vervolgonderzoek kan gedacht worden aan het her-beoordelen van de meta-normen op volledigheid en relevantie met de kennis van nu (11/12 jaar later). In onze methode richten wij ons specifiek op de informatiebeveiliging. Ook is het erg interessant om te onderzoeken hoe de methode dient te worden aangepast zodat deze ook op andere normenkaders met een ander doel of onderzoeksobject van toepassing kan zijn.

41

4.4 Reflectie Tim Coenen Bij het uitvoeren van dit onderzoek en het schrijven van de bijbehorende scriptie hebben wij ons aanvankelijk gericht op het onderzoeken van de kwaliteit van het DigiD normenkader. Dit heeft er echter gaandeweg toe geleid dat wij ons steeds meer zijn gaan richten op het ontwikkelen van een methode om de kwaliteit van een normenkader te bepalen. Persoonlijk ben ik zeer tevreden met deze ontwikkeling en met het eindresultaat aangezien de ontwikkelde methode ook toegepast zou kunnen worden op andere normenkaders en daarom een mooie toevoeging is aan het vakgebied. Daarnaast hebben we met het resultaat ook concreet invulling gegeven aan de al langer bestaande NOREA metanormen. Daarbij denk ik dat het onderzoek ook ruimte biedt voor vervolgonderzoek. Hierbij kan bijvoorbeeld worden gedacht aan het onderzoeken hoe de methode ook op andere typen normenkaders toegepast kan worden. Qua proces zijn we gezamenlijk al in een vroeg stadium aan de scriptie begonnen waarbij we voornamelijk gedurende de zomermaanden veel meters hebben kunnen maken. Achteraf gezien hebben we hier zoals verwacht veel profijt van gehad, aangezien gedurende het drukkere seizoen aanzienlijk minder tijd te besteden was aan de scriptie. De samenwerking met Roland verliep uitstekend. Op regelmatige basis hebben we contact gehad over de voortgang van de scriptie en hebben we concrete afspraken gemaakt met betrekking tot de taakverdeling en onze voortgang. Daarnaast hebben we regelmatig afgesproken om in de avonduren gezamenlijk aan de scriptie te werken en direct te kunnen overleggen. Tot slot heb ik persoonlijk veel geleerd van dit onderzoek. Voornamelijk heb ik geleerd om nog kritischer te kijken naar gehanteerde normenkaders. Binnen het vakgebied wordt er regelmatig te weinig aandacht besteed aan de totstandkoming van normenkaders en met dit onderzoek heb ik meer inzicht gekregen in het belang van een goed normenkader en tevens hebben we onszelf een middel gegeven om een goed onderbouwd oordeel over de kwaliteit van normenkaders te kunnen geven.

4.5 Reflectie Roland Swinkels Al in een vroeg stadium was het Tim en mij duidelijk welke richting wij op wilden gaan met deze scriptie. Daardoor konden wij ons scriptievoorstel al snel inleveren en hebben wij in ons ‘low season’ veel tijd besteed aan onze scriptie. Omdat wij al vroeg zijn begonnen heb ik zelfs als een redelijk ontspannen proces ervaren. De samenwerking met Tim is erg goed bevallen, we hebben allebei veel en goede input gehad en met het resultaat ben ik erg tevreden. Met name ben ik tevreden over het theoretisch kader en onze methode. Aangezien de toepassing van onze methode alleen echt goed kan worden uitgevoerd door experts de normen te laten beoordelen, is het resultaat van de case study nog steeds aan onze kwalitatieve beoordeling afhankelijk waardoor nog steeds meningsverschillen kunnen ontstaan. Volgens mij is dit onvermijdelijk bij een dergelijk onderzoek. Desalniettemin denk ik dat de methode een erg interessant startpunt is om op een andere manier na te gaan denken over het opstellen van normenkaders. Mijn persoonlijke leerresultaat is dan ook dat is zelf anders tegen normenkaders aan ben gaan kijken en tegenwoordig met meerdere ‘brillen’ naar een normenkader kijk. Het lijkt mij erg interessant om in de toekomst nog meer te filosoferen over dit onderwerp en dieper in te gaan op sommige meta-normen, zoals de meta-norm ‘relevantie’ en de meta-norm ‘zorgvuldigheid’.

42

Literatuur Christensen, B. H. (2002, June 20). Work tasks and socio-cognitive relevance: a specific example. Journal of the American Society for Information Science and Technology, 53(11), 960-965. Doran, G. T. (1981, 11). There's a S.M.A.R.T. way to write management's goals and objectives. Management Review, 35-36. ISACA. (2007). COBIT framework 4.1. Logius - Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2012, Febuary 21). Norm ICTbeveiligingsassessment DigiD v.1.0. Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties. (2012, 02 02). Kamerbrief over ICTbeveiligingsassessments bij DigiD gebruikende organisaties. Den Haag. Nationaal Cyber Security Centrum. (2010). Raamwerk Beveiliging voor Webapplicaties. Den Haag: Ministerie van Veiligheid en Justitie. Nationaal Cyber Security Centrum. (2012). ICT-beveiligingsrichtlijnen voor webapplicaties deel I en II. Den Haag: Ministerie van Veiligheid en Justitie. National Institute of Standards and Technology (NIST). (2009, August). SP 800-53 Rev. 3 Recommended Security Controls for Federal Information Systems and Organizations. NOREA. (2002). Studierapport 3: Raamwerk voor ontwikkeling normenstelsels en standaarden. Nederlandse Orde van Register EDP-Auditors. NOREA. (2012, December). Handreiking ICT-beveiligingsassessments DigiD door RE's. Nederlandse Orde van Register EDP-Auditors. Raad van Europa. (1950). Europees Vedrag voor de Rechten van de Mens, Artikel 10. Rubin, R. S. (2002). Will the Real SMART Goals Please Stand Up? The Industrial-Organisational Psychologist, 39(4), 26-27. Siemerink, L. (2007). De overeenkomst van Internet Service Providers met consumenten. Kluwer. United Nations. Department of Economic and Social Affairs. (2012). E-Government Survey 2012. EGovernment for the People. New York: United Nations.

43

Bijlagen Appendix A: Normenkader DigiD beveiligingsassessment Versie 1.0 van 21 februari 2012. Auteur: Logius. 11

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

1

B0-5

2

B0-6

Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen.

3

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

4

B0-8

Penetratietests worden periodiek uitgevoerd.

5

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

6

B0-12

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer.

7

B0-13

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

8

B0-14

Leg afspraken met leveranciers vast in een overeenkomst

9

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

10

B1-2

Beheer- en productieverkeer zijn van elkaar gescheiden.

11

B1-3

Netwerktoegang tot de web applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.

12

B2-1

Maak gebruik van veilige beheermechanismen.

13

B3-1

De web applicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

14

B3-2

De web applicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.

15

B3-3

De web applicatie normaliseert invoerdata voor validatie.

11

Het is ons opgevallen dat de normen B0-5 en B0-6 in de NCSC richtlijnen zijn omgedraaid. In Deel 1 staat bij B0-5 ‘wijzigingsbeheer’ en bij B0-6 ‘hardening’. In Deel 2 is dit andersom. Uiteindelijk staat in het Logius normenkader bij B0-5 ‘wijzigingsbeheer’ en bij B0-6 ‘hardening’.

44

16

B3-4

De web applicatie codeert dynamische onderdelen in de uitvoer.

17

B3-5

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de web applicatie alleen geparametriseerde queries.

18

B3-6

De web applicatie valideert alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde.

19

B3-7

De web applicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).

20

B3-15

Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.

21

B3-16

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

22

B5-1

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

23

B5-2

Maak gebruik van versleutelde (HTTPS) verbindingen.

24

B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

25

B5-4

Versleutel cookies.

26

B7-1

Maak gebruik van Intrusion Detection Systemen (IDS).

27

B7-8

Voer actief controles uit op logging.

28

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

45

Appendix B: Logisch bewijs van Relevantie stelling 12

Onderstaande stelling willen wij logisch bewijzen om aan te tonen dat de beredenering klopt .

We beginnen met de aanname:

Bewijs door contrapositie.

Eerste wet van De Morgan.

Logische conjunctie. Ter aanvulling van de logica voor een leesbaardere stelling in natuurlijke taal.

12

Met dank aan de hulp van dr. Joris Hulstijn (TU Delft). 46

Appendix C: Uitwerking van metanorm Objectiviteit #

1

Norm

B0-5

Beschrijving

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

Specifiek

Meetbaar

Realistisch

partially ok,

not ok, onvoldoende specifiek en derhalve onvoldoende meetbaar

ok, n/a, norm is eventmen kan naar alle driven redelijkheid verwachten dat alle wijzigingen worden getest voor doorvoering in productie en via wijzigingsbeheer worden doorgevoerd. n/a, continue not ok, frequentie men kan niet naar alle redelijkheid verwachten dat alle ICT-componenten zijn gehardened

object van onderzoek is benoemd (alle wijzigingen), echter worden de criteria m.b.t. wijzigingsbeheer onvoldoende beschreven.

partially ok,

2

B0-6

Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.

object van onderzoek is benoemd (ICT-componenten), echter zijn de criteria aan het hardeningsproces onvoldoende beschreven

not ok, onvoldoende specifiek en derhalve onvoldoende meetbaar

not ok, onvoldoende object van onderzoek is specifiek en benoemd (patches), echter derhalve worden de criteria m.b.t. onvoldoende patchmanagement onvoldoende meetbaar beschreven. partially ok,

3

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

ok, 4

B0-8

Penetratietests worden periodiek uitgevoerd.

object van onderzoek is benoemd (penetratietests) en criteria zijn helder (moet

depends on documentation, als vastlegging beschikbaar dan meetbaar

ok, men kan naar alle redelijkheid verwachten dat laatste patches zijn geïnstalleerd en dat hiertoe een patchmanagement proces is gevolgd.

Tijdsgebonden

not ok, toegestane periode na release date patches ontbreekt

ok, men kan naar alle not ok, ‘periodiek’ redelijkheid verwachten dat er periodiek penetratietests 47

#

Norm

Beschrijving

Specifiek

Meetbaar

worden uitgevoerd). ok,

5

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

object van onderzoek is benoemd (vulnerability assessments) en criteria zijn helder (moet worden uitgevoerd). partially ok,

6

7

B0-12

B0-13

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer.

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

het object van onderzoek is duidelijke (web applicatie), echter de vereiste maatregelen m.b.t. toegangsbeveiliging/toegangsbe heer worden onvoldoende beschreven ok, object van onderzoek is benoemd (niet gebruikte websites en/of informatie) en criteria zijn helder (moet worden verwijderd) partially ok,

8

B0-14

Leg afspraken met leveranciers vast in een overeenkomst

object van onderzoek is benoemd (overeenkomst met leverancier), echter de vast te

Realistisch

Tijdsgebonden

worden uitgevoerd. depends on documentation, als vastlegging beschikbaar dan meetbaar

ok, men kan naar alle not ok, ‘periodiek’ redelijkheid verwachten dat er periodiek vulnerability assessments worden uitgevoerd.

not ok, onvoldoende specifiek en derhalve onvoldoende meetbaar

not ok, n/a, continue gezien de norm frequentie onvoldoende specifiek is beschreven kan men ook weinig zeggen over de haalbaarheid.

depends on documentation,

ok, men kan naar alle not ok, toegestane redelijkheid periode na verwachten dat niet inactiviteit ontbreekt meer gebruikte websites en/of informatie tijdig wordt verwijderd.

als vastlegging beschikbaar dan meetbaar

not ok, onvoldoende specifiek en derhalve onvoldoende

ok, men kan naar alle redelijkheid verwachten dat

n/a, continue frequentie

48

#

9

Norm

B1-1

Beschrijving

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

Specifiek

Meetbaar

Realistisch

leggen afspraken zijn onvoldoende beschreven.

meetbaar

afspraken met leveranciers worden vastgelegd in een overeenkomst.

ok,

ok, aanwezigheid DMZ met gebruik van compartimentering is meetbaar. Tevens is meetbaar wat voor soort gegevens door de DMZ compartimenten stromen. ok,

ok,

object van onderzoek is benoemd (scheiding beheer- en productieverkeer) en criteria zijn helder (gescheiden).

gescheiden omgevingen zijn meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (netwerktoegang) en criteria zijn helder (voor alle gebruikersgroepen hetzelfde ingeregeld).

groepen en autorisaties zijn meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

partially ok,

not ok, onvoldoende specifiek en

not ok,

object van onderzoek is benoemd (DMZ) en criteria aan DMZ zijn beschreven.

ok,

10

11

12

B1-2

Beheer- en productieverkeer zijn van elkaar gescheiden.

B1-3

Netwerktoegang tot de web applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.

B2-1

Maak gebruik van veilige beheermechanismen.

het object van onderzoek is

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

gezien de norm

Tijdsgebonden

n/a, continue frequentie

n/a, continue frequentie

n/a, continue frequentie

n/a, continue frequentie

49

#

13

14

Norm

B3-1

B3-2

Beschrijving

De web applicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

De web applicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.

Specifiek

Meetbaar

Realistisch

duidelijk (web applicatie), echter is onvoldoende beschreven wat onder veilige beheermechanismen wordt verstaan en hoe deze toegepast moeten worden.

derhalve onvoldoende meetbaar

onvoldoende specifiek is beschreven kan men ook weinig zeggen over de haalbaarheid.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (valideren van http-requests voor gebruik).

validatie van httprequests door de web applicatie is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (valideren authenticatie en autorisatie initiator HTTP-request).

validatie van authenticatie/autor isatie initiator httprequest is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (normalisatie van invoerdata dient plaats te vinden).

het wel of niet hebben ingericht van normalisatie van invoerdata is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

het wel of niet

men kan naar alle

15

B3-3

De web applicatie normaliseert invoerdata voor validatie.

16

B3-4

De web applicatie codeert dynamische ok, onderdelen in de uitvoer. object van onderzoek is

Tijdsgebonden

n/a, norm is eventdriven

n/a, norm is eventdriven

n/a, norm is eventdriven

n/a, norm is eventdriven

50

#

17

18

19

Norm

B3-5

Beschrijving

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de web applicatie alleen geparametriseerde queries.

B3-6

De web applicatie valideert alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde.

B3-7

De web applicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).

Specifiek

Meetbaar

Realistisch

benoemd (web applicatie) en criteria zijn helder (codering van dynamische onderdelen in de uitvoer moet aanwezig zijn).

hebben ingericht van codering van dynamische onderdelen in de uitvoer is meetbaar

redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (alleen gebruik van geparametriseerde queries voor het raadplegen en/of wijzigen van gegevens in de database).

het gebruik van geparametriseerde queries is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (het valideren van alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde).

het valideren van invoer aan de serverzijde is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (web applicatie) en criteria zijn helder (geen dynamische file includes of

het verbieden van dynamische file includes is

men kan naar alle redelijkheid verwachten dat deze

Tijdsgebonden

n/a, norm is eventdriven

n/a, norm is eventdriven

n/a, norm is eventdriven

51

#

20

Norm

B3-15

Beschrijving

Specifiek

Meetbaar

Realistisch

beperkt de keuzemogelijkheid).

meetbaar

norm is ingericht.

ok,

depends on documentation,

ok,

object van onderzoek is Een (geautomatiseerde) blackbox scan benoemd (blackbox scan) en wordt periodiek uitgevoerd. criteria zijn helder (moet worden uitgevoerd). ok,

21

22

23

B3-16

B5-1

B5-2

als vastlegging beschikbaar dan meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

object van onderzoek is de configuratie van men kan naar alle Zet de cookie attributen ‘HttpOnly’ en benoemd (cookie attributen) en de cookieattributen redelijkheid ‘Secure’. criteria zijn helder (HttpOnly en is meetbaar verwachten dat deze Secure). norm is ingericht.

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

Maak gebruik van versleutelde (HTTPS) verbindingen.

ok,

ok,

ok,

object van onderzoek is benoemd (sleutelbeheer) en criteria zijn helder (sleutels mogen niet onversleuteld op de servers te vinden zijn).

sleutelbeheer is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

ok,

ok,

ok,

object van onderzoek is benoemd (versleutelde HTTPS verbindingen) en criteria zijn helder (deze moeten gehanteerd worden).

het gebruik van versleutelde verbindingen is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

Tijdsgebonden

not ok, ‘periodiek’

n/a, continue frequentie

n/a, continue frequentie

n/a, continue frequentie

52

#

24

25

26

27

Norm

B5-3

B5-4

B7-1

B7-8

Beschrijving

Sla gevoelige gegevens versleuteld of gehashed op.

Versleutel cookies.

Specifiek

Meetbaar

Realistisch

Tijdsgebonden

partially ok,

not ok, onvoldoende specifiek en derhalve onvoldoende meetbaar

ok,

n/a, continue frequentie

ok,

ok,

ok,

object van onderzoek is benoemd (cookies) en criteria zijn helder (moeten worden versleuteld).

het wel of niet men kan naar alle versleutelen van redelijkheid cookies is meetbaar verwachten dat deze norm is ingericht.

ok,

ok,

ok,

het wel of niet gebruiken van een IDS is meetbaar

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

partially ok,

not ok,

not ok,

object van onderzoek is benoemd (logging), echter is onvoldoende duidelijk wat voor logging. Criteria zijn beschreven (moet actief gecontroleerd

onvoldoende specifiek en derhalve onvoldoende meetbaar

gezien de norm onvoldoende specifiek is beschreven kan men ook weinig zeggen

object van onderzoek is benoemd (gevoelige gegevens) en criteria zijn helder (moeten versleuteld of gehashed worden opgeslagen). Het is echter onvoldoende beschreven welke gegevens gevoelig zijn.

object van onderzoek is Maak gebruik van Intrusion Detection benoemd (IDS) en criteria zijn Systemen (IDS). helder (moet worden gebruikt).

Voer actief controles uit op logging.

men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

n/a, continue frequentie

n/a, continue frequentie

not ok, geen concrete tijdspaden aangegeven

53

#

Norm

Beschrijving

Specifiek

Meetbaar

worden). ok,

28

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

Realistisch

Tijdsgebonden

over de haalbaarheid. depends on documentation,

object van onderzoek is benoemd (governance, als vastlegging organisatie, rollen en beschikbaar dan bevoegdheden inzake preventie, meetbaar detectie en response inzake informatiebeveiliging) en criteria zijn helder (dienen te zijn vastgesteld).

ok, men kan naar alle redelijkheid verwachten dat deze norm is ingericht.

n/a, continue frequentie

54

Appendix D: Multi-criteria analyse bij metanorm Objectiviteit Scores: 0=not ok; 1=partially ok; 2=ok / niet van toepassing Normen B1-2

B1-3

B2-1

B3-1

B3-2

B3-3

B3-4

B3-5

B3-6

B3-7

B3-15

B3-16

B5-1

B5-2

B5-3

B5-4

B7-1

B7-8

B7-9

Totaal

B1-1

30%

B0-14

Tijdsgebondenheid

B0-13

10%

B0-12

Realisme

B0-9

10%

B0-8

Meetbaarheid

B0-7

50%

B0-6

Specificiteit

B0-5

Criteria

1

1

1

2

2

1

2

1

2

2

2

1

2

2

2

2

2

2

2

2

2

2

2

1

2

2

1

2

0

0

2

1

1

0

1

0

2

2

2

0

2

2

2

2

2

2

2

1

2

2

2

0

2

2

0

1

2

0

2

2

2

0

2

2

2

2

2

0

2

2

2

2

2

2

2

2

2

2

2

2

2

2

0

2

2

0

0

0

0

2

0

2

2

2

2

2

2

2

2

2

2

2

2

0

2

2

2

2

2

2

0

2

1,3

0,5

0,9

1,3

1,3

1,1

1,3

1,3

2

2

2

1,1

2

2

2

2

2

2

2

1,3

2

2

2

1,3

2

2

0,5

1,9

Resultaten van de multi-criteria analyse grafisch weergegeven, gesorteerd van laag naar hoog.

55

56

Appendix E: Uitwerking van metanorm Eenduidigheid #

1

2

3

4

5

Norm

Beschrijving

B0-5

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

B0-6

Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

B0-8

B0-9

Penetratietests worden periodiek uitgevoerd.

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

Audit Objecten

Acties

Tijdslijnen

ok,

ok,

ok,

alle wijzigingen, de scope van ‘alle’ wijzigingen is duidelijk wanneer de context helder is.

het testen van alle wijzigingen voordat deze in productie via wijzigingsbeheer doorvoeren. worden genomen.

ok,

not ok,

een hardeningsproces voor alle ICT-componenten, de scope van ‘alle’ componenten is duidelijk wanneer de context helder is.

het ‘harden’ van ICT componenten zou op meerdere manieren kunnen worden geïnterpreteerd.

ok,

not ok,

not ok,

(beveiligings)patches en het patch management proces.

het doorvoeren van patches zou op meerdere manieren kunnen worden geïnterpreteerd.

de ‘laatste’ patches zou op meerdere manieren kunnen worden geïnterpreteerd.

ok,

ok,

ok,

penetratietests.

het uitvoeren van penetratietesten.

periodiek.

ok,

ok,

ok,

vulnerability assessments (security scans).

het uitvoeren van vulnerability assessments.

periodiek.

n/a, continue frequentie.

57

#

6

7

8

9

10

11

Norm

B0-12

B0-13

Beschrijving Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer.

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

B0-14

Leg afspraken met leveranciers vast in een overeenkomst

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

Audit Objecten

Acties

Tijdslijnen

ok,

not ok,

n/a, continue frequentie.

maatregelen met betrekking tot toegangsbeveiliging/toegangsbe heer.

ontwerp en richt in kan op meerdere manieren worden geïnterpreteerd.

ok,

ok,

niet gebruikte websites en/of informatie.

het verwijderen.

ok,

ok,

overeenkomsten met leveranciers over afspraken

het vastleggen van deze afspraken in de overeenkomsten

ok,

ok,

een Demilitarised Zone (DMZ) met compartimenten.

het gebruik van maken van een DMZ met compartimenten en de verkeersstromen beperken tot het hoogst noodzakelijke.

ok,

ok,

B1-2

Beheer- en productieverkeer zijn van elkaar gescheiden.

B1-3

ok, Netwerktoegang tot de web applicaties is voor alle netwerktoegang tot de web gebruikersgroepen op een zelfde wijze applicaties. ingeregeld.

n/a, continue frequentie.

n/a, continue frequentie.

n/a, continue frequentie.

n/a, continue frequentie.

het beheer- en productieverkeer. het scheiden van deze twee verkeersstromen. ok,

n/a, continue frequentie.

het op dezelfde manier inregelen van deze netwerktoegang.

58

#

12

13

14

15

16

17

Norm

Beschrijving

Audit Objecten

Acties

Tijdslijnen

ok,

ok,

n/a, continue frequentie.

beheer mechanismen.

het gebruik maken van veilige beheer mechanismen.

ok,

ok,

ok,

de web applicatie.

het valideren van de inhoud van een HTTP-request.

voordat de inhoud wordt gebruikt.

not ok,

not ok,

controleren of de initiator geauthenticeerd is en de juiste authorisaties heeft.

controleren vòòr elk verzoek, of tijdens elk verzoek.

ok,

not ok,

not ok,

de web applicatie.

het ‘normaliseren’ van invoerdata kan op meerdere manieren worden geïnterpreteerd.

vòòrdat de validatie plaatsvindt, of zodat deze validatie plaats kan vinden.

ok,

not ok,

n/a, norm is event-driven.

de web applicatie.

het ‘coderen’ van dynamische onderdelen in de uitvoer kan op meerdere manieren worden geïnterpreteerd.

ok,

ok,

de web applicatie en

het gebruik maken van

B2-1

Maak gebruik van veilige beheermechanismen.

B3-1

De web applicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

B3-2

ok, De web applicatie controleert voor elk HTTP verzoek of de initiator de web applicatie. geauthenticeerd is en de juiste autorisaties heeft.

B3-3

De web applicatie normaliseert invoerdata voor validatie.

B3-4

De web applicatie codeert dynamische onderdelen in de uitvoer.

B3-5

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de web applicatie alleen

n/a, norm is event-driven

59

#

18

19

Norm

B3-6

B3-7

Beschrijving

Audit Objecten

geparametriseerde queries.

geparameteriseerde queries in de geparameteriseerde queries. database.

De web applicatie valideert alle invoer, ok, gegevens die aan de web applicatie de web applicatie. worden aangeboden, aan de serverzijde. ok, De web applicatie staat geen dynamische file includes toe of de web applicatie. beperkt de keuze mogelijkheid (whitelisting). ok,

20

21

B3-15

Een (geautomatiseerde) blackbox scan een blackbox scan. wordt periodiek uitgevoerd.

B3-16

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

22

B5-1

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

23

B5-2

Maak gebruik van versleutelde (HTTPS) verbindingen.

n/a, niet vermeld.

Acties

not ok,

Tijdslijnen

n/a, norm is event-driven

het valideren van alle invoer. ok,

n/a, continue frequentie

het niet toestaan van dynamische file includes en whitelisting. ok,

ok,

het uitvoeren van een blackbox scan.

periodiek.

ok,

n/a, continue frequentie

het zetten van cookie attributen. not ok,

not ok,

sleutelbeheer kan op meerdere manieren worden geïnterpreteerd.

het niet onversleuteld op servers te vinden zijn kan op meerdere manieren worden geïnterpreteerd.

n/a, niet vermeld.

ok,

n/a, continue frequentie

n/a, continue frequentie

het gebruik maken van HTTPS

60

#

Norm

Beschrijving

Audit Objecten

Acties

Tijdslijnen

verbindingen.

24

25

B5-3

B5-4

Sla gevoelige gegevens versleuteld of gehashed op.

ok,

not ok,

het opslaan van gegevens.

het versleuteld of gehashed opslaan kan op meerdere manieren worden geïnterpreteerd.

n/a, niet vermeld.

not ok,

27

28

B7-1

n/a, continue frequentie

het versleutelen van cookies kan op meerdere manieren worden geïnterpreteerd.

Versleutel cookies.

ok, 26

n/a, continue frequentie

Maak gebruik van Intrusion Detection een Intrustion Detection System Systemen (IDS). (IDS).

ok,

n/a, continue frequentie

het gebruik maken van een IDS.

ok,

not ok,

not ok,

de logging.

voer actief controles uit kan op meerdere manieren worden geïnterpreteerd.

het actief uitvoeren kan op meerdere manieren worden geïnterpreteerd.

ok,

n/a, continue frequentie

B7-8

Voer actief controles uit op logging.

B7-9

Governance, organisatie, rollen en ok, bevoegdheden inzake preventie, Governance, organisatie, rollen detectie en response inzake informatiebeveiliging dienen adequaat en bevoegdheden. te zijn vastgesteld.

het adequaat vaststellen.

61

Appendix F: Multi-criteria analyse bij metanorm Eenduidigheid Scores: 0=niet vermeld; 1=ambigu; 2=eenduidig; Normen B0-14

B1-1

B1-2

B1-3

B2-1

B3-1

B3-2

B3-3

B3-4

B3-5

B3-6

B3-7

B3-15

B3-16

B5-1

B5-2

B5-3

B5-4

B7-1

B7-8

B7-9

Totaal

B0-13

20%

B0-12

Tijdslijnen

B0-9

45%

B0-8

Acties

B0-7

35%

B0-6

Audit objecten

B0-5

Criteria

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

2

0

1

0

2

0

2

2

2

2

1

1

2

2

1

2

2

2

2

2

2

2

2

1

1

2

1

2

2

1

1

2

1

1

2

1

2

2

0

1

2

2

0

0

0

0

0

0

0

2

1

1

0

0

0

0

2

0

0

0

0

0

0

1

0

2

1,15

1,35

2

2

1,15

1,6

1,6

1,6

1,6

1,6

1,6

2

1,8

1,35

1,15

1,6

1,15

1,6

2

0,45

0,8

0,9

1,15

0,45

1,6

1,35

1,6

Resultaten van de multi-criteria analyse grafisch weergegeven, gesorteerd van laag naar hoog.

62

63

Appendix G: Relevantiegraden DigiD normenkader Relevantiegraad per norm Absoluut

Procentueel

Norm 1

B0-5

11,21428571

6,68%

Norm 2

B0-6

30,95

18,42%

Norm 3

B0-7

1,5

0,89%

Norm 4

B0-8

4,5

2,68%

Norm 5

B0-9

10,85714286

6,46%

Norm 6

B0-12

5,714285714

3,40%

Norm 7

B0-13

11,19047619

6,66%

Norm 8

B0-14

1,333333333

0,79%

Norm 9

B1-1

7,857142857

4,68%

Norm 10

B1-2

6,857142857

4,08%

Norm 11

B1-3

9,857142857

5,87%

Norm 12

B2-1

0

0,00%

Norm 13

B3-1

9,75

5,80%

Norm 14

B3-2

5,857142857

3,49%

Norm 15

B3-3

3,75

2,23%

Norm 16

B3-4

4,2

2,50%

Norm 17

B3-5

3,75

2,23%

Norm 18

B3-6

1,5

0,89%

Norm 19

B3-7

4

2,38%

Norm 20

B3-15

4,5

2,68%

Norm 21

B3-16

4,7

2,80%

Norm 22

B5-1

4,2

2,50%

Norm 23

B5-2

5,714285714

3,40%

Norm 24

B5-3

3,857142857

2,30%

Norm 25

B5-4

1,2

0,71%

Norm 26

B7-1

2,857142857

1,70%

Norm 27

B7-8

2

1,19%

Norm 28

B7-9

4,333333333

2,58%

100

100,00%

Relevantiegraad normenstelstel

Relevantie.xlsx

64

Appendix H: Uitwerking van metanorm Herleidbaarheid Identifier Family

Class

DigiD normen

AC

Access Control

Technical

B0-12; B5-1

AT

Awareness and Training

Operational

B7-9

AU

Audit and Accountability

Technical

B7-8

CA

Security Assessment and Authorization

Management

B0-9; B3-15; B5-1

CM

Configuration Management

Operational

B0-7; B0-13

CP

Contingency Planning

Operational

B7-9

IA

Identification and Authentication

Technical

B1-3; B3-2

IR

Incident Response

Operational

B7-9

MA

Maintenance

Operational

B1-2; B2-1

MP

Media Protection

Operational

B0-6; B5-3

PE

Physical and Environmental Protection

Operational

PL

Planning

Management

PS

Personnel Security

Operational

RA

Risk Assessment

Management

B0-9; B3-15

SA

System and Services Acquisition

Management

B0-14; B0-5

SC

System and Communications Protection

Technical

SI

System and Information Integrity

Operational

B0-6; B0-8; B0-9; B1-1; B3-1; B3-3; B3-4; B3-5; B3-6; B3-7; B3-16; B5-2; B5-4; B7-1 B0-6; B0-8; B0-9; B1-1; B0-5

PM

Program Management

Management

65

COBIT Categorie

DigiD normen

Planning & Organisation B7-9 Acquisition & Implementation

B0-5; B0-14

Delivery & Support

B0-6; B0-7; B0-13; B1-1; B1-2; B1-3; B2-1; B3-1; B3-2; B3-3; B3-4; B3-5; B3-6; B3-7; B3-16; B5-1; B5-2; B5-3; B5-4; B0-12

Monitor & Evaluate

B0-8; B0-9; B3-15; B7-1; B7-8

CSIS Control

DigiD normen

Inventory of Authorized and Unauthorized Devices Inventory of Authorized and Unauthorized Software Secure Configurations for Hardware and Software on B0-6; B3-5; B3-7; B3-16; B5-1; B5-2; B5-3; B5-4 Mobile Devices, Laptops, Workstations, and Servers Continuous Vulnerability Assessment and Remediation

B0-9; B3-15

Malware Defenses

B0-6; B7-1

Application Software Security

B0-6; B7-1

Wireless Device Control Data Recovery Capability Security Skills Assessment and Appropriate Training to Fill Gaps Secure Configurations for Network Devices such as Firewalls, Routers, and Switches

B0-6

Limitation and Control of Network Ports, Protocols, and Services

B1-1

Controlled Use of Administrative Privileges Boundary Defense

B0-6

Maintenance, Monitoring, and Analysis of Audit Logs

B0-7; B0-9; B0-13; B1-2; B2-1; B7-8

Controlled Access Based on the Need to Know

B0-12; B1-3; B3-2

66

CSIS Control

DigiD normen

Account Monitoring and Control

B0-12

Data Loss Prevention Incident Response and Management Secure Network Engineering

B0-6; B3-1; B3-3; B3-4; B3-6

Penetration Tests and Red Team Exercises

B0-8

DigiD normen niet vertegenwoordigd in CSIS: B7-9; B0-5; B0-14.

ISO 27001 Categorie

DigiD normen

A.5 Security policy A.6 Organization of information security

B0-14; B7-9

A.7 Asset management A.8 Human resources security A.9 Physical and environmental security A.10 Communications and operations management

B0-6; B1-1; B2-1; B3-1; B3-2; B3-3; B3-4; B3-5; B3-6; B3-7; B3-16; B5-1; B5-2; B5-3; B5-4

A.11 Access control

B0-12; B1-3; B7-1

A.12 Information systems acquisition, development and maintenance

B0-5; B0-7

A.13 Information security incident management A.14 Business continuity management

B7-1

A.15 Compliance

B0-13

DigiD Normen niet vertegenwoordigd in ISO 27001: B0-8; B0-9; B1-2; B3-15; B7-8.

67

OWASP

DigiD normen

A1 – Injection

B0-6

A2 – Broken Authentication and Session Management

B0-6; B0-12; B1-3; B5-1

A3 – Cross-Site Scripting (XSS)

B0-6; B3-3; B3-4; B3-6 ; B3-7; B5-4

A4 – Insecure Direct Object References

B0-6

A5 – Security Misconfiguration

B0-6; B1-1; B3-5; B5-2; B5-3; B7-1

A6 – Sensitive Data Exposure

B0-6; B0-13

A7 – Missing Function Level Access Control

B0-6; B0-12; B1-3

A8 – Cross-Site Request Forgery (CSRF)

B0-6; B3-1; B3-2; B3-3; B3-4; B3-16

A9 – Using Known Vulnerable Components

B0-6; B0-8; B0-9; B3-15

A10 – Unvalidated Redirects and Forwards

B0-6

DigiD Normen niet vertegenwoordigd in OWASP: B0-5; B0-7; B0-14; B1-2; B2-1; B7-8; B7-9.

68

Appendix I: Uitwerking van metanorm Zorgvuldigheid #

Norm

Beschrijving

B0-5

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

B0-6

Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.

3

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

4

B0-8

Penetratietests worden periodiek uitgevoerd.

Het uitvoeren van een test heeft nergens betrekking op. Het oplossen van negatieve resultaten van deze test wel.

5

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

Het uitvoeren van een test heeft nergens betrekking op. Het oplossen van negatieve resultaten van deze test wel.

1

2

6

B0-12

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer.

7

B0-13

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

Vertrouwelijkheid

Integriteit

Authenticiteit

Beschikbaarheid ok, Zorgvuldig testen zorgt voor een stabiele productieomgeving

ok

ok

ok, Tijdig patchen zorgt voor een stabiele IT omgeving.

ok,

ok,

ok,

Mits op een juiste manier uitgevoerd kan dit vertrouwelijkheid ten goede komen.

Mits op een juiste manier uitgevoerd kan dit integriteit ten goede komen.

Mits op een juiste manier uitgevoerd kan dit authenticiteit ten goede komen.

69

#

Norm

Beschrijving

8

B0-14

Leg afspraken met leveranciers vast in een overeenkomst

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

9

Vertrouwelijkheid

Integriteit

Authenticiteit

Beschikbaarheid

ok

ok,

10

B1-2

11

B1-3

12

B2-1

13

B3-1

Door het scheiden van dit verkeer wordt de integriteit niet in gevaar gebracht.

Beheer- en productieverkeer zijn van elkaar gescheiden.

Netwerktoegang tot de web ok applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. ok Maak gebruik van veilige

ok

ok

ok

beheermechanismen.

De web applicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

ok,

ok,

ok,

Het valideren van een request kan de vertrouwelijkheid verhogen.

Het valideren van een request kan de integriteit verhogen.

Het valideren van een request kan de authenticiteit verhogen.

70

#

14

Norm

Beschrijving

B3-2

De web applicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.

Vertrouwelijkheid

Integriteit

Authenticiteit

Beschikbaarheid

ok

ok, 15

B3-3

De web applicatie normaliseert invoerdata voor validatie.

16

B3-4

De web applicatie codeert dynamische onderdelen in de uitvoer.

17

18

B3-5

B3-6

Voor het raadplegen en/of wijzigen ok van gegevens in de database gebruikt de web applicatie alleen geparametriseerde queries. De web applicatie valideert alle invoer, gegevens die aan de web applicatie worden aangeboden, aan de serverzijde. De web applicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).

Door juist te normaliseren wordt de integriteit verhoogd.

ok

ok

19

B3-7

20

B3-15

Een (geautomatiseerde) blackbox scan Het uitvoeren van een test heeft nergens betrekking op. Het oplossen van negatieve resultaten van deze test wel. wordt periodiek uitgevoerd.

21

B3-16

Zet de cookie attributen ‘HttpOnly’ en ok ‘Secure’.

71

Norm

Beschrijving

Vertrouwelijkheid ok

22

B5-1

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

23

B5-2

Maak gebruik van versleutelde (HTTPS) verbindingen.

ok

24

B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

ok

25

B5-4

Versleutel cookies.

26

B7-1

Maak gebruik van Intrusion Detection ok Systemen (IDS).

27

B7-8

Voer actief controles uit op logging.

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

#

28

Integriteit

Authenticiteit

Beschikbaarheid

ok

72

Appendix J: Multi-criteria analyse bij metanorm Zorgvuldigheid Scores: 0=niet toepasbaar; 1=toepasbaar; Normen B0-7

B0-8

B0-9

B0-12

B0-13

B0-14

B1-1

B1-2

B1-3

B2-1

B3-1

B3-2

B3-3

B3-4

B3-5

B3-6

B3-7

B3-15

B3-16

B5-1

B5-2

B5-3

B5-4

B7-1

B7-8

B7-9

0

0

0

0

0

1

0

0

1

0

1

1

1

0

0

0

1

0

0

0

1

1

1

1

1

1

0

0

0

1

0

0

0

1

0

0

0

1

1

0

1

0

1

0

0

1

1

0

0

0

0

0

0

0

0

0

Authenticit 25% eit

0

0

0

0

0

1

0

0

0

0

1

1

1

1

0

0

0

0

0

0

0

0

0

0

0

0

0

0

Beschikbaa 25% rheid

1

1

1

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0,25

0,5

0,25

0

0

0,75

0

0

0

0

B0-5

B0-6

Criteria

Vertrouwel 25% ijkheid Integriteit

Totaal

25%

0,25 0,25 0,75

0,5

0,75 0,25 0,25

0

0,25 0,25 0,25

0

0,25 0,25 0,25 0,25 0,25 0,25

Resultaten van de multi-criteria analyse grafisch weergegeven, gesorteerd van laag naar hoog.

73

74