Normenkader Informatiebeveiliging t.b.v. de Stelselaudit eHerkenning Dit normenkader is gebaseerd op het Afsprakenstelsel eHerkenning versie 1.8 (januari 2014) Versie : Datum : Opgesteld door : Eigenaar :
1.4 27 november 2014 P.C.M. van der Enden, security officer Beheerorganisatie eHerkenning Min. EZ
Let op: dit normenkader maakt geen direct onderdeel uit van het Afsprakenstelsel eHerkenning, maar wordt wel hierbij gepubliceerd. In opdracht van het ministerie van EZ wordt jaarlijks door een onafhankelijke auditorganisatie een stelselaudit uitgevoerd bij deelnemers en beheerorganisatie met als doel "assurance" te verkrijgen omtrent een correcte, veilige en betrouwbare werking van het stelsel.
Nr Omschrijving norm/maatregel
Referentie: AS, ISMS, GNK
Toelichting/vraagstelling
Achtergrond
Auditee
1
Deelnemers hebben een contract met eHerkenning.
AS - Juridisch Kader
Controleer dat deelnemers aan het stelsel eHerkenning een geldige overeenkomst hebben voor de rollen en betrouwbaarheidsniveaus die de deelnemer aanbiedt.
De Beheerorganisatie is verantwoordelijk voor (het beheer van) de contracten met de Beheerorganisatie. deelnemers aan eHerkenning. Een deelnemer heeft een basisovereenkomst met de beheerorganisatie en voor de rollen en betrouwbaarheidsniveaus zijn toetredingsprocedures doorlopen. Instemming voor toetredingsverzoeken wordt verleend door EZ.
2
Het stelsel beschikt over een aktuele stelselrisicoanalyse.
AS - Informatiebeveiliging GNK 4.1
Controleren op bestaan en implementatie van de Stelselrisicoanalyse. Wordt de stelselrisicoanalyse betrokken bij de eigen risicoanalyse van deelnemers en Beheerorganisatie?
Bij de start van het stelsel is een zogenaamd stelselrisicoanalyse opgesteld die door alle deelnemers moet worden gebruikt als input bij de eigen risicoanalyse. Op deze wijze wordt in enige mate geborgd dat stelselrisico's door alle deelnemers worden beoordeeld en passende maatregelen worden genomen.
Beheerorganisatie (beheerder van de stelselrisicoanalyse) Deelnemers
3
Deelnemers en Beheerorganisatie zijn gecertificeerd conform ISO27001 danwel beschikken over een TPM voor dezelfde scope van eHerkenning.
AS - Informatiebeveiliging en privacy, paragraaf Afspraken over verantwoordelijkheid en verantwoording
Controleren op bestaan van een geldig certificaat ISO27001 of TPM met een scope die de aktiviteiten van eHerkenning omvat. Heeft de ISO-auditor hierop gecontroleerd?
Overzicht van certificaten is opgenomen in Confluence. De Beheerorganisatie beheert deze administratie. De scopeomschrijving van het certificaat geeft aan voor welke rollen en betrouwbaarheidsniveaus het certificaat of TPM van toepassing is.
Beheerorganisatie Deelnemers
4
Deelnemers en beheerorganisatie hebben het AS - Informatiebeveiliging en Gemeenschappelijk Normenkader privacy, paragraaf Implementatie geïmplementeerd in hun ISMS. Gemeenschappelijk Normenkader Informatiebeveiliging en certificatie
Dit moet blijken uit de Verklaringen van Toepasselijkheid van de deelnemers en van de Beheerorganisatie.
De Beheerorganisatie controleert aan de hand van de VvT van deelnemers of de gemeenschappelijke normen van toepassing zijn verklaard. Of maatregelen ook daadwerkelijk zijn geimplementeerd moet bij de deelnemers worden geverifieerd.
Beheerorganisatie Deelnemers
5
Medewerkers bij deelnemers en beheerorganisatie zijn gescreened en beschikken minimaal over een VOG.
GNK A.8.1.2 AS - Informatiebeveiliging en privacy, paragraaf Eisen aan screening van medewerkers
Verifieren dat medewerkers over een relevante VOG beschikken. Neem evt. een steekproef uit aanwezige verklaringen. Ga na of integriteit een onderwerp is in de periodieke functioneringsgesprekken.
De minimum eis is een relevante VOG voor medewerkers die aktiviteiten uitvoeren in het kader van eHerkenning. Een VOG kent categorieën c.q. domeinen waarop de verklaring betrekking heeft. In het geval van eHerkenning zijn iig relevant de paragrafen 11, 12 en 13 van de VOG. Het gaat vooral om de integriteit van de medewerkers. Zwaardere screening zoals de Verklaring van geen bezwaar (AIVD screening) is altijd toegestaan.
Beheerorganisatie Deelnemers
6
Het informatiebeveiligingsbeleid wordt tenminste eenmaal per jaar geëvalueerd en zonodig aangepast.
AS - Informatiebeveiliging en privacy GNK A.5.1.1 en A.5.1.2
Controleren of het IB-beleid dat is opgenomen in het Afsprakenstelsel aktueel is. Wat komt er uit de evaluatie?
Aanpassingen in het document doorlopen het changemanagementproces van het stelsel. P.S.: er is geen sprake van een separaat document, maar het IB-beleid is als hoofdstuk met paragrafen opgenomen in het AS.
Beheerorganisatie (beheerder van het document Informatiebeveiliging)
Controleren of de ISO-auditor de implementatie en werking van maatregelen uit het gemeenschappelijk normenkader heeft geverifieerd. Indien dit niet blijkt uit het auditrapport van de ISO-auditor, dan zelf nagaan of het Gemeenschappelijk Normenkader daadwerkelijk is geïmplementeerd. (enkele normen uit het Gemeenschappelijk Normenkader zijn in dit stelsel-normenkader opgenomen).
7
De directie c.q. het bestuur van eHerkenning is GNK A.6.1.1 betrokken bij informatiebeveiliging. Instellingsbesluit
Controleren dat informatiebeveiliging in de governance-structuur Zou kunnen door bijv. interview met een of meer bestuursleden (Stelselraad) en via de van het stelsel een regelmatig terugkerend onderwerp is en de notulen van meetings van de Stelselraad of Tactisch Overleg. vereiste aandacht krijgt.
Beheerorganisatie (faciliteert de governance)
8
Er is coördinatie van de informatiebeveiliging binnen het stelsel.
GNK A.6.1.2
Het security officers overleg komt in beginsel 2 x per jaar bijeen. Dit platform wordt ook gebruikt voor de evaluatie van stelselrisicoanalyse en gemeenschappelijk normenkader en andere gemeenschappelijke IB aangelegenheden.
Beheerorganisatie Deelnemers
9
Verantwoordelijkheden voor informatiebeveiliging zijn toegewezen.
GNK A.6.1.3
10
Er vindt een onafhankelijke beoordeling plaats GNK A.6.1.8 van de informatiebeveiliging.
Volgens het IB beleid is iedere deelnemer en de BO verantwoordelijk voor de eigen IB. Wel is er een gezamenlijk security overleg onder voorzitterschap van de security officer van de beheerorganisatie, vooral in het kader van "leren van incidenten" , uitwisseling van kennis en verbetering van IB. Zie ook Incidentmanagement (GNK A.13). Draagt het security officers overleg bij aan de IB? Deelnemers en beheerorganisatie hebben alle een security officer benoemd. Is er een "backup- security officer benoemd? Stel vast wie de security officer is, wat zijn formele functie is, hoe zijn dagelijkse werkzaamheden eruit zien, etc. Deelnemers en beheerorganisatie moeten beschikken over een geldig ISO27001 certificaat en auditrapportages, w.o. pentestrapportages. Indien er bevindingen zijn in de ISO auditrapportage, is hiervoor een Corrective Action Plan opgesteld? Is dit plan ook uitgevoerd? Aandacht voor zowel de onderdelen die wel of niet getoetst zijn. Met name aandacht voor de eventuele bevindingen die een rapport staan.
11
Managementrapportages worden maandelijks AS - Organisatie, Service Level, opgeleverd. Rapportages AS - Operationeel Handboek, proces Managementinformatie
Deelnemers behoren maandelijks een managementrapportage op te leveren aan de Beheerorganisatie Beheerorganisatie. De Beheerorganisatie aggregeert deze gegevens t.b.v. de rapportage aan Deelnemers het Tactisch Overleg. Aggregatie gebeurt automatisch. Daarna vindt er nog een eindredactie plaats op de resultaten.
12
Er is een gemeenschappelijk GNK A.10.1.2 changemanagementproces geïmplementeerd. GNK A.12.5.1 AS - Organisatie, Operationeel Handboek, Proces change en release
Controleren of met de managementrapportages voldaan wordt aan de afspraken hierover in de Service Level. Nagaan of /hoe het proces is ingeregeld voor het opstellen en tijdig verzenden van de juiste managementrapportage (bij deelnemers). Worden changes op het Afsprakenstelsel conform de afgesproken procedure verwerkt?
Proceseigenaar: changemanager bij de beheerorganisatie. Changes worden door de beheerorganisatie in opzet verwerkt in het Afsprakenstelsel. Gelet op (ook) het juridisch belang van het Afsprakenstelsel moeten changes correct worden doorgevoerd. Implementatie van de changes gebeurt bij deelnemers en beheerorganisatie.
Beheerorganisatie Deelnemers
13
Het stelsel heeft een incidentmanagementproces opgezet en geïmplementeerd.
De beheerorganisatie houdt een incidentregistratie bij ten behoeve van het stelsel. Nagaan: opzet van de procedure; is de "interne" incidentmanagementprocedure bij deelnemers en beheerorganisatie gekoppeld aan de procedure van het stelsel? Worden incidenten daadwerkelijk gemeld aan het stelsel? Hoe worden incidenten geclassificeerd? Hoe worden incidenten opgevolgd? Verifieer de opzet en bewaking van het continuïteitsplan.
Proceseigenaar: incidentmanager Beheerorganisatie Systeem: Mantis
Beheerorganisatie Deelnemers
14
Er is een aktueel continuïteitsplan voor het stelsel.
GNK A.13 AS - Organisatie, Operationeel Handboek, Proces Incidentmanagement
ISMS A.14.1.4
Overzicht van de security officers is opgenomen in de externe contactenlijst in Confluence en Beheerorganisatie op de space Security officers in Confluence. Deelnemers
Er zijn enkele onafhankelijke beoordelingen: Beheerorganisatie - ISO certificering en de audits daarbij (1x per jaar) Deelnemers - periodieke pentesten (2 x per jaar) - stelselaudit (1 x per jaar) Een overzicht van ISO certificaten is opgenomen in Confluence bij de Beheerorganisatie. De Beheerorganisatie controleert op geldigheid van de certificaten en of de externe audit heeft plaatsgevonden. De Beheerorganisatie heeft een coördinerende rol bij het laten uitvoeren van penetratietesten bij deelnemers.
Iedere deelnemer heeft een eigen incidentmanagement procedure en systeem. Voor eHerkenning-stelsel gerelateerde zaken geldt het incidentmanagementproces uit het Afsprakenstelsel.
Uitgangspunt binnen het stelsel is dat alle rollen minimaal dubbel voorkomen. Hierbij is Beheerorganisatie vooral van belang dat continuïteit geborgd is indien sprake is van uitbesteding van aktiviteiten. In een aantal gevallen maakt de ene eH-deelnemer gebruik van diensten van een andere eH-deelnemer.
15
Er is een aktueel calamiteiten- en crisisbeheerplan voor het stelsel.
ISMS A.14.1.4
Hoe verloopt de communicatie in het geval van calamiteiten of crisis? Wie is dan in control? Wie coördineert? Wie worden er geïnformeerd? Is het plan aktueel en bekend bij alle betrokken partijen?
16
Er is gemeenschappelijk beleid en proces geïmplementeerd ten aanzien van het (laten) uitvoeren van penetratietesten ("pentesten").
AS - Beveiliging, Informatiebeveilinging en privacy, beleid en doel penetratietesten. GNK A.15.2.2
Zijn de afgesproken pentesten uitgevoerd? Beleid is om twee keer per jaar pentesten te laten uitvoeren door specialistische externe Zijn evt. corrective action plans naar aanleiding hiervan opgesteld partij. De beheerorganisatie organiseert en coordineert de pentesten en monitort de en uitgevoerd? opvolging.
17
De Beheerorganisatie heeft een calamiteiten- en crisibeheerplan opgezet waarin in de escalatiestappen en de communicatierollen zijn opgenomen. Dit plan moet onderdeel worden van het Afsprakenstelsel. N.B.: Status 1-11-2014. Dit document is formeel nog geen onderdeel van het AS.
Beheerorganisatie
Beheerorganisatie Deelnemers
Indien servercapaciteit van een externe leverancier wordt betrokken moet de deelnemer meewerken aan pentesten op die server.
De uitgifte en registratie van AS - Beveiliging, authenticatiemiddelen en machtigingen Betrouwbaarheidsniveaus en geschiedt conform de voorgeschreven criteria. registratie eisen
Verifiëren opzet en werking van de procedures die binnen eHerkenning voor de betrouwbaarheidsniveaus 1, 2, 2+, 3 en 4 zijn afgesproken ten behoeve van de identificatie en registratie bij het uitgeven van authenticatiemiddelen en machtigingen. c.q. Deze norm heeft betrekking op Verifiëren of werking van deze processen conform de de basisprocessen binnen het goedgekeurde opzet is. De implementatie en werking van de processen eHerkenningsstelsel. Bijzondere aandacht moet hierbij uitgaan naar de omgang met voor het uitgeven en registreren van middelen De kwaliteit van deze processen en registratie van persoonsgegevens. De WBP is hierin leidend. en machtigingen zijn conform de zijn in hoge mate bepalend voor Denk hierbij aan minimalisatie van opslag van gegevens en goedgekeurde opzet. de kwaliteit van het kernproces bewaartijden, met name ingeval bijzondere gegevens in het van eHerkenning: de geding zijn zoals BSN-nummer. authenticatie. In hoeverre zijn controles en registraties die ten behoeve van een eH-deelnemer door externe partijen worden uitgevoerd overeenkomstig vigerende wet- en regelgeving? (bijv. controle WID tegen verloren/gestolen documenten). Heeft de deelnemer daarover met externe partij afspraken gemaakt?
De criteria ten behoeve van het identificeren van de aanvrager van een middel zijn gebaseerd op de STORK betrouwbaarheidsniveaus. Afhankelijk van het betrouwbaarheidsniveau moeten bij de uitgifte van middelen bepaalde attributen van de identificatie gecontroleerd en/of geregistreerd worden. Hetzelfde geldt voor de registratie van de aanvraag van een machtigingenbeheerder. Sommige controles (bijv. toets op verloren/gestolen WID) worden uitgevoerd door externe partijen. Denk bijv. aan: IDchecker, iDeal, DNS, Postbezorgers.
Beheerorganisatie Deelnemers
Toetredingsexperts hebben (in opdracht van de beheerorganisatie) de opzet van processen die horen bij de verschillende rollen van het eHerkenningsstelsel en betrouwbaarheidsniveaus getoetst. Toetreding van de deelnemer heeft plaatsgevonden op basis van de toetsing van de toetredingsexperts en het daaraan gekoppelde advies van de beheerorganisatie aan EZ. Voor iedere inhoudelijke wijziging van een procesgang moet opnieuw het toetredingsproces worden doorlopen. De toets van de stelselauditor moet borgen dat gehanteerde processen gelijk zijn aan de in opzet goedgekeurde processen. Hulpmiddel hierbij is het toetredingsdossier dat in beheer is bij de Beheerorganisatie.
Opmerking: Voor die deelnemers die beschikken over een geldig certificaat ETSI 101 456 mag met betrekking tot niveau 4 middelen de auditor zich verlaten op het oordeel van de ETSI auditor.
N.B.: Er is een (concept) toetredingsnormenkader bij de beheerorganisatie beschikbaar, waarin de controle-eisen en registratieverplichtingen bij identificatie voor uitgifte van middelen en machtigingen gedetailleerd beschreven staan. Dit document dient als leidraad voor de stelselauditor.
18
Er is een beheerst proces voor het beschikbaar AS - Operationeel Handboek, hebben van de website voor eHerkenning en Proces Contentmanagement voor de informatie daarop (contentmanagement).
Verifiëren van opzet en werking van het contentmanagementproces.
De Beheerorganisatie is verantwoordelijk voor het beheer van de website www.eherkenning.nl. De website bevat ook informatie over/van de deelnemers.
Beheerorganisatie
19
Er is een beheerst proces voor het aanpassen en beschikbaar stellen van het metadatabestand.
Verifieer opzet en werking van: Changeproces Testproces Distributieproces Archiveringsproces Bij deelnemers: verifiëren processen in opzet en werking. Bij beheerorganisatie: verifiëren proces in opzet en werking inclusief distributie.
Het metadatabestand wordt binnen een afgesproken procedure geautomatiseerd samengesteld en beschikbaar gesteld aan de deelnemers.
Beheerorganisatie Deelnemers
AS - Operationeel Handboek Proces metadata
20
Er is een beheerst proces voor het aanpassen en beschikbaar stellen van de dienstencatalogus.
AS - Operationeel Handboek Proces doorvoeren nieuwe dienstencatalogus
21
Er zijn procedures opgezet en geïmplementeerd voor het beschermen van IPR (intellectual property rights). Deelnemers voldoen aan de afspraken in het document: Testen voor deelnemers.
ISMS A.15.1.2
22
23
AS - Testen voor deelnemers
Deelnemers voldoen aan de technische AS - koppelvlakspecificatie DVinformatiebeveiligingseisen uit de documenten HM, HM-AD en HM-MR koppelvlakspecificaties. DV=dienstverlener HM = herkenningsmakelaar AD = authenticatiedienst MR = machtigingenregister
Betekenis afkortingen referentie:
Verifieer opzet en werking van: Changeproces Distributieproces Bij deelnemers: verifiëren processen in opzet en werking. Bij beheerorganisatie: verifiëren proces in opzet en werking inclusief distributie. IPR t.a.v. het merk en beeldmerk eHerkenning Wordt er gecontroleerd op naleving van het beeldmerk eHerkenning? Verifieer: opzet en werking testprocedure (bij deelnemers) Verifieer: opzet en werking monitoring/test bij Beheerorganisatie. Verifieer: • Opzet koppelvlak development proces • Werking koppelvlak development proces • Technische controle bij ISO-audit? Verifieer: Interne audits/documentatie implementatieproject deelnemers op conformiteit koppelvlakspecificaties Nagaan: hoe is verbinding met het koppelvlak beveiligd (PKIo, of andere PKI)?
AS = Afsprakenstelsel eHerkenning GNK = Gemeenschappelijk Normenkader Informatiebeveiliging eHerkenning ISMS = Information Security Management Systeem Beheerorganisatie
Het dienstencatalogusbestand wordt op basis van input van deelnemers binnen een procedure geautomatiseerd samengesteld en beschikbaar gesteld aan de deelnemers.
Beheerorganisatie Deelnemers
Merk en beeldmerk staan geregistreerd bij het merkenbureau. De beheerorganisatie is verantwoordelijke voor het bewaken van het correcte gebruik van merk en beeldmerk.
Beheerorganisatie
Het testproces is een onderdeel van het Afsprakenstelsel. Het bevat specificaties van de testen die uitgevoerd moeten worden bij nieuwe releases van het AS en eventuele nieuwe toetredingen van deelnemers. Het testen moet plaatsvinden door de deelnemers. De Beheerorganisatie monitort de uitvoering van de testen. Van belang is dat de technische specificaties van de koppelvlakken en de beveiligingseisen daarbij conform geimplementeerd zijn. Deelnemers zijn zelf verantwoordelijk voor de ontwikkeling of acquisitie, implementatie en beheer van de software. Door middel van testverslagen zou kunnen worden aangetoond dat er conformiteit is met de specificaties.
Beheerorganisatie Deelnemers
Deelnemers
