Onderweg naar een eenduidigere en consistente DigiD ICTbeveiligingsassessment

Onderweg naar een eenduidigere en consistente DigiD ICTbeveiligingsassessment





Afstudeer scriptie

Versie: 0.9

Auteur:

Mourad Hajjouji (2515129)

Datum:

10 september 2015

Opleiding:

Vrije Universiteit Amsterdam: Post Graduate IT Audit

Scriptienummer:

2045



I





“DE HARDSTE STRIJD ONTSTAAT NIET DOORDAT MENING OP MENING BOTST, MAAR ALS TWEE MENSEN HETZELFDE ZEGGEN EN ER OVER DE INTERPRETATIE VAN DATZELFDE WORDT GEVOCHTEN.” SÖREN KIERKEGAARD; DEENS FILOSOOF 1813-1855

II

VOORWOORD Deze scriptie is het resultaat van mijn afstudeerproject aan de Vrije Universiteit te Amsterdam. Het onderzoek is uitgevoerd in het kader van het afronden van de Postgraduate Opleiding IT Audit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen en Bedrijfskunde. Door veel betrokken te zijn geweest bij DigiD assessments kwam ik in aanraking met het DigiD normenkader. Mijn ervaring met de klanten waar ik DigiD assessments uitvoerde leerde mij dat er verschillende interpretaties bestonden rondom de richtlijnen uit het normenkader. De klanten vonden dat ze voldeden aan bepaalde normen (door te vergelijken met andere gemeenten die voldeden aan de richtlijnen) en wij als controlerende organisatie vonden dat ze niet voldeden. De discussies met de klanten resulteerde uiteindelijk in ontevreden klanten die het niet eens waren met de gepubliceerde rapporten en dus voor de eerstvolgende assessment gebruik zouden maken van een IT audit organisatie waarbij hun opzet en bestaan wel voldeed aan de richtlijn. Deze discussies zorgde ervoor dat ik een geschikt onderwerp vond om mijn studie af te ronden. Graag bedank ik mijn begeleider Paul Harmzen, RE RA (Vrije Universiteit) voor zijn begeleiding en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie. Tevens bedank ik de IT auditors die deel hebben genomen aan dit onderzoek. Zonder de mening van deze IT auditors was ik niet in staat geweest om de informatie te verzamelen die nodig was voor dit onderzoek. Mourad Hajjouji Amsterdam, september 2015

III

SAMENVATTING De introductie van internet heeft vele soorten van dienstverlening in de wereld veranderd. Onder andere de wijze waarop we ons kunnen legitimeren bij de overheid. Men kan zich via het internet steeds meer elektronisch legitimeren. Sinds enkele jaren is DigiD in Nederland geïntroduceerd. DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een persoonlijke combinatie van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014). De DigiD haalt helaas regelmatig op een negatieve wijze de landelijke media. Denk aan de DigiNotar affaire uit 2011 waarbij het bedrijf dat de beveiligingscertificaten van onder meer DigiD leverde gehackt was. De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen. Daarom heeft de voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) in 2012 de maatregel afgekondigd dat alle organisaties die gebruik maken van de DigiD hun ICT beveiliging moeten laten toetsen middels een ICTbeveiligingsassessment. Dit assessment is gebaseerd op 28 beveiligingsmaatregelen uit het document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security Center. Ook is beschreven dat de beveiligingsrichtlijnen door hun opzet breed toepasbaar zijn. Dit is als richtlijn fijn om voor een breed spectrum aan dienstverlening toe te kunnen passen, maar als toepassing voor de norm van DigiD te generiek. De literatuur beschrijft hoe je deze brede richtlijnen over het algemeen zou moeten beoordelen, maar beschrijft niet voldoende hoe de norm voor DigiD geïnterpreteerd moet worden. Daarom ligt de aandacht van dit afstudeeronderzoek bij het opstellen van een eenduidigere en consistente DigiD ICTbeveiligingsassessment. De probleemstelling van de afstudeerscriptie luidt daarom “Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactoren worden toegekend aan de onderliggende maatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICT-beveiligingsassessment te komen?” Om de consistentie van de oordeelsvorming van de DigiD normenkader verder te verbeteren heb ik het door Logius en het NCSC gedefinieerde normenkader gespecificeerd. Het document ‘ICTbeveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security Center is gebruikt voor de selectie van de onderliggende maatregelen. Middels deze exercitie ben ik tot de conclusie gekomen dat er niet voldoende risico identificatie en specificatie ten grondslag heeft gelegen bij het opstellen van het DigiD normenkader. Dit heeft ertoe geleid dat inconsistentie kan optreden in de oordeelsvorming van de DigiD norm. Aan de hand van de literatuurstudie en een dialoog met een DigiD expert heb ik zelfstandig onderliggende maatregelen gesplitst in ‘must have’ en ‘should have’ maatregelen. Daarnaast heb ik de ‘must have’ maatregelen een weging gegeven om een totaaloordeel te kunnen vellen per richtlijn. Dit normenkader en de wegingen zijn vervolgens voorgelegd aan experts die veelvuldig met informatiebeveiliging te maken hebben. Waar nodig zijn vervolgens aanpassingen gemaakt. Het resultaat van dit onderzoek is een gespecificeerd normenkader voor DigiD ICTbeveiligingsassessment, waarmee een IT-auditor een consistent oordeel kan vellen. Daarnaast zijn voor de ‘must have’ maatregelen wegingsfactoren opgesteld die als hulpmiddel ingezet kan worden om overzichtelijker een totaaloordeel per norm te vellen.

IV



INHOUD 1

DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEIT VAN ICT-BEVEILIGING ......................... 1 1.1 INTRODUCTIE ....................................................................................................................................... 1 1.2 ACHTERGROND..................................................................................................................................... 1 1.3 PROBLEEMSTELLING ............................................................................................................................... 2 1.4 ONDERZOEKSDOELSTELLING ..................................................................................................................... 2 1.4.1 Hoofdvraag .................................................................................................................................. 3 1.4.2 Deelvragen................................................................................................................................... 3 1.5 SCOPE ................................................................................................................................................ 4 1.6 BEPERKINGEN ...................................................................................................................................... 4 1.7 ONDERZOEKSMETHODOLOGIE .................................................................................................................. 4 1.7.1 Onderzoeks methode.................................................................................................................... 5 1.7.2 Onderzoeksplan ........................................................................................................................... 5 1.8 RELEVANTIE VAN HET ONDERZOEK ............................................................................................................. 7 1.9 RAPPORTSTRUCTUUR ............................................................................................................................. 7

2

LITERATUURSTUDIE ................................................................................................................................. 8 2.1 DIGID ................................................................................................................................................ 8 2.1.1 Webapplicatie .............................................................................................................................. 9 2.1.2 Gebruik van DigiD ........................................................................................................................ 9 2.2 KWETSBAARHEDEN EN BEDREIGINGEN ...................................................................................................... 11 2.3 DIGID BEVEILIGINGSRISICO ’S .................................................................................................................. 12 2.4 DIGID ICT-BEVEILIGINGSASSESSMENT ...................................................................................................... 16 2.4.1 Norm ICT-beveiligingsassessments DigiD .................................................................................... 16 2.4.1.1

2.5 2.6 3

Onderliggende maatregelen ............................................................................................................. 17

HANDREIKING NOREA .......................................................................................................................... 18 CONCLUSIE LITERATUURSTUDIE ............................................................................................................... 19

SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN VAN WEGINGSFACTOREN ........................... 20 3.1 SPLITSING ......................................................................................................................................... 20 3.1.1 Methodiek ................................................................................................................................. 20 3.1.2 Uitvoering .................................................................................................................................. 21 3.2 WEGINGSFACTOREN ............................................................................................................................ 23 3.2.1 Methodiek ................................................................................................................................. 24 3.2.2 Toekenning ................................................................................................................................ 24

4

BEVINDINGEN VAN HET PRAKTIJKONDERZOEK ...................................................................................... 27 4.1 INTERVIEW 1: .................................................................................................................................... 27 4.1.1 Bevindingen ............................................................................................................................... 27 4.2 INTERVIEW 2 ..................................................................................................................................... 28 4.2.1 Bevindingen ............................................................................................................................... 28

5

CONCLUSIE............................................................................................................................................. 30 5.1 5.2 5.3

6

BEANTWOORDING DEELVRAGEN ............................................................................................................. 30 BEPERKINGEN EN VERVOLGONDERZOEK .................................................................................................... 32 REFLECTIE ......................................................................................................................................... 33

LITERATUURLIJST ................................................................................................................................... 34

Bijlage A. Bijlage B. Bijlage C. Bijlage D.

Norm ICT-beveiligingsassessments DigiD............................................................................. 35 Maatregelen van de DigiD normen...................................................................................... 37 Norea Handreiking voor DigiD assessments......................................................................... 43 Initiële splitsing mede op basis van interview ...................................................................... 48

V

Bijlage E. Bijlage F. Bijlage G.

Initiële wegingsfactoren ..................................................................................................... 58 Finale Normenkader ........................................................................................................... 58 Rekenmodel ....................................................................................................................... 58



F I GU R E N L I JS T FIGUUR 1: ONDERZOEKSMODEL ................................................................................................................................ 4 FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN ................................................................................................ 5 FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES ........................................................................... 13



TABELLENLIJST TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014).................................................................... 8 TABEL 2: RISICO’S PER BEVEILIGINGSRICHTLIJN ............................................................................................................. 15 TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN .............................................................. 17 TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN .................................................................... 21 TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN .................................................................... 22 TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN .................................................................... 23 TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN ...................................................................................... 24 TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING ............................................................................................ 25 TABEL 9: BEVEILIGINGSRICHTLIJN B-07 INCLUSIEF WEGING ............................................................................................ 26



GRAFIEKENLIJST GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013) ................ 9 GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT ............................................................................. 10 GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU . P ERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE . ...................................................................................... 11

VI

1 DIGID IC T-BEVEILIGINGSASSESS MENT KWALITEIT VAN ICT-BEVEILIGING

VERHOOGT

DE

1.1 INTRODUCTIE In dit hoofdstuk wordt een introductie gegeven van de onderzoekstudie om de lezer een globaal beeld te geven van de strekking van deze scriptie. Eerst introduceer ik het onderzoeksonderwerp door een informatieve achtergrond te geven in paragraaf 1.2. In paragraaf 1.3 geef ik de probleemstelling. Vervolgens geef ik in paragraaf 1.4 de onderzoeksdoelstelling en de onderzoeksvragen. In paragraaf 1.5 en 1.6 geef ik de scope en de beperkingen van het onderzoek. In paragraaf 0 beschrijf ik de onderzoeksmethodologie en in 1.9 geef ik aan wat de bijdrage van dit onderzoek is. Als laatste geef ik in paragraaf 1.9 de structuur van dit rapport aan.

1.2 ACHTERGROND Cyber-security staat de laatste jaren veel in de belangstelling. Organisaties die veel verliezen lijden, inbraken op controlesystemen, aanvallen op kritische infrastructuur en vele andere onderwerpen bereikten de publiciteit de afgelopen periode. In 2011 heeft de technologiewebsite Webwereld de maand oktober uitgeroepen tot “de maand van het privacy lek” ook wel bekend als “Lektober”. Tijdens deze maand heeft de website aangetoond dat de ICT-beveiliging bij de overheid niet altijd in orde was. Andere voorvallen, die wat meer recentelijk zijn, zijn de Nederlandse banken en de DigiD-voorziening die te maken hebben gehad met cyberaanvallen. Hierdoor werd de digitale dienstverlening van deze organisaties stil gelegd. De ICT-beveiliging is in de eerste plaats een verantwoordelijkheid van de individuele (overheids-) organisaties zelf. Maar dat alléén is niet voldoende met de huidige elektronische dienstverlening die door verschillende partijen tot stand komt. Deze dienstverlening is vaak modulair en in ketens georganiseerd. De informatiebeveiliging in de keten als geheel moet op orde zijn. De zwakste schakels in die ketens bepalen namelijk de veiligheid van de keten als geheel. Voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft op 29 oktober 2012 de maatregel afgekondigd dat alle organisaties (bijvoorbeeld alle 403 gemeenten) die gebruik maken van de DigiD (het digitale authenthicatiemiddel voor de overheid en dienstverleners met een publieke taak ) hun ICT beveiliging, voor zover deze DigiD raakt, laten toetsen middels een ICT-beveiligingsassessment1. Deze jaarlijkse verplichtstelling zou de veiligheid van de koppelingen met de DigiD moeten borgen. Via een ICTbeveiligingsassessment moeten zij dit vervolgens door een Register EDP-auditor laten toetsen. De ICT-beveiligingsassessment moet de beveiligingsnorm toetsen. Deze norm is gebaseerd op de richtlijnen uit het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het Nationaal Cyber Security Centrum (NCSC). Deze bestaat uit 59 richtlijnen. De norm voor de ICTbeveiligingsassessment is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. De beveiligingsrichtlijnen van NCSC zijn breed toepasbaar voor ICT- oplossingen die gebruikmaken van webapplicaties. De 1

http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2012/10/29/aanbiedingsbrief-bijrapport-ict-beveiligingsassessments-digid.html

1

norm, 28 richtlijnen, bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius2 adviseert echter de hele set van richtlijnen van NCSC te adopteren.

1.3 PROBLEEMSTELLING De beveiligingsrichtlijnen zijn breed opgezet zodat deze breed toepasbaar zijn voor ICToplossingen. Voor de IT-auditors is het uitgangspunt dat per beveiligingsrichtlijn een oordeel wordt gevraagd. Nu leidt het breed opzetten van normen in de praktijk tot verschillende interpretaties van het normenkader. Dit resulteert vervolgens tot verschillende beoordelingen van de beveiligingsrichtlijnen door de IT auditors. Hierdoor wordt het voor Logius, de partij die verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments, moeilijker om een eenduidig en consistent totaaloordeel te geven. Daarnaast heeft Logius ervoor gekozen om geen inzicht in de criteria te geven die worden gehanteerd bij de interpretatie van de rapportages. Logius doet dit om ‘gedragseffecten' te voorkomen. Ook beschrijft de ICTBeveiligingsrichtlijnen voor webapplicaties dat de toepassing van de beveiligingsrichtlijnen kunnen worden verheven tot een normenkader. Afhankelijk van de aard en de specifieke kenmerken van de dienst zouden maatregelen kunnen worden weggelaten en/of worden opgenomen en kunnen wegingsfactoren van de individuele maatregelen worden aangepast in het normenkader. Een normenkader is voor DigiD op beveiligingsrichtlijnniveau opgesteld. Als ik dan een niveau lager kijk dan zie ik dat voor het normenkader van de DigiD geen eenduidige onderliggende specificering is opgesteld.

1.4 ONDERZOEKSDOELSTELLING Het normenkader van het DigiD ICT-beveiligingsassessments is momenteel niet specifiek genoeg om eenduidige en consistente beoordelingen per beveiligingsrichtlijn te krijgen van de verschillende IT auditors binnen de verschillende organisaties die actief zijn. Iedere organisatie die DigiD ICT-beveiligingsassessments uitvoert kan een andere interpretatie en wegingsfactoren van maatregelen van een beveiligingsrichtlijn hanteren. Onderliggende maatregelen zijn de maatregelen die een DigiD gebruikersorganisatie moet nemen om te voldoen aan één beveiligingsrichtlijn. Hierdoor bestaat de mogelijkheid dat er met verschillende maten wordt gemeten. Dit resulteert voor Logius in niet consistente oordelen van het assessment. Het doel van deze scriptie is om het normenkader van DigiD ICT-beveiligingsassessment verder te specificeren om inconsistente oordeelsvorming door middel van diversiteit in de interpretaties en wegingsfactoren te minimaliseren.

In de volgende subparagrafen staan de onderzoeksvragen die ik met het onderzoek wil beantwoorden.

2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en zorgt voor overheidsbrede,

samenhangende ICT-producten. Logius verzorgt het beheer van het authenticatiemiddel DigiD en de bijbehorende gebruikersondersteuning.

2



1.4.1 HOOFDVRAAG In de voorgaande paragraaf heb ik vastgesteld dat het onderzoeksproject het normenkader van DigiD ICT-beveiligingsassessment moet specificeren. Daarom is de hoofdonderzoeksvraag, die de focus zal leggen in het opbouwen van de theorie van deze scriptie, als volgt: Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactoren worden toegekend aan de onderliggende maatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICTbeveiligingsassessment te komen? Hierbij gaat het om de interpretatie van het normenkader en de genomen maatregelen waarbij de weging als hulpmiddel zal dienen om overzichtelijk vast te stellen in hoe hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld.

1.4.2 DEELVRAGEN Om de hoofdvraag te beantwoorden begin ik eerst met het beantwoorden van een aantal deelvragen. Daarom wordt de onderzoeksvraag onderverdeeld in een aantal deelvragen om het onderzoek beter te structureren. De deelvragen hebben een duidelijke logica en zijn gebaseerd op het onderzoeksmodel. Het onderzoek begint met het begrijpen van de onderzochte onderwerpen door het uitvoeren van een literatuuronderzoek om een betere grip te krijgen op de interpretatie van de beveiligingsrichtlijnen. Daarom zullen de eerste drie deelvragen als volgt zijn: 1. Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te dekken? Met het resultaat van deze vraag ben ik in staat om de verschillende onderliggende maatregelen te definiëren per beveiligingsrichtlijn. De volgende stap in het onderzoek is om vast te stellen welke set maatregelen minimaal getroffen moeten worden voor het DigiD ICTbeveiligingsassessment. Dit leidt tot de volgende deelvraag: 2. Welke onderliggende maatregelen moeten minimaal getroffen worden (must haves) en welke onderliggende maatregelen zijn zeer gewenst (should haves)? Elke beveiligingsrichtlijn zal bestaan uit verschillende sets maatregelen. Om vervolgens aan te kunnen geven in hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld is het van belang dat de maatregelen die minimaal getroffen moeten worden (“must haves”) een wegingsfactor mee krijgen om tot een consistente oordeelsvorming te komen. Dit leidt tot de volgende deelvraag: 3. Welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels een hulpmiddel tot een consistente oordeelsvorming te komen?



3

Een overzicht van het onderzoeksmodel is na het onderzoeken van de probleemstelling en hoofdvraag opgesteld en afgebeeld in Figuur 1.

Huidige normenkader Richtlijn1:…

Richtlijn1:… Maatregel 1:..

Richtlijn2:… Richtlijn3:…

Splitsen

Specificeren

Richtlijn2:…

Richtlijn28:…

Should have:

Richtlijn1:…

Richtlijn1..

Maatregel 1:.. 2:..

Maatregel 2:..

Richtlijn27:…

Must have:

Richtlijn2:…

Maatregel 1:…

Maatregel 1:… 2:…

Maatregel 2:.. Maatregel 3:..

Maatregel 3:..

Wegen Must have:

Maatregel

Richtlijn1:…

Richtlijn2:…

Richtlijn2:…

Maatregel

Maatregel 1:.. (10) Maatregel 1:… (2) Maatregel 3:.. (8)

FIGUUR 1: ONDERZOEKSMODEL

1.5 SCOPE Het DigiD ICT-beveiligingsassessment is gebaseerd op de richtlijnen uit het document “ICTbeveiligingsrichtlijnen voor webapplicaties” van het NCSC. Dit onderzoek heeft zich uitsluitend gericht op het normenkader dat is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties voor DigiD. Dit normenkader bestaat uit 28 beveiligingsrichtlijnen. De overige beveiligingsrichtlijnen zijn binnen dit onderzoek buiten beschouwing gelaten.

1.6 BEPERKINGEN Dit onderzoek heeft zich uitsluitend gericht op de interpretatie van het normenkader ten behoeve van het auditen van DigiD koppelingen. Voor de interpretatie van de beveiligingsrichtlijnen word uitsluitend gebruik gemaakt van de richtlijnen uit het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het NCSC en expert judgement van deskundigen die veel ervaring hebben in informatiebeveiliging.

1.7 ONDERZOEKSMETHODOLOGIE In deze paragraaf zal ik de onderzoeksmethodologie beschrijven. Eerst beschrijf ik de onderzoeksmethode en dan het onderzoeksplan.



4

1.7.1 ONDERZOEKS METHODE Volgens Yin (Yin, 2008) zijn er verschillende onderzoeksmethoden om wetenschappelijk onderzoek te doen, namelijk experimenten, enquêtes, literatuurstudie, interviews, en het verrichten van observaties of case studies. Een literatuurstudie en interviews zijn goede methoden voor dit onderzoek, omdat de literatuur voldoende de risico’s van een web applicatie en de te nemen maatregelen om dit risico grotendeels te mitigeren beschrijft. De DigiD applicatie is ook een web applicatie. Daarnaast is het onderzoeksobject van deze scriptie de interpretatie van de DigiD ICT-beveiligingsnorm. Om een onderzoek rondom interpretatie uit te voeren zijn interviews met deskundigen de ideale methode.

1.7.2 ONDERZOEKSPLAN Het onderzoeksplan is een plan van hoe de informatie verzameld gaat worden om vervolgens de onderzoeksvraag te beantwoorden. Het onderzoek is kwalitatief van aard en in fases uitgevoerd en gebaseerd op de aanpak van case study methodologie van Yin. De aanpak is gebaseerd op basis van een literatuuronderzoek en doormiddel van interviews met praktijkbeoefenaars die met het onderwerp DigiD ICT-beveiligingsassessments veelvuldig in aanraking komen. Hieronder geef ik kort aan wat ik middels beide methoden wil verzamelen. 1. Literatuurstudie Over de interpretatie van DigiD ICT-beveiligingsnorm is weinig literatuur beschikbaar. De literatuur beschrijft wel in details hoe men de risico’s van web applicaties kan mitigeren middels maatregelen. Aangezien de DigiD applicatie tevens een web applicatie is, zal het in de literatuuronderzoek gaan om de theoretische verdieping van de beveiligingsrichtlijnen en de onderliggende maatregelen. Van hieruit heb ik een eerste versie van de scriptie geschreven met daarin een initiële beantwoording van de onderzoeksvraag. 2. Interviews Bij de interviews gaat het om inzicht krijgen in hoe de verschillende betrokkenen vanuit hun rol omgaan met het fenomeen DigiD ICT-beveiligingsrichtlijnen, of er aanvullingen zijn op de maatregelen, hoe de scheiding in “must have” en “should have” maatregelen volgens hen is en de meegegeven wegingsfactoren. Hiervoor zal ik een semigestructureerd interview houden. Hieronder is de opbouw concreter uitgewerkt in fases die door Yin zijn opgesteld:

FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN

5

Plan Deze fase bevat de formulering en verdieping van het onderzoeksgebied, probleemstelling, onderzoeksvragen, onderzoeksaanpak. Design Deze fase bevat het verzamelen, bestuderen en beschrijven van literatuur op het gebied van DigiD (theoretische verdieping), hierbij zal de literatuurstudie een invulling geven aan de te hanteren definitie voor DigiD, de risico’s van de DigiD koppeling en de onderliggende maatregelen van het DigiD normenkader die centraal staan in dit onderzoek. Dit resulteert vervolgens in een ontwerp van een gespecificeerd normenkader en een rekenmodel met wegingen als hulpmiddel om consistente oordelen te vellen. Voorafgaand de splitsing zal ik in een interview met een DigiD deskundige de opzet van de splitsingen en wegingen bespreken. Hierna ga ik aan de hand van expert judgement vaststellen welke onderliggende maatregelen minimaal getroffen moeten worden en welke onderliggende maatregelen zeer gewenst zijn. Ook ga ik door middel van expert judgement vaststellen welke wegingsfactoren toegekend moeten worden aan de maatregelen die minimaal getroffen moeten worden om een gedegen en consistente oordeelsvorming te verkrijgen. Hierna ga ik deze onder experts in het veld toetsen met behulp van semigestructureerde interviews. Prepare Deze fase bestaat uit het voorbereiden van de semigestructureerde interviews. Een semigestructureerd interview is als men geen vaste vragenlijst wil gebruiken. In plaats daarvan gebruikt men diverse onderwerpen voor het interview. Hierbij is het belangrijk dat de onderzoeker vaardig is in het stellen van goede open vragen over de onderwerpen, goed luistert, de antwoorden goed interpreteert, zichzelf goed kan aanpassen en flexibel is. Collect Deze fase bestaat uit het voeren van de interviews met de praktijkbeoefenaars middels semigestructureerde interviews. De volgende onderwerpen zullen als uitgangspunt voor de discussies dienen: · De gemaakte splitsing in ‘must have’ en ‘should have’ maatregelen voor de DigiD ICTbeveiligingsassessment; · Aanvullingen op de onderliggende maatregelen per beveiligingsrichtlijn; · Zwaarste / belangrijkste onderliggende maatregelen van de ‘must have’ maatregelen die ook de hoogste wegingsfactor toegekend moeten krijgen. Om goed naar de geïnterviewde persoon te luisteren en te kunnen doorvragen zal ik gebruik maken van een notitieblok om de belangrijkste aantekeningen alvast op papier te zetten maar ook het gesprek - in overeenstemming met de geïnterviewde persoon – opnemen om achteraf nog terug te beluisteren ter verificatie. Analyze Deze fase bevat het analyseren van de verkregen input uit de interviews. Deze analyse gebeurt per richtlijn op het niveau van de gemaakte splitsing en de gemaakte weging. Afhankelijk van de verkregen response zullen aanpassingen gemaakt worden. Share De ‘Share’ fase gaat over het afstemmen van de vastlegging van de gevoerde interviews met de experts en het verspreiden van de scriptie aan diverse geïnteresseerden.

6



1.8 RELEVANTIE VAN HET ONDERZOEK Theoretische relevantie De theoretische doelstelling van deze scriptie is om een significante bijdrage te leveren aan de literatuur van het normenkader van DigiD ICT-beveiligingsassessments in termen van interpretatie van de beveiligingsrichtlijnen, en daartoe behorende wegingsfactoren als hulpmiddel om consistente beoordelingen uit te voeren. Organisaties die het assessment uitvoeren gebruiken het normenkader dat is afgegeven door Logius welke gebaseerd is op brede richtlijnen van het NCSC. Het breed opzetten van beveiligingsrichtlijnen leidt in de praktijk tot verschillende interpretaties van het normenkader met verschillende beoordelingen per beveiligingsrichtlijn. Dit leidt vervolgens tot implicaties voor Logius, de partij die verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments die consistent zijn. IT auditors relevantie IT auditors voelen de noodzaak om naar een eenduidige en consistente interpretatie van het normenkader te gaan. IT auditors willen vaststellen wat de minimale getroffen maatregelen moeten zijn om te voldoen aan een beveiligingsrichtlijn en het mitigeren van de risico’s die DigiD koppelingen met zich meebrengen. Met de resultaten van deze studie kunnen IT auditors een betere dienstverlening bieden om organisaties die gebruik maken van DigiD koppelingen te ondersteunen bij het opzetten van maatregelen. Ook kunnen ze hiermee beter aansluiten bij de eisen van klant en derhalve assessments van een betere kwaliteit uitvoeren.

1.9 RAPPORTSTRUCTUUR Deze scriptie zal beginnen met hoofdstuk 1 waarin uitleg wordt gegeven over de achtergrond van het onderzoek, de probleemstelling, de hoofd- en deelvraag, onderzoeksmethodologie en de relevantie. Hoofdstuk 2 zal de literatuurstudie beschrijven, zoals achtergrondinformatie van DigiD, het normenkader en de risico´s. Hoofdstuk 3 zal een beschrijving geven van de initiële onderverdeling in “must have” en “should have” maatregelen en de initiële wegingsfactoren. Hoofdstuk 4 beschrijft de analyse en in hoofdstuk 5 wordt de conclusie beschreven. Tot slot zijn de normenkaders en specificeringen in de bijlagen opgenomen.



7

2 LITERATUURSTUDIE In dit hoofdstuk wordt nader ingegaan op de achtergronden, de kwetsbaarheden en bedreigingen, de beveiligingsrisico’s, de beveiligingsnorm en het toetsingsproces.

2.1 DIGID DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een persoonlijke combinatie van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014). Door met een persoonlijke DigiD in te loggen kan een persoon zich digitaal legitimeren bij de organisatie waarbij men inlogt. Zo weten organisaties met wie ze te maken hebben. Na het inloggen, krijgt technisch gezien de organisatie waarmee contact gezocht wordt het Burgerservicenummer van de persoon die van de digitale diensten van de organisatie gebruik wil maken teruggekoppeld. Hiermee weet de ontvangende instantie met wie ze te maken heeft en over welke informatie zij reeds van de betrokken persoon beschikt of kan beschikken (bijv. informatie uit de Gemeentelijk Basis Administratie (GBA) of in de eigen opgeslagen administratie). Hierdoor kunnen inmiddels ruim 11 miljoen personen in Nederland, met behulp van 1 inlogcode digitaal zaken doen (117 miljoen keer) met 617 overheidsorganisaties (Logius, Jaarrekening, 2014). De voordelen van DigiD zijn als volgt op te sommen: ►

minder administratieve lasten;

►

meer efficiëntie;

►

een betere dienstverlening.

Een digitaal authenticatiemiddel voorziet de gebruikersorganisaties van DigiD in een aantal voordelen die veelvoorkomende problemen oplossen/lasten minimaliseren. Helaas leidt het gebruik van DigiD ook tot een aantal risico’s die uiteindelijk door middel van maatregelen beheerst moeten worden. Logius is de organisatie in Nederland die verantwoordelijk is voor de digitale overheid. Zij beheren en verbeteren de overheidsbrede en samenhangende ICT-producten en diensten, waaronder de DigiD-koppeling en de bijbehorende gebruikersondersteuning. Hieronder geef ik kort de statistieken rondom het gebruik van de DigiD. DigiD statistieken Actieve DigiD’s (persoonlijke accounts) DigiD aansluitingen bij de organisaties Organisaties die gebruik maken van DigiD Aantal DigiD authenticaties

Aantal in 2012 9.800.000 972 590 75.500.00

Aantal in 2013 11.011.509 1.068 617 117.032.632

TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014)

Doordat het gebruik van DigiD nog groeit en de vele cyberaanvallen is het belangrijk dat de ICTbeveiliging in orde is bij de houder van een DigiD koppeling.



8

2.1.1 WEBAPPLICATIE De DigiD applicatie wordt gekenmerkt als een webapplicatie. Een webapplicatie of web app is gedefinieerd als applicatie software die bereikbaar is via een webbrowser of via een andere cliënt die ondersteuning biedt voor het Hypertext Transfer Protocol (http) (Nations, 2014). Een dergelijk cliënt wordt ‘http user agent’ genoemd. De applicatie software is gemaakt in een browser en ondersteunt programmeertaal (zoals de combinatie van Javascript, HTML en CSS) en baseert zich op een gemeenschappelijke web browser om de applicatie weer te geven. De kern van deze definitie is dat een webapplicatie altijd bereikbaar is op basis van HTTP of de versleutelde vorm hiervan: HTTPS (HTPP Secure). De functionaliteit die een webapplicatie biedt is onbeperkt, alleen de techniek is altijd gebaseerd op de HTPP-protocolstandaard (zoals gedefinieerd in ‘Requests for Comments’ (RFC) 1945, 2068, 2616, 2617 en 2965).

2.1.2 GEBRUIK VAN DIGID Om de digitale dienstverlening aan burgers en ondernemers te verbeteren heeft de overheid in 2011 een implementatieagenda tot 2015 opgesteld (i-NUP). De visie van de overheid is: “Bedrijven en burgers kunnen uiterlijk in 2017 zaken die ze met de overheid doen, zoals het aanvragen van een vergunning, digitaal afhandelen.” (Plasterk, 2013). Uit een benchmark onderzoek van een Big4 naar de digitale dienstverlening in 2013 onder gemeenten blijkt er een beperkte stijging in het gebruik van DigiD (zie Grafiek 1). Maar zien we wel dat veel producten al bij veel gemeenten digitaal aangeboden worden.

GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013)

Hiernaast blijkt ook uit het onderzoek dat er nog steeds producten volledig digitaal aangeboden worden waarbij de gebruikers zich niet hoeven te authentiseren met DigiD. Diverse gemeenten gebruiken een alternatieve methode, zoals het inloggen met BSN of een eigen authenticatiemethode. De vraag is in hoeverre de exclusiviteit van de gegevens en de privacy van de burgers is gewaarborgd en waarom DigiD niet gebruikt wordt bij de aangeboden digitale producten. In de komende jaren zal dit moeten stijgen naar 100%. 9

In de benchmark digitale dienstverlening 2013 heeft de onderzoeker voor alle volledig digitaal af te nemen producten de ondersteunde authenticatiemechanisme(n) onderzocht. Hierin onderkennen zij de volgende methoden: ►

DigiD is verplicht;

►

DigiD wordt ondersteund maar is niet verplicht;

►

Geen of ander authenticatiemechanisme.

In het rapport wordt geconstateerd dat het voor de burger, bij het merendeel (60,1%) van de interactief af te nemen producten, verplicht is om zich te authentiseren met DigiD (zie Grafiek 2). Voor de producten waar de onderzoeker DigiD authenticatie als vereist ziet, constateren zij dat 85% DigiD wordt verplicht.

GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT

Naast gemeenten, wordt DigiD als authenticatiemiddel ook gebruikt door andere overheidsinstellingen en bedrijven. Hieronder belicht ik in het kort een aantal voorbeelden uit de praktijk: ►

Donorregister (https://www.donorregister.nl): een persoon kan zich digitaal legitimeren bij het donorregister om een keuze te maken of zijn organen en weefsels na het overlijden wel of niet beschikbaar voor transplantatie wil stellen.

►

CWI (https://digid.werk.nl): een persoon kan zich digitaal legitimeren om zich bij het Centrum voor Werk en Inkomen in te schrijven en hulp te krijgen om aan werk en inkomen te komen.

►

Belastingdienst (https://mijn.toeslagen.nl): een persoon kan zich digitaal legitimeren bij de belastingdienst om een belastingaangifte digitaal te ondertekenen of om toeslagen online aan te vragen of te wijzigen. 10



►

Kadaster (https://mijn.overheid.nl): een persoon kan zich digitaal legitimeren om in te zien wat de perceel- en eigendomsgegevens zijn van een eigen perceel.

►

CBR (https://mijn.cbr.nl): een persoon kan zich digitaal legitimeren bij het CBR om theorieexamens te reserveren, rijscholen te machtigen om een praktijkexamen aan te vragen, beroepsexamen reserveren/wijzigen, eigen verklaringen in te vullen en resultaten te bekijken.

►

Studielink (https://app.studielink.nl): een persoon kan zich digitaal legitimeren bij studielink om zich in te schrijven voor een opleiding op een school en eventueel studiefinanciering aan te vragen.

2.2 KWETSBAARHEDEN EN BEDREIGINGEN De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen. Deze kwetsbaarheden en bedreigingen zijn van verschillende niveaus; denk aan kwetsbaarheden en bedreigingen op authenticatieniveau (bijvoorbeeld het omzeilen van authenticatiemechanismen), op netwerkniveau (bijvoorbeeld Denial of Services (DOS)) of op applicatieniveau (bijvoorbeeld Cross-Site Scripting (XSS)). In Grafiek 3 worden de resultaten van een onderzoek van Whitehat Security naar veelvoorkomende lekken (top 15) in webapplicaties getoond (Whitehat, 2013). 60%

54% 52%

50% 40% 30% 20% 10%

32% 26% 25%

22% 21% 14% 13% 11% 11% 9%

8%

7%

4%

0%

GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE.

Hiermee kan ik vaststellen dat het lekken van informatie (54%) en Cross-Site Scripting (52%) de meest voorkomende kwetsbaarheden zijn op webapplicaties. Het lekken van informatie

11

(information leakage3) is over het algemeen een kwetsbaarheid waarbij een website gevoelige gegevens openbaart, zoals de technische details van de webapplicatie, de omgeving of gebruikersspecifieke gegevens. Gevoelige gegevens kunnen worden gebruikt door een aanvaller om de applicatie, de hosting-netwerk, of gebruikers uit te buiten. Bekende voorbeelden zijn het vergeten van HTML/Script commentaar met gevoelige informatie te verwijderen (database wachtwoorden) of onjuiste applicatie/server configuraties. De op twee na veelvoorkomende kwetsbaarheid, ‘Cross-Site Scripting’4, is een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terecht komt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (Javascript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessies van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. Al deze kwetsbaarheden leiden tot risico’s voor de webapplicatie van DigiD.

2.3 DIGID BEVEILIGINGSRISICO’S Digitale informatie-uitwisseling is van cruciaal belang voor het functioneren van de Nederlandse maatschappij. Er zijn weinig digitale processen te bedenken die kunnen worden uitgevoerd zonder enige uitwisseling van informatie. Besturing van processen gaat immers altijd op basis van (management)informatie (Hintzbergen, Smulders, & Baars, 2008). De beschikbaarheid, integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de concurrentiepositie, winstgevendheid, cashflow, naleving van de wet en het imago van de organisatie. Deze digitale services staan daarom vaak in de belangstelling van mensen die kwaad willen en die met verschillende bedoelingen een bedreiging kunnen vormen voor de aangeboden service. Daarom worden steeds meer organisaties met hun informatiesystemen geconfronteerd met beveiligingsrisico’s. Denk aan risico’s zoals spionage, computerfraude, vandalisme en sabotage. Virussen, hacking en het verhinderen van dienstverlening komen steeds vaker voor en worden steeds groter en steeds innovatiever. De definitie van risico wordt als volgt geformuleerd: Risico is het product van de kans op optreden van een dreiging en de mogelijke schade als gevolg van deze dreiging (risico = kans x schade) (Janssen, 2007).Een beveiligingsrisico is dan het product van de kans op optreden van een beveiligingsdreiging en de mogelijke schade als gevolge van deze beveiligingsdreiging. De belangrijkste gevolgen van de beveiligingsrisico’s die ik zou kunnen noemen zijn 1) dat DigiD misbruikt kan worden om fraude te plegen met bijvoorbeeld toeslagen of 2) dat de privacy niet gewaarborgd kan worden. Fraudeurs kunnen bijvoorbeeld zorg- en huurtoeslagen aanvragen op bankrekeningnummers waar ze toegang toe hebben. Recent zijn er twee websites offline gehaald omdat zij er op uit zouden zijn om inloggegevens voor DigiD te verzamelen om wellicht fraude mee te plegen (Moerman, 2014). Ook was er in het begin van het jaar in 2014 een geval waarbij de DigiD gegevens opnieuw zijn aangevraagd van een groep Groningse studenten en waarmee toeslagen zijn aangevraagd en uitgekeerd op rekeningnummers van de fraudeurs. In totaal zijn ongeveer vijfduizend DigiD-accounts buitgemaakt door fraudeurs. Slachtoffers van DigiD fraude zijn wel door de instanties schadeloos gesteld. Alle vijfduizend getroffen DigiD-accounts zijn 3 https://www.owasp.org/index.php/Information_Leakage 4 https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw

12

inmiddels helemaal verwijderd. Het is namelijk belangrijk dat digitale communicatie betrouwbaar is en voortdurend zorg krijgt. Daarom kan ik stellen dat overheidsorganisaties die gebruikmaken van DigiD en hun ICT-beveiliging onvoldoende op orde hebben, een risico vormen. Gegevens kunnen worden onderschept en misbruikt. Dat kan afbreuk doen aan het vertrouwen dat gebruikers hebben in het systeem van DigiD. In paragraaf 2.1.2 zagen we dat organisaties in toenemende mate diensten (moeten of zullen) aanbieden via DigiD. Dit wordt aangeboden via websites en webservices. De informatie die de organisaties kunnen aanbieden en de mogelijkheden die de systemen bieden nemen ook steeds meer toe. Afhankelijkheid van een dergelijk informatiesysteem en bijbehorende diensten betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen via de beveiliging. De verbinding tussen de openbare en private netwerken en het delen van gegevens, de ketenafhankelijke digitale dienstverlening, maakt het steeds moeilijker om de informatiebeveiliging voldoende op orde te houden. De beveiliging van de gehele keten moet daarom op orde zijn. De zwakste schakels in die ketens bepalen uiteindelijk de veiligheid van de gehele keten. Het NCSC beschrijft daarom ook dat het van belang is dat de aandacht bij de beveiliging van de webapplicatie niet alleen uitgaat naar de DigiD webapplicatie, doordat de DigiD webapplicatie onderdeel is van een keten van ICT-diensten (NCSC D. 1., 2012). Ook alle componenten om de webapplicatie heen, zoals fileservers, webservers, databaseservers, besturingssystemen, netwerken, etc., waarvan de webapplicatie afhankelijk is, hebben een belangrijke rol in het functioneren van de webapplicatie (NCSC D. 2., 2012). Bedreigingen in de integriteit van, en het vertrouwen in, de DigiD webapplicatie vereist daarom actie van diverse partijen (denk aan de softwareleverancier, de hosting-partij en de houder van de DigiD aansluiting) om te waarborgen dat de digitale communicatie betrouwbaar is. Door het treffen van beveiligingsmaatregelen op verschillende niveaus is het mogelijk om de gelopen risico’s te verkleinen. Om inzicht te krijgen in de aard en de grootte van risico’s, alsmede in de kosten en de effectiviteit van beveiligingsmaatregelen kunnen organisaties gebruik maken van een risico analyse (Overbeek, Lindgreen, & Spruit, 2005). Het NCSC heeft integraal een risico analyse met betrekking tot misbruik van webapplicaties uitgevoerd en beschrijft daarin alle lagen waar ontwikkelaars, beheerders en architecten bij het beveiligen van een webapplicatie aandacht aan moeten schenken. Om de risico’s op een heldere manier in kaart te brengen, is het belangrijk de verschillende lagen te onderscheiden. Het NCSC baseert daarom de richtlijn voor webapplicaties op het Raamwerk Beveiliging webapplicaties (RBW) (GOVCERT.NL, 2010). In dit raamwerk beschrijft men de verschillende beveiligings-lagen (zie Figuur 3) die van toepassing kunnen zijn op webapplicaties.

FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES

13

Zoals in voorgaand raamwerk te zien is, onderkent men 7 aandachtsgebieden. Als ik specifiek naar de “Norm ICT-beveiligingsassessments DigiD” kijk (opgesteld door Logius, het NCSC en de Auditdienst Rijk) dan raakt men niet alle aandachtsgebieden die gedefinieerd zijn door het NCSC. De norm onderkent namelijk alleen maatregelen die gewaardeerd zijn met de classificatie ‘hoog’, oftewel de sterkste mate van gewenstheid. Het is onduidelijk waarom de Norea en Logius gekozen hebben voor de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius adviseert echter wel op hun website dat alle organisaties, buiten de richtlijnen uit de norm, ook de andere richtlijnen voor de webapplicatie adopteren. Hassing (Hassing, 2015) suggereert dat de partijen hiervoor hebben gekozen omdat de DigiD audit op deze manier heel praktisch is en snel uit te voeren is waarbij de kosten voor de instelling met DigiD-aansluiting beperkt blijven. De DigiD norm raakt de volgende lagen: 1. Algemene beveiligingsrichtlijnen: laag met generieke maatregelen die niet tot een specifieke laag behoren zoals in het RBW beschreven, maar hebben betrekking op het geheel van de ICT-infrastructuur of zijn generiek voor ICT-componenten die gebruikt worden voor de DigiD webapplicatie. 2. Netwerkbeveiliging: laag omtrent het beveiligen van de infrastructuur om de DigiD webapplicatie bereikbaar te maken en om de webserver resources op te kunnen laten vragen via firewalls, routers en switches. 3. Platformbeveiliging: laag omtrent het beveiligen van de besturingssystemen waarop DigiD webservers, databaseservers etc. draaien. 4. Applicatiebeveiliging: laag omtrent het beveiligen van de DigiD webapplicatie. 5. Vertrouwelijkheid en onweerlegbaarheid: laag met bescherming van data en het bewijzen dat bepaalde transacties daadwerkelijk hebben plaatsgevonden. 6. Monitoring, auditing en alerting: laag om inzicht te behouden in het functioneren van de webomgeving en aanvallen hierop. In Tabel 2 zijn de belangrijkste door Logius erkende risico’s per beveiligingsrichtlijn opgenomen. Laag 0 - Algemene beveiligingsrichtlijnen B0-5

Risico

B0-6

-

B0-7

-

B0-8

-

B0-9

-

B0-12

-

-

B0-13

-

B0-14

-

Er kunnen ongeautoriseerde acties worden doorgevoerd of acties zijn onvoldoende op elkaar afgestemd, waardoor de betrouwbaarheid van de IT-voorziening in het geding kan komen. Bedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten/platform/netwerkverkeer, waardoor vertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet gegarandeerd is. Technische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in gevaar. Onbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie ondernomen wordt. Onvoldoende zicht op aanwezige kwetsbaarheden en zwakheden van ICT-componenten, onvoldoende zicht op de effectiviteit van reeds getroffen maatregelen en onvoldoende mogelijkheden om te kunnen anticiperen op de nieuwe dreigingen. Door het ontbreken van toegangsvoorzieningbeleid kan er onduidelijkheid ontstaan bij het toekennen van rechten aan gebruikers. Hierdoor kunnen niet-geautoriseerde gebruikers mogelijk toegang krijgen tot informatie waarop zij geen recht horen te hebben. Onvoldoende beheersing van de toegang tot (een deel van) de functies in het ICT-landschap, waardoor misbruik en/of rechten-escalatie mogelijk is. Gegevens worden ingezien, gewijzigd of verwijderd door individuen die hiervoor vanuit organisatie geen toestemming, recht of opdracht hebben. Onvoldoende beheersing van de webapplicatie-omgeving, waardoor gebruikers het vertrouwen in de dienstverlening verliezen en mogelijkheden voor misbruik ontstaan. Oude websites kunnen enerzijds de dienstverlening aan de klanten negatief beïnvloeden en kunnen anderzijds misbruikt worden. Een (web)dienst waarvan de eigenschappen onduidelijk of onberekenbaar zijn, waardoor het

14

Laag 1 – Netwerk beveiligingsrichtlijnen B1-1

-

B1-2

-

-

Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten systemen. Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten systemen. Door het ontbreken van afdoende afscherming kunnen gewone gebruikers beheerdersautorisaties verwerven. Een aanvaller krijgt mogelijkheden om de toegangsbeveiliging voor externe gebruikers te omzeilen. Risico

-

Een aanvaller kan de controle over het platform of de webserver overnemen. Risico

-

Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder controle komt van een aanvaller. De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder controle komt van een aanvaller. Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. Via uitvoer van de webapplicatie de werking van of informatie op het systeem van anderen manipuleren. Via manipulatie (bijvoorbeeld commando- of SQL-injectie) kennis nemen van de inhoud van de onder- en achterliggende systemen of deze kunnen manipuleren. Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. Geen inzicht in de status van de operationele implementatie en beveiliging van ICT-componenten. Lekken van informatie die op zichzelf waarde heeft of die voor verdere aanvallen gebruikt kan worden. Risico

-

B1-3 Laag 2 – Platform beveiliging B2-1 Laag 3 – Applicatie beveiligingsrichtlijnen B3-1

B3-2

-

B3-3

-

B3-4

-

B3-5

-

B3-6

-

B3-7

-

B3-15 B3-16

-

Laag 3 – Vertrouwelijkheid en onweerlegbaarheid B5-1

-

B5-2

-

-

B5-3

gewenste beveiligingsniveau niet gehaald wordt en/of gebruikers onvoldoende vertrouwen in de dienstverlening hebben. Risico

-

B5-4

-

Laag 3 – Monitoring, auditing en alerting B7-1

-

B7-8

-

B7-9

-

Het beheer van de cryptografische sleutels sluit niet aan bij het beschermingsbelang van de beschermde gegevens, waardoor het beheer van de cryptografische sleutels niet doelmatig is. Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een andere partij verantwoordelijk is. Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een andere partij verantwoordelijk is. Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. Risico Via netwerkcomponenten of netwerkverkeer wordt vertrouwelijkheid, integriteit en/of beschikbaarheid aangetast, zonder dat dit (tijdig) gedetecteerd wordt en zonder dat hierop geacteerd kan worden. Tekortkomingen en zwakheden in de geleverde producten/diensten kunnen niet gesignaleerd worden en herstel acties kunnen niet tijdig worden genomen. Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen. Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering. Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen.

TABEL 2: RISICO’S PER BEVEILIGINGSRICHTLIJN





15

2.4 DIGID ICT-BEVEILIGINGSASSESSMENT Om de genoemde beveiligingsrisico’s te mitigeren heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties de maatregel getroffen dat organisaties die gebruikmaken van DigiD hun ICT-beveiliging, voor zover deze DigiD raakt, jaarlijks dienen te toetsen op basis van een ICTbeveiligingsassessment. Elke organisatie is zelf verantwoordelijk voor het jaarlijks uitvoeren van een ICT-beveiligingsassessment DigiD. De organisatie dient zelf vroegtijdig in actie te komen om de juiste voorbereidende maatregelen te treffen ter voorbereiding op de uitvoering van het assessment. Om uniformiteit in de uitvoering van de DigiD ICT-beveiligingsassessments te waarborgen moet deze worden uitgevoerd door een Register EDP-auditor. Op 21 februari 2012 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, het NCSC en de Auditdienst Rijk de “Norm ICT-beveiligingsassessments DigiD” voor de inrichting en uitvoering van de DigiD ICT-beveiligingsassessments vastgesteld. Sinds 2013 geldt deze verplichting voor alle afnemers. Op 9 juli 2014 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties een kamerbrief gestuurd met de ontwikkelingen ten aanzien van DigiD. In het bijzonder over de voortgang van de uitvoering van de ICT-Beveiligingsassessments DigiD en de stappen die worden gezet om DigiD te versterken 5. Kort samengevat geeft de minister aan dat: ► ► ► ► ► ►

Het veiligheidsbewustzijn van publieke dienstverleners flink is toegenomen; Van de bijna 500 organisaties die zijn aangesloten op DigiD heeft niet één organisatie een rapport waarbij er sprake was van een acuut beveiligingsrisico; In 5% van de gevallen was er, op basis van de auditresultaten, sprake van een hoog risico waarbij de organisaties dit zo snel mogelijk moesten oplossen; Logius heeft nog geen aanleiding om het normenkader te wijzigen; De uiterste inleverdatum voor het assessmentrapport is in het vervolg vóór 1 mei. Daarbij geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend; Daarnaast is bepaald dat nieuwe afnemers van DigiD binnen 2 maanden na aansluiting op DigiD een assessment dienen uit te voeren.

2.4.1 NORM ICT-BEVEILIGINGSASSESSMENTS DIGID De ‘Norm ICT-beveiligingsassessments DigiD’ is gebaseerd op beveiligingsmaatregelen uit het document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security Center 6 (hierna NCSC). Het document bestaat uit twee delen. Het document ‘ICTbeveiligingsrichtlijnen deel 1’ bevat een beschrijving van de beveiligingsrichtlijnen op hoofdlijnen. In deel 2 worden de maatregelen verder uitgewerkt en gedetailleerd. Het document bestaat uit 59 beveiligingsrichtlijnen (zie Bijlage A) verdeeld over 7 deelgebieden die allemaal gewaardeerd zijn volgens een classificatie Hoog, Midden en Laag. De beveiligingsrichtlijnen zijn op de drie kenmerkingsaspecten van informatiebeveiliging gericht, namelijk beschikbaarheid, integriteit en vertrouwelijkheid. Hiernaast zijn de beveiligingsrichtlijnen zo opgesteld dat ze als norm gebruikt kunnen worden. 5

http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/07/10/kamerbrief-overversterking-en-beveiliging-digid.html 6 Het NCSC draagt via samenwerking tussen bedrijfsleven, overheid en wetenschap bij aan het vergroten van de

weerbaarbaarheid van de Nederlandse samenleving in het digitale domein.

16

Ook is beschreven dat de beveiligingsrichtlijnen door hun opzet breed toepasbaar zijn. Dit is als richtlijn fijn om voor een breed spectrum aan dienstverlening toe te kunnen passen, maar als toepassing voor de norm van DigiD te generiek. De norm voor de DigiD ICT-beveiligingsassessment bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD (oftewel geclassificeerd als hoog). Dit zijn 28 richtlijnen die vervolgens verplicht zijn gesteld voor de DigiD assessment. Op 9 juli 2014 heeft de minister in een brief7 aangekondigd dat het Beveiligingsnormenkader DigiD vooralsnog ongewijzigd blijft. Gelet op het verloop van de eerste assessmentronde over het jaar 2013, hoeven de assessmentrapporten niet meer voor het einde van het jaar ingediend te worden. Concreet betekent dit dat men het rapport over 2014 pas na 1 januari 2015 en voor 1 mei 2015 moet indienen. Dit komt mede door het feit dat in het jaar 2014 veel organisaties bezig zijn geweest met het oplossen van de bevindingen uit het eerste assessment van 2013. 2.4.1.1 ONDERLIGGENDE MAATREGELEN In deel 2 van de NCSC richtlijn vind ik naast een beschrijving van de beveiligingsrichtlijn ook de onderliggende maatregelen van een beveiligingsrichtlijn oftewel een beschrijving van hoe men aan de beveiligingsrichtlijnen kan voldoen. Per beveiligingsrichtlijn is beschreven wat de onderliggende maatregelen zijn. Deel 2 beschrijft verder dat voor een geldige verklaring van conformiteit met de Richtlijn, de webapplicaties moeten voldoen aan alle onderliggende maatregelen voor alle beveiligingsrichtlijnen. De webapplicatie moet dus voldoen aan alle onderliggende maatregelen voor alle 28 verplicht gestelde richtlijnen. In de volgende tabel geef ik een voorbeeld van de onderliggende maatregelen van een willekeurige DigiD norm volgens deel 2. Beveiligingsrichtlijn B7-9

Beveiligingslaag Monitoring, auditing en alerting

Beschrijving van beveiligingsrichtlijn Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld

Onderliggende maatregelen Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend. Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en het classificatiesysteem. Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN

De bovengenoemde onderliggende maatregelen zou een IT auditor moeten beoordelen om een totaaloordeel voor een beveiligingsrichtlijn te vellen. Aangezien de beveiligingsrichtlijnen breed toepasbaar zijn zullen ook de onderliggende maatregelen breed toepasbaar zijn en te generiek zijn voor DigiD. In Bijlage B is een tabel opgenomen met alle onderliggende maatregelen van een beveiligingsrichtlijn voor de verplichte richtlijnen van DigiD. Middels de bovengenoemde onderliggende maatregelen kan ik een antwoord geven op de volgende deelvraag: 7 https://zoek.officielebekendmakingen.nl/dossier/26643/kst-26643-323?resultIndex=49&sorttype=1&sortorder=4

17

Hoofdvraag 1. Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te dekken? In hoofdstuk 3 zal ik dieper op deze vraag ingaan om te beschrijven welke onderliggende maatregelen meer toepasbaar zijn voor de DigiD assessments.

2.5 HANDREIKING NOREA Om de organisaties te ondersteunen bij de ICT-beveiligingsassessment voor DigiD, heeft de Norea een handreiking gepubliceerd (Norea, Handreiking, 2012). In deze handreiking wordt een toelichting gegeven op enkele formele aspecten bij de opdrachten inzake de DigiD-assessments. Ook worden in de handreiking enkele aanbevelingen en suggesties voor de uitvoering van deze opdrachten opgenomen, die ook zijn bedoeld om bij te dragen aan een eenduidige en consistente interpretatie van de beveiligingsrichtlijnen. Als ik deze handreiking analyseer dan zie ik dat de Norea een handreiking heeft verstrekt ten aanzien van het toepassingsgebied, de scope, een nadere toelichting en een testaanpak (zie Bijlage C). De nadere toelichting en de testaanpak van Norea geven niet voldoende specificatie mee om tot eenduidige en consistente oordelen per beveiligingsrichtlijn te komen. Norea heeft ook een rapportageformat toegevoegd. De RE’s (Register EDP-Auditor) die de opdrachten uitvoeren en daarover moeten rapporteren aan het management van de DigiD houder dienen deze toe te passen. De beveiligingsassessments moeten op basis van een Assurance-opdracht conform Raamwerk en Richtlijn 3000 worden uitgevoerd (Norea, Handreiking, 2012). Als ik het modelrapport bekijk dan stel ik vast dat de Norea bij de verantwoordelijkheid van de auditor beschrijft dat de werkzaamheden gericht zijn op het geven van oordelen per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius, over de opzet en het bestaan van de maatregelen gericht op de ICT beveiliging van de webomgeving van de DigiD aansluiting (Norea, DigiD-assessment template assurancerapport, 2013). Als beperking geeft de Norea aan dat de ‘Norm ICT-beveiligingsassessments DigiD’ maar een selectie is van beveiligingsrichtlijnen uit de “ICT-beveiligingsrichtlijnen voor webapplicaties” van Nationaal Cyber Security Centrum (NCSC). Daarom zijn de auditors niet in staat om een totaal oordeel te verschaffen omtrent de beveiliging van de DigiD-aansluiting. Ook beschrijft de Norea dat de beoogde gebruiker en het doel van het rapport uitsluitend verstrekt is ten behoeve van de betreffende organisatie en Logius. Dit omdat anderen, die niet op de hoogte zijn van de precieze scope, aard en het doel van de werkzaamheden, de resultaten onjuist kunnen interpreteren. Eind 2014 heeft de Norea een bijeenkomst gehouden rondom DigiD ICTbeveiligingsassessments 8 . Tijdens deze bijeenkomst zijn de actualiteiten rondom DigiD beveiligingsassessments besproken. Tevens zijn bepaalde onduidelijkheden in het normenkader uitgebreid toegelicht. Dit heeft ertoe geleid dat de Norea begin 2015 in overleg met Logius en op verzoek van VNG en VIAG de toelichting voor de IT-auditors bij de interpretatie van de beveiligingsrichtlijnen op enkele punten heeft aangepast, waarmee de eenduidigheid van de oordeelsvorming door RE’s is verbeterd. Bij enkele beveiligingsrichtlijnen zijn teksten

8

http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042185_Bijeen komst%20DigiD-assessments%202%20dec2014%20def.pdf

18



toegevoegd of aangepast (in rood gemarkeerd) 9. Ook het modelrapport is begin 2015 aangepast. Belangrijkste aanpassingen in de rapportage template zijn: ► ► ►

► ► ►

► ►

►

Vermelding van aansluitnummer en aansluitnaam. Een nieuwe bijlage C met een totaaloverzicht van de conclusies (inclusief Third Party Mededelingen). Standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie moeten worden getoetst zijn B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9. En een verplichte toelichting indien wordt afgeweken. Onderscheid tussen de basistekst en de optionele teksten voor gebruik in verband met TPM/Serviceorganisatie(s) is duidelijker aangebracht, d.m.v. grijze markering. De applicaties en de versie waarvoor een assessment geldt, moet duidelijk worden vermeld. De oordelen per beveiligingsrichtlijn zijn ‘voldoet’ of ‘voldoet niet’ (zonder toevoegingen zoals: voldoet deels). Bij ‘niet voldaan’ moet wel een toelichting worden gegeven waarom niet is voldaan. Indien geen oordeel wordt gegeven over een beveiligingsrichtlijn die (redelijkerwijs) in scope verwacht mag worden dient dit duidelijk te worden gemotiveerd. Op de voorpagina en in paragraaf 1.6 (bij ondertekening door RE) dient de datum aanbieding rapport opgenomen te worden. In paragraaf 1.4 en 1.5 de datum van het oordeel over opzet en bestaan. Het rapport met bijlage C is voor opdrachtgever en Logius. Het rapport met alle bijlagen (A, B en C) is alleen voor de opdrachtgever.

2.6 CONCLUSIE LITERATUURSTUDIE De literatuurstudie heeft een beter begrip gegeven van het te bestuderen onderwerp. In paragraaf 2.1 heb ik vastgesteld dat DigiD in toenemende mate door overheidsorganisaties en instanties in gebruik wordt genomen. Dat de DigiD applicatie gekenmerkt wordt als een webapplicatie en dat deze vele kwetsbaarheden en bedreigingen kent. Ook heb ik vastgesteld dat beveiligingsrisico’s leiden tot DigiD misbruik om fraude te plegen en dat het afbreuk kan doen aan het vertrouwen dat gebruikers hebben in het systeem van DigiD. In paragraaf 2.4 heb ik vastgesteld dat de minister van Binnenlandse Zaken en Koninkrijksrelaties een jaarlijkse toetsing van de ICT-beveiliging als maatregel heeft getroffen om de genoemde beveiligingsrisico’s te mitigeren. Ik heb vastgesteld dat de ‘Norm ICT-beveiligingsassessments DigiD’ is gebaseerd op 28 beveiligingsmaatregelen uit het document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security Center. Ook beschrijft het NCSC de onderliggende maatregelen die nodig zijn om de risico’s van de beveiligingsrichtlijnen af te dekken. De beveiligingsrichtlijnen zijn door hun opzet breed toepasbaar, maar als toepassing voor de norm van DigiD te generiek. In paragraaf 2.5 heeft de literatuurstudie ook aangetoond dat de Norea een handreiking heeft gepubliceerd om organisaties te ondersteunen bij de interpretatie van de ICT-beveiligingsassessment. Dit hebben ze gedaan door per beveiligingsrichtlijn het toepassingsgebied, de scope, een nadere toelichting en een testaanpak te beschrijven. Tot slot is vastgesteld dat de Norea periodiek bijeenkomsten organiseert om onduidelijkheden in het normenkader toe te lichten en aan te passen in de handreiking. 9

http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042366_Bijlage %201%20HandreikingDigiD%20ICT-beveiligingsassessment%20voor%20RE%27s%202015.pdf

19



3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN VAN WEGINGSFACTOREN In dit hoofdstuk beschrijf ik de splitsing van welke onderliggende maatregelen minimaal getroffen moeten worden (must haves) en welke onderliggende maatregelen zeer gewenst zijn (should haves). Ook beschrijf ik welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels een hulpmiddel tot een consistente oordeelsvorming te komen.

3.1 SPLITSING In de literatuurstudie heb ik vastgesteld wat de onderliggende maatregelen per beveiligingsrichtlijn zijn voor de 28 verplichte beveiligingsrichtlijnen voor DigiD (zie paragraaf 2.4.1.1 en Bijlage D). Om vervolgens een goede splitsing te maken tussen de ‘must haves’ (MH) en ‘should haves’ (SH) hanteer ik de volgende definities: MH maatregelen zijn de onderliggende maatregelen die minimaal getroffen moeten worden om de doelstelling van de beveiligingsrichtlijn voor DigiD te behalen en het risico afdoende te dekken. Als men voldoet aan deze maatregelen dan kan deze beoordeeld worden als ‘Voldoet’. ►

SH maatregelen zijn de onderliggende maatregelen die zeer gewenst zijn, maar niet meer heel veel toevoegen om de doelstelling te behalen en om het risico afdoende te dekken. Als men naast de MH maatregelen ook voldoet aan deze maatregelen dan kan de richtlijn ook beoordeeld worden als ‘Voldoet’. Het verschil met MH maatregelen is dat de richtlijn dan in plaats van een rapportcijfer 6 een hoger rapportcijfer zou kunnen krijgen. ►

3.1.1 METHODIEK Door gebruik te maken van meerdere bronnen heb ik geprobeerd om de subjectiviteit van de onderzoeker te minimaliseren. De initiële splitsing van de maatregelen en de toekenning van de wegingen is daarom gebaseerd op een literatuurstudie, een interview en ‘professional judgement’. 1) Middels de literatuurstudie heb ik vastgesteld welke onderliggende maatregelen ten grondslag liggen aan de richtlijnen. 2) Ter verificatie heb ik middels een interview met een DigiD deskundige de randvoorwaarden om de initiële splitsing op te maken besproken. Het interview is uitgevoerd met een DigiD deskundige die al 8 jaar werkzaam is als IT Auditor en momenteel werkzaam is als Director bij een Big4 kantoor. Onder de advisory tak voert het bedrijf DigiD assessments uit. De volgende randvoorwaarden zijn aan de hand hiervan opgesteld: ► De zogenoemde ‘practice based’ audit aanpak wordt gehanteerd. Dit betekent dat ik me richt op de maatregelen die minimaal getroffen moeten worden om het risico van de beveiligingsrichtlijn te mitigeren. Een inventarisatie van de risico’s per beveiligingsrichtlijn zijn al beschreven in de literatuurstudie. ► De initiële splitsing zal gemaakt worden aan de hand van de professionele judgement van de onderzoeker. ► Uitsluitend de onderliggende maatregelen die gedefinieerd zijn in de literatuurstudie zullen gebruikt worden voor de initiële splitsing in MH en SH maatregelen. 20

3) Hieronder is de uitvoering van de initiële splitsing beschreven die door de onderzoeker zelfstandig is opgesteld.

3.1.2 UITVOERING Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een drietal beveiligingsrichtlijnen aangeven hoe de splitsing tot stand is gekomen. In onderstaande tabellen is per beveiligingsrichtlijn bepaald of het maatregel een ‘must have’ of ‘should have’ maatregel zou moeten zijn. Middels de kolom rationale is een toelichting gegeven waarom een maatregel in een bepaalde categorie is geplaatst. Beveiligingsrichtlijn B-06

Beschrijving van de beveiligingsrichtlijn Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen.

Doelstelling Het tot een minimum beperken van de kans dat onnodige faciliteiten op een systeem worden misbruikt. Risico Bedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten / platform / netwerkverkeer, waardoor vertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet gegarandeerd is. Maatregel beschrijving MH SH Rationale Zorg voor een beschrijving van het x Door het beschrijven van een hardeningsproces is de hardeningsproces en dat dit proces opzet vastgelegd van hoe de ICT-componenten van effectief is geïmplementeerd. DigiD beveiligd moeten worden met de meest recente, relevante patches. Zorg voor een actueel overzicht van de x Met deze inrichting heeft men een recent en compleet hoogst noodzakelijke overzicht van de protocollen van het DigiD systeem netwerkprotocollen en dat dit overzicht om die tot een minimum te beperken. continue wordt onderhouden. Zorg voor een actueel overzicht van de x Met deze inrichting heeft men een recent en compleet hoogst noodzakelijk services. overzicht van de services van het DigiD systeem om die tot een minimum te beperken. Zorg dat dit overzicht onderdeel is van x Met deze inrichting kan men wijzigingsvoorstelhet proces wijzigingsbeheer. len en de eventuele doorvoering van wijzigingen op overzichten controleren en beheren. Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogst noodzakelijke netwerkprotocollen. Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

x

x

Met deze inrichting kan men een statusopname uitvoeren; toetsen of de in productie zijnde ICTcomponenten niet meer dan vanuit het ontwerp functies bieden. Met deze inrichting kan men afwijkingen efficiënter beheren.

TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN

Voor de beveiligingsrichtlijn rondom het hardeningsproces van ICT-componenten kan ik concluderen dat er drie MH maatregelen zijn en drie SH maatregelen. Dit betekent dat voor deze beveiligingsrichtlijn minimaal de MH maatregelen in opzet en bestaan ingericht moeten zijn om te voldoen aan de beveiligingsrichtlijn. 21

Beveiligingsrichtlijn B-07

Beschrijving van de beveiligingsrichtlijn De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

Doelstelling Alle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting van kwetsbaarheden voor te zijn. Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren. Risico Technische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in gevaar. Maatregel beschrijving MH SH Rationale Zorg voor een beschrijving van het x Door het beschrijven van een patchmanagementproces en dat dit patchmanagementproces is de opzet vastgelegd van proces effectief is geïmplementeerd. hoe software van DigiD (componenten) tijdig voorzien moeten worden van de laatste versies/patches. Er moet een procedure zijn ingericht x Met deze inrichting beschrijft men: hoe snel waarin staat beschreven hoe de implementeert de organisatie een kritieke patch, organisatie omgaat met updates. welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera? Zorg dat configuratiebeheer is ingericht. x Met deze inrichting heeft men inzicht in configuratiegegevens van de kritieke systemen en applicaties. Zorg voor een technische implementatie x Met deze implementatie zou men efficiënter updates van een updatemechanisme. kunnen uitvoeren. TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN

Voor de beveiligingsrichtlijn rondom het patchmanagementproces kan ik concluderen dat er twee MH maatregelen zijn en twee SH maatregelen. Dit betekent dat voor deze beveiligingsrichtlijn minimaal de MH maatregelen in opzet en bestaan ingericht moeten zijn om te voldoen aan de beveiligingsrichtlijn. Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijn B0-8 Penetratietests worden periodiek uitgevoerd. Doelstelling Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie). Risico Onbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie ondernomen wordt. Maatregel beschrijving MH SH Rationale Pentests worden niet alleen bij x Een pentest dient bij significante wijzigingen op de nieuwbouw en bij grote wijzigingen DigiD applicatie uitgevoerd te worden om te testen uitgevoerd, maar moeten periodiek op nieuwe inbraaktechnieken. worden herhaald. Zorg voor een opdrachtomschrijving, x De opdrachtomschrijving, scopedefinitie, planning en scopedefinitie, planning en kwaliteitseisen zijn essentieel omdat hierin: kwaliteitseisen. - een heldere onderzoeksvraag moet staan; - het object van het onderzoek moet staan; - aangegeven wordt dat er rekening gehouden moet worden met periode en kwaliteits aspecten.

22

De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

x

Het is van belang dat de resultaten van een pentest worden vastgelegd, zodat een IT auditor de resultaten kan inzien.

x

Een pentest rapportage bevat verbetervoorstellen en deze worden gecommuniceerd met verantwoordelijken / eigenaren van de systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Er dienen daarom implementatie-acties en systeemdocumenten aanwezig te zijn waaruit blijkt dat de verbetervoorstellen opgevolgd zijn.

TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN

Voor de beveiligingsrichtlijn rondom de penetratietest kan ik concluderen dat er vier MH maatregelen zijn en nul SH maatregelen. Dit betekent dat voor deze beveiligingsrichtlijn alle maatregelen in opzet en bestaan ingericht moeten zijn om te voldoen aan de beveiligingsrichtlijn. De volledige tabel met de toegepaste splitsing is opgenomen in Bijlage D. Middels de bovengenoemde splitsing kan ik een antwoord geven op de volgende deelvraag: Hoofdvraag 2. Welke onderliggende maatregelen moeten minimaal getroffen worden (must haves) en welke onderliggende maatregelen zijn zeer gewenst (should haves)?

3.2 WEGINGSFACTOREN In de literatuurstudie heb ik vastgesteld dat het uitgangspunt voor de IT auditors als volgt is; “per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius wordt een oordeel gevraagd”. Doordat er voor elke beveiligingsrichtlijn een ander aantal maatregelen ten grondslag ligt (bijvoorbeeld voor B-06 zijn er drie MH maatregelen, B-07 zijn er twee MH maatregelen en voor B-08 vier maatregelen) dient men een goede afweging te maken van welke maatregelen een grotere impact hebben om het risico te mitigeren en welke in mindere mate. Daarom geef ik de MH maatregelen een weging mee om een IT auditor een hulpmiddel te geven in de vorm van een rekenmodel om een gedegen, onderbouwd en consistent oordeel per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ te kunnen geven. “Een weging is een rekenkundige manier om van verschillende groepen (in deze scriptie spreek ik over onderliggende maatregelen) uit een populatie (op beveiligingsrichtlijn niveau) die niet evenredig vertegenwoordigd zijn, toch een algemeen gemiddelde te berekenen.” Er bestaat namelijk een mogelijkheid dat niet alle of delen van onderliggende maatregelen of in opzet of in bestaan aanwezig zullen zijn, maar dat het risico toch voldoende gemitigeerd wordt. In zulke gevallen heeft men de mogelijkheid om de beoordeling te corrigeren met behulp van een wegingscoëfficiënt door de meest belangrijkste onderliggende maatregelen een hogere weging te geven. Hierbij is het wel belangrijk om te benoemen dat de weging als hulpmiddel ingezet dient te worden door een IT auditor en deze niet leidend moet zijn in het eindoordeel van de norm.



23

3.2.1 METHODIEK Omdat de toegekende wegingen meer als handvatten voor de IT auditor dienen en ik de weging niet te complex wil maken, zal ik de wegingen onderverdelen in twee groepen. 1. Hoog impact om het risico te mitigeren 2. Laag impact om het risico te mitigeren De IT auditors richten zich op het geven van oordelen per beveiligingsrichtlijn over de opzet en het bestaan van de onderliggende maatregelen. Doordat ik opzet en bestaan ga beoordelen zal ik in de weging hier ook rekening mee moeten houden. Het bestaan van een maatregel heeft meer impact op het mitigeren van het risico dan het hebben van een opzet. Daarom zal bestaan een hogere score krijgen als opzet. Dit leidt tot de volgende wegingstabel: Impact Hoog impact Laag impact

Opzet score 2 1

Bestaan score 5 3

TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN

De onderliggende maatregelen met een hoge impact om het risico te mitigeren zullen een score 2 krijgen voor opzet en een score 5 voor bestaan als ze voldoen. De onderliggende maatregelen met een lage impact om het risico te mitigeren zullen een score 1 voor opzet en een score 3 voor bestaan krijgen als ze voldoen. Onderliggende maatregelen die niet voldoen in opzet/bestaan krijgen de score 0. Door gebruik te maken van meerdere bronnen heb ik geprobeerd om de subjectiviteit van de onderzoeker te minimaliseren. De initiële toekenning van of een maatregel een hoge of lage impact heeft op het risico van de beveiligingsrichtlijn is gebaseerd op een interview en ‘professional judgement’. 1) Middels hetzelfde interview als voor de splitsing heb ik ter verificatie de randvoorwaarden om de initiële splitsing op te maken besproken met een DigiD deskundige. De volgende randvoorwaarden zijn hierdoor opgesteld: ► De zogenoemde ‘practice based’ audit aanpak wordt gehanteerd. Dit betekent dat ik me richt op de maatregelen die minimaal getroffen moeten worden om het risico van de beveiligingsrichtlijn te mitigeren. Ik zal daarom alleen de MH maatregelen een weging geven. ► De initiële splitsing zal gemaakt worden aan de hand van de professionele judgement van de onderzoeker. ► De onderliggende maatregelen zijn opgesplitst in opzet en bestaan voorafgaand de toekenning van of een maatregel een hoge of lage impact heeft op de beveiligingsrichtlijn. Mochten opzet en bestaan maatregelen niet goed of voldoende zijn geformuleerd dan zijn deze tijdens deze stap gecorrigeerd. 2) Middels professional judgement is hieronder de toekenning van de initiële weging beschreven die door de onderzoeker zelfstandig zijn toegekend.

3.2.2 TOEKENNING Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een tweetal beveiligingsrichtlijnen aangeven hoe de toekenning van de weging tot stand is gekomen. 24

In onderstaande tabellen is per beveiligingsrichtlijn bepaald of het maatregel een hoge of lage impact heeft om het risico van de beveiligingsrichtlijn te mitigeren. Hierna geven we een toelichting met waarom een maatregel in een bepaald categorie valt. B-06 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is geïmplementeerd en dat deze een eigenaar heeft, een datum en versienummer heeft, een historie bevat, actueel is en geaccordeerd op het juiste niveau.

Opzet

Bestaan

Impact

Score Opzet

Score Bestaan

Procesbeschrijving ten aanzien van hardeningsproces.

Hoog

2

5

Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden.

Procesbeschrijving ten aanzien van het actualiseren van het overzicht van de hoogst noodzakelijke netwerkprotocollen . Procesbeschrijving ten aanzien van het actualiseren van het overzicht van de hoogst noodzakelijk services.

Procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat het hardeningsproces voor alle relevante ICTcomponenten geldt. Stel vast dat voor één ICTcomponent het proces is uitgevoerd conform de opgestelde procedurebeschrijving. Procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van de hoogst noodzakelijke netwerkprotocollen.

Laag

1

3

Procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van de hoogst noodzakelijk services.

Laag

1

3





4

11

Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

Totaal score

TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING

In de initiële splitsing heb ik vastgesteld dat er drie MH maatregelen zijn gedefinieerd voor de beveiligingsrichtlijn B-06. De beveiligingsrichtlijn betreft het gebruik van een hardeningsproces zodat alle ICT-componenten gehard zijn tegen aanvallen. Als ik naar de drie maatregelen van deze beveiligingsrichtlijn kijk dan zie ik dat de eerste maatregel vereist dat een hardeningsprocedure opgesteld moet zijn met een aantal criteria en dat deze in bestaan getoetst moet worden. De tweede en derde MH maatregelen gaan over het proces van actualiseren van overzichten van de hoogstnoodzakelijke netwerkprotocollen en services. Als ik naar de definities van de maatregelen kijk en naar het risico van de norm dan is de eerste maatregel de meest belangrijkste maatregel van de drie. Daarom kwalificeer ik deze maatregel als ‘hoog’ om het risico te mitigeren. De eerste maatregel krijgt dan een weging van twee voor opzet en vijf voor bestaan. De overige maatregelen worden gekwalificeerd als ‘laag’. Deze krijgen daarom een weging van één voor opzet en drie voor bestaan. B-07 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd.

Opzet

Bestaan

Impact

Score Opzet

Score Bestaan

Procesbeschrijving ten aanzien van patch management is opgesteld voor servers,

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat één patch het

Hoog

2

5

25

Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

Totaal score

databases, applicaties en firewalls.

proces is uitgevoerd conform de opgestelde procedurebeschrijving.

Procesbeschrijving bevat een omschrijving van hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

De procesbeschrijving is geaccordeerd op het juiste niveau.

Laag

1

3





3

8

TABEL 9: BEVEILIGINGSRICHTLIJN B-07 INCLUSIEF WEGING

De tweede beveiligingsrichtlijn die ik als voorbeeld beschrijf betreft B-07. Voor deze richtlijn zijn twee MH maatregelen gedefinieerd. De beveiligingsrichtlijn betreft dat de laatste (beveiligings)patches zijn geïnstalleerd en dat deze volgens een patchmanagement proces worden doorgevoerd. Als ik naar de twee maatregelen van deze beveiligingsrichtlijn kijk dan zie ik dat de eerste maatregel vereist dat een patchmanagementprocedure opgesteld moet zijn en dat deze effectief is. De tweede MH maatregel vereist een detaillering in de procedure van hoe men omgaat met updates. Als ik naar de definities van de maatregelen kijk en naar het risico van de richtlijn dan is de eerste maatregel de belangrijkste maatregel van de twee. Daarom kwalificeer ik deze maatregel als ‘hoog’ om het risico te mitigeren. De eerste maatregel krijgt dan een weging van twee voor opzet en vijf voor bestaan. De tweede maatregel wordt gekwalificeerd als ‘laag’. Deze krijgt daarom een weging van één voor opzet en drie voor bestaan. De volledige tabel met de toegekende wegingen is opgenomen in Bijlage E. Middels de bovengenoemde wegingen kan ik een antwoord geven op de volgende deelvraag: Hoofdvraag 3. Welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels een hulpmiddel tot een consistente oordeelsvorming te komen?



26

4 BEVINDINGEN VAN HET PRAKTIJKONDERZOEK Dit hoofdstuk beschrijft het praktijkonderzoek van deze scriptie. Het doel van dit hoofdstuk is het toetsen van de resultaten uit de voorgaande hoofdstukken. In de literatuurstudie is er antwoord gegeven op deelvraag 1. Ik heb daarin vastgesteld wat de onderliggende maatregelen per beveiligingsrichtlijn zijn. In de specificering van het normenkader en toekennen van de wegingsfactoren heb ik antwoord gegeven op deelvragen 2 en 3. Daarin heb ik inzichtelijk gemaakt welke maatregelen minimaal getroffen moeten worden per beveiligingsrichtlijn en welke wegingsfactoren deze onderliggende maatregelen moeten hebben. Deze laatste deelvragen zijn in het praktijkonderzoek nader uitgewerkt om tot onderbouwing en conclusies te komen. Daarnaast is het doel van het praktijkonderzoek het opdoen van nieuwe inzichten. Om de volledigheid en juistheid van de initiële splitsing van de onderliggende maatregelen te valideren heb ik de initiële splitsing en weging laten beoordelen door interviews te houden met deskundigen op het gebied van DigiD beveiligingsassessments.

4.1 INTERVIEW 1: Het eerste interview is gehouden met de Norea. De Nederlandse Orde van Register EDP-Auditors (NOREA) is de beroepsorganisatie van IT-auditors in Nederland. De organisatie is nauw betrokken bij DigiD-beveiligingsassessments en heeft daarom een DigiD-werkgroep opgericht die in overleg met Logius een handreiking en rapportageformat heeft opgesteld. Deze werkgroep bestaat uit DigiD deskundigen die werkzaam zijn bij de Rijksauditdienst, Duijnborgh, EY en Deloitte. Ik heb een director bij Deloitte en een senior auditor bij de Auditdienst Rijk bereid gevonden om hun deskundige mening over de splitsing en weging te geven. Beiden hebben veel ervaring op het gebied van informatiebeveiliging.

4.1.1 BEVINDINGEN De director en de senior auditor adviseerden om het normenkader wel te verduidelijken, maar niet volledig te specificeren. DigiD-assessments zijn namelijk volgens beide heren een goede oefening in ‘rule based’ auditing. Logius en Norea hebben tijdens een van de informatiebijeenkomsten, medio 2013, aangegeven dat de tekst van de richtlijn het uitgangspunt van een oordeel dient te zijn (Norea, Bijeenkomst IT-auditors over DigiD-assessments, 2013). Dit betekent dat als de auditor niet aantreft wat er in de richtlijn wordt gevraagd, dan luidt het oordeel bij die richtlijn een ‘voldoet niet’. Volgens hen gaat deze aanpak tegen de Nederlandse traditie in, omdat er eigenlijk meer ‘principle based’ wordt gewerkt en dus vooral wordt gekeken of risico’s afdoende zijn afgedekt. Door de richtlijnen te specificeren middels de onderliggende maatregelen en hier wegingsfactoren aan toe te kennen is de aanpak definitief ‘rule based’ aanpak. Voor een goed beeld van de feitelijke risico’s is een ‘rule based’ aanpak echter minder geschikt. Daarnaast geven ze aan dat de DigiD normenkaders over het algemeen niet geschikt is voor wegingsfactoren. Bij de ene richtlijn definieer je twee onderliggende maatregelen en bij de andere richtlijn definieer je acht onderliggende maatregelen. Om vervolgens goede wegingsfactoren toe te kennen zal dit leiden tot veel complexiteit. Ook waken ze ervoor dat een auditor altijd moet blijven nadenken over of risico’s van een richtlijn afdoende afgedekt zijn aan de hand van de getroffen maatregelen. Wegingsfactoren toepassen om een totaaloordeel per richtlijn op te maken zal leiden tot vinkwerk en niet zozeer tot het afdekken van de risico’s. 27

Daarom adviseren beide heren om geen specificatie van de richtlijnen op te stellen, maar meer een onderzoek naar onduidelijkheden in de richtlijnen uit te voeren en deze te verhelderen.

4.2 INTERVIEW 2 Het tweede interview is gehouden met een ervaren IT-auditor bij een IT Audit organisatie. Sinds 1994 beheert hij netwerken, Windows systemen, Unix systemen en doceert hij aan de Vrije Universiteit. Van origine gestart binnen de informatica, maar momenteel ligt zijn primaire interesse bij het verbeteren van de beveiliging binnen de IT-infrastructuur. Daarnaast is hij een Qualified Security Assessor (QSA) voor de betaalkaarten industrie. De organisatie is in 2006 opgericht en een IT-Audit- en consultancybureau en heeft zich gespecialiseerd in certificeringtrajecten en het behandelen van complexe IT-gerelateerde vraagstukken.

4.2.1 BEVINDINGEN Met geïnterviewde persoon heb ik in een sessie uitgebreid gediscussieerd over de onderliggende maatregelen per beveiligingsrichtlijn die ik in het definitieve concept van ons normenkader heb opgenomen. Het resultaat van deze sessie is dat ik een aantal wijzigingen heb doorgevoerd in de splitsing van de MH en SH maatregelen, een aantal maatregelen heb toegevoegd die nog niet in het normenkader zaten en als laatste een aantal wijzigingen aangebracht in de wegingsfactoren van de MH maatregelen. Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een tweetal beveiligingsrichtlijnen aangeven welke wijzigingen zijn doorgevoerd. De overige wijzigingen zullen te vinden zijn in Bijlage F. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Voor deze norm is het een vereiste dat alle aanwezige software tijdig is voorzien van de laatste versies en patches om de uitbuiting van kwetsbaarheden voor te zijn. De initiële splitsing in deze norm is besproken en hier waren verder geen op- of aanmerkingen over. De meest significante toevoeging tot het normenkader uit het interview is dat patch management onderdeel dient te zijn van het wijzigingsbeheerproces. Dit is een efficiëntie slag omdat patch management überhaupt onderdeel is van wijzigingsbeheerprocessen. Het is efficiënt om niet twee processen naast elkaar in te richten. In het rekenmodel heb ik deze maatregel toegevoegd aan de patch management beschrijving. Hierdoor is een specifieke weging voor deze maatregel niet van toepassing. B0-8 Penetratietests worden periodiek uitgevoerd. Het is van belang dat de houder van de DigiD aansluiting inzicht krijgt en houdt in de mate waarin een webapplicatie weerstand kan bieden tegen het binnendringen of misbruiken van de webapplicatie. De onderliggende maatregel “Pentests worden niet alleen bij nieuwbouw en wijzigingen uitgevoerd, maar moeten periodiek worden herhaald.” is verplaatst van SH naar MH. Er duiken namelijk elke keer nieuwe kwetsbaarheden op die wellicht toegang tot de DigiD webapplicatie geven of tot misbruik leiden. Daarom moet een periodieke pentest een MH maatregel worden, omdat deze penetratietesten continu geupdate worden om te testen op nieuwe kwetsbaarheden. Pentesten zijn echter wel kostbaar en daarom zou een jaarlijkse controle voldoende zijn. Doordat tijdigheid ook een belangrijk onderdeel van de richtlijn is, heeft 28

deze ook een hoge impact op het mitigeren van het risico. Deze maatregel krijgt dan ook een weging van twee voor opzet en vijf voor bestaan. In de initiële opzet van deze norm wordt alleen beschreven dat er navolging wordt gegeven bij het vinden van significante kwetsbaarheden of bedreigingen. Daarom is het van belang dat bij penetratietesten die als resultaat de hoogst mogelijke score krijgen dat men ook achteraf na het oplossen van de problemen nog een pentest draait om vast te stellen of de genomen maatregel effectief is geweest. Doet men dit niet dan kan het zijn dat de oplossing niet effectief is geweest en vervolgens pas bij de eerstvolgende pentest opgemerkt zou worden. Daarom is deze onderliggende maatregel als een nieuwe maatregel aan het normenkader toegevoegd als MH. Deze maatregel is in mindere mate belangrijk als de twee maatregelen die al als ‘hoog’ zijn gekwalificeerd. Daarom zal deze maatregel gekwalificeerd worden als ‘laag’. Deze krijgt daarom een weging van één voor opzet en drie voor bestaan. Daarnaast is in de initiële richtlijn opgenomen dat een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen gedefinieerd moeten worden door de houder van de DigiD aansluiting om een goede en kwalitatieve pentest te laten uitvoeren door een specialist. Door alleen deze elementen te beschrijven heb je als organisatie na kunnen denken over wat je verwacht van een pentest. Het zou alleen beter zijn om gebruik te maken van een pentest methodologie waar specialisten binnen het vakgebied al over hebben nagedacht en ook hebben beschreven van hoe organisaties hun penetratietesten het beste kunnen (laten) uitvoeren, testen, beoordelen, plannen etc. Daarom is het gebruiken en beschrijven van een penetratietest als onderliggende maatregel een goede aanvulling op de norm B0-8. Aangezien het een aanvulling is op een bestaande MH maatregel heb ik hem opgenomen als SH. Doordat dit een SH maatregel is krijgt hij geen weging mee.



29

5 CONCLUSIE Het onderzoeksobject van deze scriptie is de interpretatie van de DigiD ICT-beveiligingsnorm. Om te komen tot een gespecificeerd normenkader om niet consistente oordeelsvorming door middel van diversiteit in de interpretaties en wegingsfactoren te minimaliseren zijn er een aantal deelvragen beantwoord. In dit hoofdstuk aggregeer ik de antwoorden op de deelvragen om zo tot de conclusie te komen op de hoofdvraag van het onderzoek. Daarnaast worden mogelijkheden beschreven tot vervolgonderzoek. Tot slot wordt een korte reflectie van het onderzoek beschreven.

5.1 BEANTWOORDING DEELVRAGEN In deze paragraaf zijn de antwoorden opgenomen op de deelvragen zoals deze zijn geformuleerd in paragraaf 1.4.2. Dit met als doel om de samenhang tussen de antwoorden op de deelvragen met het antwoord op de hoofdvraag inzichtelijk te maken. De eerste twee deelvragen hebben een directe relatie met de specificering van het normenkader. De derde en laatste vraag is bedoeld om wegingsfactoren mee te geven die een IT auditor helpen om een juist oordeel af te geven. Deelvraag 1.

Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te dekken?

De onderliggende maatregelen zou een IT auditor moeten beoordelen om een totaaloordeel per beveiligingsrichtlijn te vellen. Middels de literatuurstudie heb ik vastgesteld hoe men aan de verplichte richtlijnen in het normenkader kan voldoen. Ik heb gezien dat de handreiking van de Norea en deel 2 van de NCSC richtlijnen specificaties bevatten om de onderliggende maatregelen per richtlijn te definiëren. In de theorie beschrijft het NCSC dat voor een geldige verklaring van conformiteit met de richtlijn, de webapplicaties moeten voldoen aan alle onderliggende maatregelen voor alle beveiligingsrichtlijnen die in deel 2 gedefinieerd zijn. Echter geven Logius en Norea aan dat de tekst van de richtlijn in het DigiD normenkader het uitgangspunt voor het oordeel dient te zijn. Als de auditor niet aantreft wat er in de richtlijn wordt gevraagd, dan is het oordeel bij die richtlijn negatief. Hieruit kan ik suggereren dat Logius en de Norea 1) de onderliggende maatregelen van het NCSC te breed van toepassing vonden voor de DigiD ICTbeveiligingsassessment of 2) dat er niet voldoende tijd en budget was om een goed opgezet normenkader op te stellen dat vrij is van subjectiviteit of 3) het normenkader hebben willen beschermen tegen ’rule based’ auditen (oftewel alleen kijken naar wat er wordt gevraagd in richtlijn en niet naar het risico). Een belangrijke nevenconclusie die ik hiermee wil trekken is: Dat er niet voldoende risico identificatie en specificatie ten grondslag heeft gelegen aan het opstellen van het DigiD beveiligingsassessment-normenkader om de risico’s afdoende te dekken. Wanneer er bij het opstellen geen goede risico identificatie plaatsvindt, kan men ook moeilijk maatregelen in het normenkader specificeren, wat weer leidt tot niet eenduidige richtlijnen. Deelvraag 2.

Welke onderliggende maatregelen moeten minimaal getroffen worden (must haves) en welke onderliggende maatregelen zijn zeer gewenst (should haves)?

Specificaties van de Norea luiden vrij algemeen en de NCSC richtlijnen zijn daarentegen specifieker. Tijdens het interview met de Norea is geadviseerd om de richtlijnen niet te specifiek te maken om het DigiD ICT-beveiligingsassessment niet middels de ‘rule based’ aanpak te 30

auditen. Dit terwijl het assessment zich hier wel goed voor leent door de opzet. De ‘rule based’ benadering heeft voordelen, maar ook nadelen. Het belangrijkste voordeel is dat de maatregelen concreet worden gemaakt. Het belangrijkste nadeel is dat risico’s op de achtergrond raken en men alleen maar oog heeft voor de maatregelen zoals af te leiden is van de richtlijn (Tewarie, 2006). Het advies was dan ook om het normenkader meer ‘principle based’ te houden en te redeneren vanuit de risico’s om efficiënte en effectieve beveiligingsmaatregelen te implementeren. Hieruit kan ik concluderen dat het belangrijk is om bij de splitsing van de onderliggende maatregelen rekening te houden met het risico en de doelstelling van de richtlijn. Daarom is in deze scriptie gekozen voor de NCSC richtlijnen, risicobeoordeling en specificaties om de tweede deelvraag te beantwoorden. Middels de uitgevoerde analyse en validatieslag met externe deskundigen heb ik vastgesteld welke maatregelen minimaal getroffen moeten worden en welke maatregelen zeer gewenst zijn voor de DigiD assessment, rekening houdend met het risico en de doelstelling. Ik heb voor 11 richtlijnen ‘must have’ en ‘should have’ maatregelen gedefinieerd en voor 17 richtlijnen zijn de onderliggende maatregelen alleen als ‘must have’ maatregelen gedefinieerd. Dit betekent dat 11 richtlijnen volgens de NCSC richtlijnen te breed zijn voor DigiD. Hierdoor kan subjectiviteit een rol spelen doordat voor deze richtlijnen onvoldoende concreet is gemaakt welke acties wel of niet voor DigiD getoetst dienen te worden. De bijbehorende handreiking (Norea, Handreiking, 2012) draagt deels wel bij aan het verminderen van inconsistente oordeelsvorming door een toelichting en testaanpak te geven, echter het hanteren van deze handreiking is geen vereiste en derhalve blijft subjectiviteit mogelijk. De overige richtlijnen zijn daarentegen eenduidiger en omvatten alleen onderliggende ‘must have’ maatregelen. Het resultaat van deze deelvraag is een gespecificeerd normenkader waarin een splitsing is gemaakt in de ‘must have’ en ‘should have’ maatregelen Deelvraag 3.

Welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels een hulpmiddel tot een consistente oordeelsvorming te komen?

Om aan te kunnen geven in hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld oftewel het risico is gemitigeerd is het van belang dat een IT auditor op een gestructureerde en overzichtelijke manier het totaal oordeel kan vellen. Daarom heb ik een rekenmodel geïntroduceerd waarin de maatregelen die minimaal getroffen moeten worden (“must haves”) een wegingsfactor hebben gekregen om tot een consistente oordeelsvorming te komen. Op basis van de opgestelde wegingsfactoren voor ‘must have’ maatregelen en de validatieslag met externe deskundigen constateer ik dat alle richtlijnen 1 á 2 onderliggende maatregelen hebben die als meest belangrijk zijn geïdentificeerd om het risico te mitigeren en de doelstelling van de richtlijn te behalen. Op deze wijze heb ik onderliggende maatregelen gespecificeerd, gesplitst in maatregelen die minimaal getroffen moeten worden en maatregelen die zeer gewenst zijn en als laatste heb ik maatregelen die minimaal getroffen moeten worden een wegingsfactor meegegeven. Als eindproduct levert dit per richtlijn een specificatie en rekenmodel op, die als hulpmiddel ingezet kunnen worden door de IT auditor bij een DigiD ICT-beveiligingsassessment (zie bijlage Bijlage F). Hoofdvraag 1.

Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactor wordt toegekend aan de onderliggende maatregelen op 31



beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICT-beveiligingsassessment te komen? Samenvattend kan geconcludeerd worden dat er een normenkader is gecreëerd uitgaande van de antwoorden op de deelvragen, waarmee antwoord wordt gegeven op de centrale onderzoeksvraag. Op basis van het normenkader waar per richtlijn onderliggende maatregelen zijn gespecificeerd en middels het rekenmodel waar wegingsfactoren aan de maatregelen zijn gehangen als hulpmiddel kan een IT auditor een consistente oordeel vellen waar subjectiviteit geen grote rol meer kan spelen. Het raamwerk is geverifieerd door externe deskundigen. Deze deskundigen beschikken over uitgebreide ervaring op het gebied van informatiebeveiliging en het auditen van DigiD-koppelingen. Door deze verificatie is de kwaliteit van het normenkader gewaarborgd. Omdat het normenkader zich goed leent voor de ‘rule based’ audit aanpak en het opstellen van de aanvullende specificering met een rekenmodel in deze scriptie is het voor de auditor nog steeds belangrijk om de af te dekken risico’s altijd centraal te houden bij het uitvoeren van de DigiD audit. Het rekenmodel dient als hulpmiddel voor de IT auditor en moet niet leidend zijn in het geven van het eindoordeel. Dit betekent dat een IT auditor ervoor kan kiezen dat een richtlijn voldoet bij het behalen van 70% in plaats van 100% in het rekenmodel. Dit kan zich met name voordoen in gevallen dat de impact van een bepaalde risico hoog is doordat een maatregel niet is genomen, maar dat het onwaarschijnlijk is dat het zich voor zal doen, omdat het risico middels een andere maatregel wordt gemitigeerd. Daarom is het belangrijk dat naast het gebruik van het rekenmodel de IT auditor voor het eindoordeel zijn professional judgement blijft gebruiken.

5.2 BEPERKINGEN EN VERVOLGONDERZOEK Een eerste beperking van de studie is dat het onderzoek zich alleen maar richt op de 28 richtlijnen die verplicht zijn gesteld voor de DigiD beveiligingsassessment. Logius daarentegen adviseert om de hele set van richtlijnen (59 beveiligingsrichtlijnen) van NCSC te adopteren voor de DigiD beveiligingsassessment. Een vervolgonderzoek waarbij er voor de overige set van richtlijnen een specificering en weging wordt opgesteld is dan interessant. Een tweede beperking van deze studie is dat het onderzoek is uitgevoerd op de beveiligingsrichtlijnen van het NCSC die dateert van 2012. Het is denkbaar dat de beveiligingsrichtlijnen voor webapplicaties van het NCSC, waarop de DigiD-norm is gebaseerd, naar aanleiding van een evaluatie zullen worden herijkt. Dit zou kunnen betekenen dat het normenkader vervangen zou kunnen worden en de opgestelde specificering met de wegingen niet meer opgaan met het nieuwe normenkader. Maar zolang de herijking niet is gebeurd, is er geen aanleiding om het normenkader te wijzigen. Mocht dit wel gebeuren dan zou een vervolgonderzoek interessant zijn om nogmaals naar de specificering en normering te kijken. Een derde beperking is dat de opgestelde wegingen van de maatregelen als handvatten dienen om tot goed onderbouwde oordelen per richtlijn te komen. Dit betekent dat de IT auditors per richtlijn goed de resultaten moeten beoordelen in gevallen waar het twijfelachtig is of er voldaan is aan de norm. Het is interessant om daarom verder onderzoek uit te voeren op het object van het onderzoek waarbij er een kwantitatief onderzoek wordt gedaan naar de wegingen. Een andere beperking van dit onderzoek is dat er geen input is geweest vanuit een gebruikersorganisatie of een hostingpartij voor DigiD systemen. Vervolgonderzoek op de specificering van het normenkader zou ook uitgevoerd kunnen worden met de focus vanuit een 32

gebruikersorganisatie zoals een gemeente. Voor een dergelijk onderzoek zou men een case study kunnen uitvoeren bij een grote gemeente waarbij de DigiD aansluiting intern wordt beheerd of een grote hosting partij waarbij vele organisaties hun software/ DigiD ICT-componenten hebben uitbesteed. Op deze manier krijgt de IT auditor inzicht in de maatregelen die minimaal getroffen moeten worden vanuit een andere invalshoek. Ik heb geprobeerd om contact te leggen met een grote hostingpartij voor DigiD systemen, maar die was niet bereid om een interview te geven. Ook is geprobeerd om een interview te krijgen bij Logius en een grote Big4, maar tevergeefs is dit niet gelukt. Ook een beperking van dit onderzoek is dat er alleen is gekeken naar de individuele oordelen en geen oordeel over de informatiebeveiliging als geheel. Momenteel wordt deze door Logius uitgevoerd zonder dat details van de audit beschikbaar voor hen zijn. Daarentegen heeft een ITauditor wel de details en weet hij ook wat er bij de DigiD houder op het gebied van informatiebeveiliging af speelt. In het vervolg zou onderzoek gedaan kunnen worden naar hoe een totaaloordeel afgegeven kan worden door een IT auditor.

5.3 REFLECTIE Bij het uitvoeren van dit onderzoek en het schrijven van de bijbehorende scriptie heb ik me gericht op het specificeren van het DigiD normenkader. Dit heeft er echter gaandeweg toe geleid dat ik in deze scriptie steeds meer ben gaan richten op het ontwikkelen van een normenkader met maatregelen die minimaal getroffen moeten worden om te voldoen aan de norm en het definiëren van wegingsfactoren. Dit om te voorkomen dat er inconsistente oordeelsvorming plaatsvindt door diversiteit in de interpretaties. Persoonlijk ben ik zeer tevreden met deze ontwikkeling en met het eindresultaat aangezien het ontwikkelde normenkader ook toegepast zou kunnen worden bij DigiD assessments en daarom een mooie toevoeging is aan het vakgebied. De toepassing van het normenkader kan alleen echt goed worden ingezet als er door meerdere experts een toetsing wordt gedaan op basis van dit ontwikkelde normenkader. Desondanks zullen er meningsverschillen ontstaan. Volgens mij is dit onvermijdelijk bij een dergelijk onderzoek. Qua proces ben ik al in een vroeg stadium aan de scriptie begonnen maar gedurende het drukkere werk seizoen, zaken die in mijn privé situatie hebben afgespeeld en het vrij lastig was om deskundigen op het gebied van DigiD te interviewen heeft het iets langer geduurd als verwacht. Tot slot heb ik persoonlijk veel geleerd van dit onderzoek. Voornamelijk heb ik geleerd om nog kritischer te kijken naar gehanteerde normenkaders. Binnen het vakgebied wordt er regelmatig te weinig aandacht besteed aan de interpretatie van normenkaders en met dit onderzoek heb ik meer inzicht gekregen in het belang van een goed normenkader die ook goed geïnterpreteerd zou moeten worden door belanghebbenden.

33

6 LITERATUURLIJST GOVCERT.NL. (2010). Whitepaper Raamwerk Beveiliging Webapplicaties. Den Haag. Hassing, A. (2015, 3). Veel kritiek op werkwijze DigiD. Informatie Scriptieprijs, pp. 10-13. Hintzbergen, K., Smulders, A., & Baars, H. (2008). Basiskennis beveiligen van informatie. Van Haren. Janssen, P. (2007). ICT-Reeks - Projectmanagement volgens Prince2, 2/e. Amsterdam: Pearson Education. Logius. (2014, mei 23). Jaarrekening. Opgeroepen op 5 23, 2014, van Logius: http://publicaties.logius.nl/nl/magazine/6604/749035/logius_de_hoogtepunten.html Moerman, N. (2014, 6 11). Overheid haalt websites offline om misbruik Digid-gegevens. Opgeroepen op 6 27, 2014, van Nu.nl: http://www.nu.nl/tech/3799085/overheid-haaltwebsites-offline-misbruik-digid-gegevens.html Nations, D. (2014, 6 17). Web Applications. Opgeroepen op 7 11, 2014, van About.com: http://webtrends.about.com/od/webapplications/a/web_application.htm NCSC, D. 1. (2012). ICT-Beveiligingsrichtlijnen Deel 1. Den Haag. NCSC, D. 2. (2012, Januari). ICT-Beveiligingsrichtlijnen Deel 2. Den Haag. Norea. (2012, 12 19). Handreiking. Opgeroepen op 6 16, 2014, van Norea.nl: http://www.norea.nl/Norea/Actueel/Nieuws/Handreiking+DigiD.aspx Norea. (2013, 04 19). Bijeenkomst IT-auditors over DigiD-assessments. Opgeroepen op 04 29, 2015, van NOREA: http://www.norea.nl/Norea/Actueel/Nieuws/Bijeenkomst+DigiD.aspx Norea. (2013). DigiD-assessment template assurancerapport. Norea. Overbeek, P., Lindgreen, E. R., & Spruit, M. (2005). Informatiebeveiliging onder controle. Amsterdam: Pearson. Plasterk, R. (2013, 5 23). Visiebrief digitale overheid 2017. Opgeroepen op 6 27, 2014, van Rijksoverheid: http://www.rijksoverheid.nl/documenten-enpublicaties/kamerstukken/2013/05/23/visiebrief-digitale-overheid-2017.html Rijksoverheid. (2014). Digitale Overheid. Opgeroepen op mei 23, 2014, van Rijksoverheid: http://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/watis-digid.html Tewarie, W. (2006, 11 14). Principle based Audit Approach. Amsterdam, Nederland. Whitehat. (2013). Whitehat Security Website Statistics Report. Santa Clara: Whitehat Security. Yin, R. K. (2008). Case Study Research Design and Methods. SAGE Publications, Inc; 4e editie.

34

BIJLAGE A.

NORM ICT-BEVEILIGINGSASSESSMENTS DIGID

Nr.

Norm

Doelstelling

B0-5

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

Het garanderen van een correcte en veilige werking van ICT-voorzieningen door het op een gecontroleerde manier doorvoeren van wijzigingen. Het tot een minimum beperken van de kans dat onnodige faciliteiten op een systeem worden misbruikt. Alle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting van kwetsbaarheden voor te zijn. Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren. Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie). Inzicht hebben in de mate waarin de ICT-omgeving bekende kwetsbaarheden en Zwakheden bevat, zodat deze waar mogelijk weggenomen kunnen worden. Voorkom ongeautoriseerde toegang tot netwerken, besturingssystemen, informatie en informatiesystemen en -diensten, zodat schade bij misbruik zo beperkt mogelijk is. Voorkom misbruik van ‘oude’ en niet meer gebruikte websites en/of informatie.

B0-6 B0-7 B0-8

Penetratietests worden periodiek uitgevoerd.

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

B0-12 B0-13

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer. Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

B0-14

Leg afspraken met leveranciers vast in een overeenkomst.

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

B1-2

Beheer- en productieverkeer zijn van elkaar gescheiden.

B1-3

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. Maak gebruik van veilige beheermechanismen.

B2-1 B3-1

B3-3

De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft. De webapplicatie normaliseert invoerdata voor validatie.

B3-4

De webapplicatie codeert dynamische onderdelen in de uitvoer.

B3-5

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.

B3-2

Het handhaven van het beveiligingsniveau, wanneer de verantwoordelijkheid voor de ontwikkeling van de webapplicatie en/of beheer van de webapplicatie is uitbesteed aan een andere organisatie. Voorkom of beperk de risico’s van een aanval door het scheiden van componenten waaraan verschillende beveiligingsniveaus (betrouwbaarheidseisen) worden gesteld. Voorkom rechtstreekse toegang tot het interne netwerk vanaf het internet door het toepassen van compartimentering en het controleren van de verkeersstromen tussen deze compartimenten. Voorkom dat misbruik kan worden gemaakt van de beheervoorzieningen vanaf het internet. Voorkom (nieuwe) beveiligingsrisico’s omdat de webapplicaties ook bereikbaar moeten zijn vanaf het interne netwerk voor gebruikers binnen de organisaties. Voorkom misbruik van beheervoorzieningen. Voorkom het verlies, wijziging of misbruik van gegevens door onbetrouwbare (malafide) invoer. Voorkom dat de applicatielogica wordt beïnvloed. Valideer de initiator van een HTTP-request teneinde te voorkomen dat kwaadwillenden transacties uit naam van een valide gebruiker uitvoeren. Normaliseer alle invoerdata voor deze te valideren om te voorkomen dat filteringmechanismen ongewenste patronen niet herkennen. Codeer dynamische onderdelen van de uitvoer zodat er geen ongewenste tekens in de uitvoer terecht komen. Verklein de kans op SQL-injectie aanvallen.

35

B3-6

Voorkom dat controles kunnen worden omzeild.

B3-15

De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.

B3-16

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

B5-1 B5-2

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Maak gebruik van versleutelde (HTTPS)verbindingen.

Voorkom dat cookie communicatie kan worden afgeluisterd. Voorkom dat cookies gestolen kunnen worden via cross site scripting. Doelmatig gebruik van cryptografische technieken door het beheren van cryptografische sleutels. Voorkom misbruik van (vertrouwelijke) gegevens die tijdens transport zijn onderschept.

B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

Voorkom misbruik van opgeslagen vertrouwelijke gegevens.

B5-4

Versleutel cookies.

B7-1

Maak gebruik van Intrusion DetectionSystemen (IDS).

Voorkom dat kwaadwillende de inhoud van cookies kunnen inzien en/of aanpassen, zodat de vertrouwelijkheid en integriteit van de inhoud van het cookie wordt gewaarborgd. Detecteren van aanvallen op webapplicaties.

B7-8

Voer actief controles uit op logging.

Het detecteren van misbruik en inbraakpogingen.

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

Het managen van de informatiebeveiliging binnen de organisatie

B3-7

Voorkom dat ongewenste bestanden worden geïncorporeerd in een webapplicatie. Testen of er kwetsbaarheden in de webapplicatie bestaan.





36

BIJLAGE B.

MAATREGELEN VAN DE DIGID NORMEN

Richtlijnnr.

Maatregelen

B0-5

Wijzigingsbeheer: • Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief is geïmplementeerd. • Zorg dat configuratiebeheer is ingericht. • Alle wijzigingen worden op een gestructureerde wijze geregistreerd. • Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen. • Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling genomen. • Er bestaat een actueel en volledig overzicht van wijzigingen met betrekking tot de (beveiligings)instellingen van de ICT-infrastructuur. • Van alle wijzigingen wordt de impact met betrekking tot informatiebeveiliging vastgesteld. • Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent. Bijvoorbeeld een beslissingsforum (Change Advisory Board (CAB)) • De voortgang van de afhandeling van wijzigingen wordt bewaakt. • Realisatie en implementatie van wijzigingen worden gepland en deze planningsgegevens worden gepubliceerd (changekalender). • Gerealiseerde wijzigingen worden voor implementatie getest. • Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid. • Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk hierbij aan beheersprocedures en verantwoordelijkheden bij uitvoering van het terugvalscenario. De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen: • Zorg voor een actueel snapshot van de verschillende systemen. • Zorg dat systemen continue worden geaudit tegen de actuele snapshot (detecteren van wijzigingen). • Zorg dat het overzicht met auditregels (policy) en de snapshots onderdeel zijn van het proces wijzigingsbeheer. Webapplicaties worden getest voordat deze in de productie worden genomen: • Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijn vastgesteld. • Wijzigingen worden getest voordat deze in productie worden genomen. • Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als de wijziging impact heeft op de informatiebeveiliging, is bepaald of er specifieke beveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (zie maatregel B0-8), code reviews (zie maatregel B3-14) et cetera). • Penetratietesten maken onderdeel uit van de testen (zie maatregel B0-8). • Als het gaat om standaardsoftware, Software-as-a-Service (SaaS) kan worden gedacht aan de volgende aandachtspunten: -- Externe certificering van de extern ontwikkelde software. --Afspraken in het contract vastleggen om de software te mogen auditen. --Uitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregel B0-8) of blackbox scan (zie maatregel B3-15), om mogelijke kwetsbaarheden op te sporen. Ontwikkel, test, acceptatie en productieomgeving (OTAP): • Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving (OTAP). • Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie).

37

B0-6

• Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is geïmplementeerd. • Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden. • Zorg voor een actueel overzicht van de hoogst noodzakelijk services. • Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogst noodzakelijke netwerkprotocollen. • Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

B0-7

• Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd. • Zorg dat configuratiebeheer is ingericht. • Zorg voor een technische implementatie van een updatemechanisme. • Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera? • Pentests worden niet alleen bij nieuwbouw en wijzigingen uitgevoerd, maar moeten periodiek worden herhaald. • Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen. • De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Zorg dat vulnerability assessment periodiek worden herhaald. • Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, te onderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen. • Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

B0-8

B0-9

B0-12

• Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer). • Zorg voor een wachtwoordbeleid en technische maatregelen om sterke wachtwoorden af te dwingen. • De zakelijke behoeften en beveiligingseisen moeten zijn gedocumenteerd. • De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. • Zorg dat het inrichtingsdocument/ontwerp onderdeel is van het proces wijzigingsbeheer. • Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten. • Zorg voor een actueel overzicht van service accounts. • Zorg voor een actueel overzicht van personen die beheeraccounts hebben en dat dit overzicht continue wordt onderhouden. • Zorg voor een actueel overzicht van personen die een gebruikersaccount hebben en dat dit overzicht continue wordt onderhouden. • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van personen die beheeraccounts hebben. • Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie. • De data die door webapplicatie(s) wordt aangeboden, moet zijn geclassificeerd. • Iedere webapplicatie heeft een eigenaar (verantwoordelijke) • Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie. • Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel.en is op het juiste niveau geaccordeerd.

38

B0-13

• Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • Iedere website heeft een eigenaar. • Voer periodiek controles uit of de operationele websites nog worden gebruikt en/of informatie bevat die kan worden verwijderd.

B0-14

• Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd. • Zorg voor rapportages van de dienstleverancier over de geleverde dienstverlening.

B1-1

• De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ontwerp: o Welke webapplicaties worden ontsloten? o Welke informatie mag in de DMZ worden opgenomen? o Welke ondersteunende applicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk? o Welke IP-adressen worden gebruiken (NAT, DHCP)?. o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welk uitgaand verkeer vanaf de webserver is noodzakelijk? o Zijn aansluitvoorwaarden opgesteld? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

B1-2

• De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Welke ondersteunende beheerapplicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk in verband met het beheer? o Hoe wordt de storage en back-up infrastructuur ontsloten? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welke beheermechanismen worden toegepast? o Hoe krijgen beheerders toegang tot het beheergedeelte? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

39

B1-3

B2-1

B3-1

• De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Hoe verloopt de interne/externe routering van webverkeer? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast. o Welke beheermechanismen worden toegepast. • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld. • Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken. • Beschikken over de broncode van de programmatuur. Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-request op basis van ongewenste invoer: • Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. • De webapplicatie voert deze validatie uit op basis van: o Typecontrole (bijvoorbeeld string of integer). o Lengtecontrole o Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie) o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘a-z’) • In het geval de invoer niet voldoet aan één of meerdere van bovenstaande controles, weigert de webapplicatie deze invoer. Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer: • De webapplicatie filtert de invoer op basis van: o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’) o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’) o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’) • De filtering is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijn andere filters vereist dan voor het samenstellen van een LDAP-query. • In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van de blacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoer verder te gebruiken binnen de webapplicatielogica. De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt: • De webapplicatie voert escaping uit op de invoer na het toepassen van whitelists en eventueel blacklists. • De escaping is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt.

40

B3-2

• Beschikken over de broncode van de programmatuur. • De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd. • Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: o Zijn formulierpagina’s voorzien van een dynamisch token; o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie. Bewijsvoering • Het is niet mogelijk om een cookie te gebruiken vanaf een IP-adres anders dan het IP-adres aan wie het cookie verstrekt is. • Het is niet mogelijk om transacties voor gevalideerde gebruikers uit te voeren vanaf een andere website dan de website waarop de gebruiker is gevalideerd. • Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

B3-3

• Beschikken over de broncode van de programmatuur. Voorbeelden van normalisatie zijn: • Omzetten van NULL karakters naar spaties. • Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). • Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. • Verwijderen van overbodige spaties en regeleinden. • Verwijderen van onnodige witruimtes. • Omzetten van backslashes naar forward slashes • Omzetten van mixed case strings naar lower case strings. • Beschikken over de broncode van de programmatuur. • Beschikken over de broncode van de programmatuur. • De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.

B3-4 B3-5 B3-6

• Beschikken over de broncode van de programmatuur. • Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.

B3-7

• Beschikken over de broncode van de programmatuur. • De webapplicatie maakt geen gebruik van dynamische file includes.

B3-15

• Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Zorg voor afspraken, met de leverancier, over het uitvoeren van een blackbox scan. Wanneer blackbox scans? Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is: • De frequentie dient vastgesteld te worden op basis van het risicoprofiel. • In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1). • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht.

41

B3-16

Opvolging • Er moet actie worden ondernomen indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. Het set cookie command bevat de secure flag en de HTTPOnly flag.

B5-1

• Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd. o Hoe worden sleutels gegenereerd voor verschillende toepassingen? o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers o toegang tot sleutels kunnen krijgen? o Hoe het wijzigen of actualiseren van sleutels moet geschieden? o Hoe wordt omgaan met sleutels die zij gecompromitteerd? o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? o Hoe sleutels worden gearchiveerd? o Hoe sleutels worden vernietigd? o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? o Welke minimale sleutellengtes moeten worden toegepast? o Welke encryptie-algoritmen moeten worden toegepast? • Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel, is op het juiste niveau geaccordeerd en maakt onderdeel uit van het standaard wijzigingsbeheerproces.

B5-2

• De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS). • Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

B5-3

De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

B5-4

• Er moet een beleid met betrekking tot het toepassen van cookies zijn. • Er moeten procedures zijn met betrekking tot het beheren van cookies. • De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

B7-1

• De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

B7-8

• Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

42

B7-9

• Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend. • Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

BIJLAGE C.

NOREA HANDREIKING VOOR DIGID ASSESSMENTS

Nr.

Norm

Type:

B0-5

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

Governance

B0-6

Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.

Infra-proces

Toepasbaarhe idgebied Houder DigiD aansluiting, softwarelevera ncier, hostingpartij Hosting-partij

Scope

Nadere toelichting

Uit te voeren werkzaamheden

De DigiD applicatie en de infrastructuur

De focus is het vaststellen dat het proces wijzigingsbeheer zodanig is opgezet en geïmplementeerd dat alle wijzigingen altijd eerst worden getest voordat deze in productie worden genomen en via wijzigingsbeheer worden doorgevoerd. De focus is op het hardeningsproces. Onderdeel hiervan is een security baseline voor de systemen. De hardening van internet facing systemen dient strak te zijn geregeld: alles wat open staat moet een reden hebben en alles wat open staat moet secure worden aangeboden. De hardening van interne systemen mag minder stringent. Wel moeten de management functies moeten secure zijn, er geen onveilige protocollen worden gebruikt, default passwords zijn gewijzigd, voorbeeld applicaties na default install zijn verwijderd, etc De focus is op het patchingproces. De patching proces kan gedifferentieerd zijn naar OS en netwerk. Een maandelijks patching cycles is aanvaardbaar tenzij er security alerts zijn. Voor internet facing systemen dienen de laatste stabiele beveiligingspatches te zijn geïnstalleerd. Indien patching niet mogelijk is in verband met oudere applicatie, zal dit risico moeten zijn afgewogen. De penetratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. De externe blackbox/greybox infrastructuur penetratietest dient zich ten minste gericht hebben op de hardening en patching van systemen, het via internet benaderbare management interfaces, het gebruik van zwakke encryptie, het gebruik van onveilige protocollen en de kwetsbaarheid voor publiekelijk bekende exploits. De greybox/whitebox applicatiescan dient industry standaards zoals de OWASP top 10, de SANS top 25 en de

Interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, gerichte deelwaarneming op wijzigingen.

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers en de route naar het internet

B0-8

Penetratietests worden periodiek uitgevoerd.

InfraPentest

Softwarelevera ncier, hostingpartij

DigiD applicatie en het IP adres van de DigiD applicatie

Het netwerksegment met de DigiD webservers en de route naar het internet

43

Interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten.

Interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten.

Evaluatie van de pentesten en de scope van de penetratietest, zo nodig review van het pentest-dossier, analyse van de uitkomsten van penetratietesten, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan.

WASC te omvatten. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een plan op te stellen. De interne greybox/whitebox vulnerability scan pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. De is een netwerk based scan dient zich ten minste te hebben gericht op de hardening en patching van systemen en het detecteren van mogelijke kwetsbaarheden van deze systemen. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een herstelplan op te stellen. De focus ligt op het beheerproces(sen). Dit betreft enerzijds toegang tot de DigiD-applicatie (naast de DigiD geauthentiseerde gebruikers) en anderzijds toegang tot DigiD webservers, de routers en de firewalls. Aandachtpunten hierbij zijn wachtwoordinstellingen, joiners/movers/leavers, administrator accounts, shared accounts en periodieke review. Deze beveiligingsrichtlijn dient procesmatig te worden benaderd. Er dient een overzicht (of CMDB) zijn van de websites. Elke website moet een eigenaar hebben die verantwoordelijk is dat niet meer gebruikte websites en/of informatie die niet meer wordt gebruikt wordt verwijderd. Daarnaast dient minimaal jaarlijks een controle te worden uitgevoerd of de operationele websites nog worden gebruikt en/of informatie bevat daadwerkelijk is verwijderd. Aandachtspunten die in de overeenkomst geadresseerd moeten worden zijn beschreven in de ICTBeveiligingsrichtlijnen voor webapplicaties deel 2 van NCSC.

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

InfraPentest

Hosting-partij

Het netwerksegment met de DigiD webservers

B0-12

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers

B0-13

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

Governance

Houder DigiD aansluiting

DigiD-webservers

B0-14

Leg afspraken met leveranciers vast in een overeenkomst.

Governance

Houder DigiD aansluiting

Softwareleverancier en hosting-partij

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. Beheer- en productieverkeer zijn van elkaar gescheiden.

Infra-proces

Hosting-partij

De Demilittarised Zone (DMZ) waar de DigiD applicatie zich bevindt

Door middel minimaal van 2 (virtuele) firewalls worden verkeersstromen tussen het internet, de (web)applicaties in het DMZ en het interne netwerk tot een minimum beperkt.

Interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratiefiles en analyse van de uitkomsten van penetratietesten.

Infra-proces

Hosting-partij

De Demilittarised Zone (DMZ) waar de DigiD applicatie zich bevindt

Door middel van fysieke scheiding, VPN verbindingen of VLANs is beheer en productieverkeer van elkaar gescheiden.

Interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de

B1-2

44

Evaluatie van de pentester en de scope van de vulnerability assessment, zo nodig review van het dossier, analyse van de uitkomsten van vulnerability assessment, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. Interview met de verantwoordelijke functionarissen, beoordeling van documentatie, inspectie van configuratie documentatie, inspectie van periodieke reviews en gerichte deelwaarnemingen. Interviews met verantwoordelijke functionarissen, inspectie van de CMDB, inspectie van de laatste controle op de relevantie van de website en/of informatie op de website en analyse van de uitkomsten van penetratietesten.

Interviews met verantwoordelijke functionarissen en beoordeling van de overeenkomsten met leveranciers.

uitkomsten van penetratietesten. B1-3

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.

Infra-proces

Hosting-partij

DMZ

Het netwerkverkeer tot de DigiD webservers dient op de gelijke wijze te worden gefilterd als verkeer vanuit het externe netwerk.

B2-1

Maak gebruik van veilige beheermechanismen.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers - DMZ

Dit betreft het gebruik van veilige netwerkprotocollen, beheerinterfaces via het internet uitsluitend door middel van strong authentication te benaderen zijn en er geen gebruik wordt gemaakt van backdoors om de systemen te benaderen (ook niet voor noodtoegang).

B3-1

De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

Appli-scan

Softwarelevera ncier

DigiD applicatie

Validaties van de HTTP-request omvatten onder meer het type, lengte en formaat van de invoer, maar ook de XML protocollen als JSON SOAP REST.

B3-2

De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft.

Appli-scan

Softwarelevera ncier

DigiD applicatie

De web applicatie moet ervoor zorgen dat er verdediging tegen Cross Site Request Forgery (CSRF) en horizontale en verticale escalatie privileges is ingebouwd. Tevens spreekt NCSC in deze controle van IP adres koppelen aan sessies/cookies. Echter, dit laatste wordt niet toegepast door industrie en kan achterwege worden gelaten.

B3-3

De webapplicatie normaliseert invoerdata voor validatie.

Appli-scan

Softwarelevera ncier

DigiD applicatie

De webapplicatie normaliseert invoerdata voor validatie waaronder non-printable tekens, null-byte injection, XPath injection en Code injection.

B3-4

De webapplicatie codeert dynamische onderdelen in de uitvoer.

Appli-scan

Softwarelevera ncier

DigiD applicatie

Om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirect test hiervoor is het invoeren van speciale karakters (zoals < > ' " & /) en de uitvoer te analyseren.

B3-5

Voor het raadplegen en/of wijzigen

Appli-scan

Softwarelevera

DigiD applicatie

Om deze beveiligingsrichtlijn volledig te testen is een

45

Interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Interviews met verantwoordelijke functionarissen, beoordeling van de procedurebeschrijving met betrekking tot beheermechanismen, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de verschillende invoermethodes te identificeren. Gerichte deelwaarneming op invoervelden waarbij, met behulp van een applicatie scanning tools de validatie aan de server zijde van de verschillende invoermethodes wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Gerichte deelwaarneming op webpagina's (change state request) waarbij, met behulp van een applicatie scanning tools, waarbij de mogelijkheid tot CSRF wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B08). Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de normalisatie aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waabij de verwerking van speciale karakters aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B08). Gerichte deelwaarneming op invoervelden

van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.

B3-6

ncier

source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirect test hiervoor is met SQL injection.

De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).

Appli-scan

Softwarelevera ncier

DigiD applicatie

Afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4 en B3-5

Appli-scan

Softwarelevera ncier

DigiD applicatie

Om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirecte test hiervoor is het testen op file includes als php, phpx, asp, aspx, jsp, jhtml, py en pl. Daarnaast vormen ook file uploads met code een risico, zoals .bat .com .exe .vbs .bas .so files die getest moeten worden.

Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

Appli-scan

Softwarelevera ncier Softwarelevera ncier

DigiD applicatie

Afgedekt bij het testen van maatregelen B0-8

DigiD applicatie

Verifieer dat alle sessie cookies ‘HttpOnly’ en ‘Secure’

B5-1

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

Infra-proces

Hosting-partij

DigiD infrastructuur

De privé sleutels behorende bij de SSL certificaten mogen niet onversleuteld op de server zijn opgeslagen.

B5-2

Maak gebruik van versleutelde (HTTPS)verbindingen.

Infra-proces

Softwarelevera ncier

DigiD applicatie

B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

Infra-proces

DigiD applicatie

B5-4

Versleutel cookies.

Appli-scan

Houder DigiD aansluiting, softwarelevera ncier Softwarelevera ncier

DigiD applicatie

Alle gevoelige (zoals in het kader van de WBS) informatie moet via een versleutelde verbinden worden verzonden. Bij voorkeur zou na de DigiD authenticatie de hele sessie via een versleutelde verbinding moeten plaats vinden. De organisatie moet zelf een analyse uitvoeren om te bepalen wat gevoelige gegevens zijn. Gedacht moet worden aan gevoelige gegevens in het kader van de WBP en anderzijds wachtwoorden en dergelijke. Sessiecookies moeten worden versleuteld

B7-1

Maak gebruik van Intrusion DetectionSystemen (IDS).

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers en

Intrusion detection systeem moet zijn geïnstalleerd en ingericht en er dient een beheerprocedure te zijn

B3-7

B3-15 B3-16

Appli-scan

46

met behulp van een applicatie scanning tools waarbij de SQL injectie aan de server zijde worden getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

Observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de file uploads te identificeren. Gerichte deelwaarneming op file uploads waarbij het uploaden van mogelijk ongeschikte file type wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Identificeer de cookies en inspecteer het ‘HttpOnly’ en ‘Secure’ van de cookies. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B08). Interview met de verantwoordelijke functionarissen, beoordeling van documentatie en observeer dat privé sleutels niet onversleuteld op de server staan. Observeer het protocol van de verbinding bij het verwerken van gevoelige gegevens. Evalueer de kwaliteit van encryptie met de industrie standaards. Interview met de verantwoordelijke functionaris, beoordeling van documentatie en observeer dat gevoelige gegevens versleuteld zijn opgeslagen. Observeer of tijdens het aanmaken van een cookie een beveiligde verbinding wordt gebruikt Interview met de verantwoordelijke functionarissen, inspectie van

B7-8

Voer actief controles uit op logging.

Infra-proces

Hosting-partij

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

Governance

Houder DigiD aansluiting, softwarelevera ncier, hostingpartij



de route naar het internet Het netwerksegment met de DigiD webservers en de route naar het internet

Informatiebeveiliging binnen de organisatie



47

ingericht De controle op de logging zou met name gericht moeten zijn op de ondersteuning van het change management proces. Wijzigingen op de infrastructuur, netwerkconfiguratie en applicatie moeten worden gesignaleerd en zodat geverifieerd kan worden dat wijzigingen op de juiste wijze door het wijzigingsproces zijn gegaan. De governance-scope moet breed worden geïnterpreteerd en niet uitsluitend in het kader van DigiD

inrichtingsdocumentatie en inspectie van follow-up acties naar aanleiding van alerts Interview met de verantwoordelijke functionarissen, beoordeling van procedurebeschrijving, inspectie van rapportages uit de logging en inspectie van follow-up acties naar aanleiding van incidenten Interview met de verantwoordelijke functionarissen en beoordeling van documentatie

BIJLAGE D.

INITIËLE SPLITSING MEDE OP BASIS VAN INTERVIEW

Nr en beveiligingslaag

Norm

Must haves

Should haves

B0-5 (B0-6 in ICTbeveiligingsrichtlijnen)

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

• Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief is geïmplementeerd. • Alle wijzigingen worden op een gestructureerde wijze geregistreerd. • Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen. • Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling genomen. • Gerealiseerde wijzigingen worden voor implementatie getest. • Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid. Ontwikkel, test, acceptatie en productieomgeving (OTAP): • Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving (OTAP). • Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie). Webapplicaties worden getest voordat deze in de productie worden genomen: • Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijn vastgesteld. • Wijzigingen worden getest voordat deze in productie worden genomen. • Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als de wijziging impact heeft op de informatiebeveiliging, is bepaald of er specifieke beveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (zie maatregel B0-8), code reviews (zie maatregel B3-14) et cetera).

• Zorg dat configuratiebeheer is ingericht. • Er bestaat een actueel en volledig overzicht van wijzigingen met betrekking tot de (beveiligings)instellingen van de ICTinfrastructuur. • Van alle wijzigingen wordt de impact met betrekking tot informatiebeveiliging vastgesteld. • Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent. Bijvoorbeeld een beslissingsforum (Change Advisory Board (CAB)) • De voortgang van de afhandeling van wijzigingen wordt bewaakt. • Realisatie en implementatie van wijzigingen worden gepland en deze planningsgegevens worden gepubliceerd (changekalender). • Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk hierbij aan beheersprocedures en verantwoordelijkheden bij uitvoering van het terugvalscenario. De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen: • Zorg voor een actueel snapshot van de verschillende systemen. • Zorg dat systemen continue worden geaudit tegen de actuele snapshot (detecteren van wijzigingen). • Zorg dat het overzicht met auditregels (policy) en de snapshots onderdeel zijn van het proces wijzigingsbeheer. Webapplicaties worden getest voordat deze in de productie worden genomen: • Penetratietesten maken onderdeel uit van de testen (zie maatregel B0-8). • Als het gaat om standaardsoftware, Software-as-a-Service (SaaS) kan worden gedacht aan de volgende aandachtspunten: o Externe certificering van de extern ontwikkelde software. o Afspraken in het contract vastleggen om de software te mogen auditen. o Uitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregel B0-8) of blackbox scan (zie maatregel B3-15), om mogelijke kwetsbaarheden op te sporen.

48

B0-6 (B0-5 in ICTbeveiligingsrichtlijnen)

Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen.

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

B0-8

Penetratietests worden periodiek uitgevoerd.

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

• Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is geïmplementeerd en dat deze: is en dat deze o een eigenaar heeft; o een datum en versienummer heeft; o een historie bevat; o actueel is; o geaccordeerd door het management is. • Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden. • Zorg voor een actueel overzicht van de hoogst noodzakelijk services. • Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd. • Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

• Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogst noodzakelijke netwerkprotocollen. • Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

• Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen. • De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, te onderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen. • Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

• Pentests worden niet alleen bij nieuwbouw en wijzigingen uitgevoerd, maar moeten periodiek worden herhaald.

49

• Zorg dat configuratiebeheer is ingericht. • Zorg voor een technische implementatie van een updatemechanisme.

• Zorg dat vulnerability assessment periodiek worden herhaald.

B0-12

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer.

B0-13

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

• Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer). • Zorg voor een wachtwoordbeleid en technische maatregelen om sterke wachtwoorden af te dwingen. • De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. • Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten. • Zorg voor een actueel overzicht van personen die beheeraccounts hebben en dat dit overzicht continue wordt onderhouden. • Zorg voor een actueel overzicht van personen die een gebruikersaccount hebben en dat dit overzicht continue wordt onderhouden. • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van personen die beheeraccounts hebben. • Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie. • Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie. • (P/R) Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd. • Zorg voor een procedurebeschrijving met betrekking tot websitebeheer. • Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • Iedere website heeft een eigenaar.

50

• De zakelijke behoeften en beveiligingseisen moeten zijn gedocumenteerd. • Zorg dat het inrichtingsdocument/ontwerp onderdeel is van het proces wijzigingsbeheer. • Zorg voor een actueel overzicht van service accounts. • De data die door webapplicatie(s) wordt aangeboden, moet zijn geclassificeerd. • Iedere webapplicatie heeft een eigenaar (verantwoordelijke)

• De procedure aangaande het afvoeren/verwijderen van niet (meer) gebruikte websites en/of informatie verder uit te breiden en ook voor websites buiten de scope van de DigiD audit eigenaren te benoemen.

• Voer periodiek controles uit of de operationele websites nog worden gebruikt en/of informatie bevat die kan worden verwijderd.

B0-14

Leg afspraken met leveranciers vast in een overeenkomst.

B1-1

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

• Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd. • Zorg dat de verantwoordelijkheid van de DigiD richtlijnen van Logius in de overeenkomst zijn opgenomen. • De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld. • Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

51

• Zorg voor rapportages van de dienstleverancier over de geleverde dienstverlening

• De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ontwerp: o Welke webapplicaties worden ontsloten? o Welke informatie mag in de DMZ worden opgenomen? o Welke ondersteunende applicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk? o Welke IP-adressen worden gebruikt (NAT, DHCP)? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welk uitgaand verkeer vanaf de webserver is noodzakelijk? o Zijn aansluitvoorwaarden opgesteld? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

B1-2

Beheer- en productieverkeer zijn van elkaar gescheiden.

• De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

B1-3

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.

B2-1

Maak gebruik van veilige beheermechanismen.

• De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is. • Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken. • Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerd zijn.

52

• De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Welke ondersteunende beheerapplicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk in verband met het beheer? o Hoe wordt de storage en back-up infrastructuur ontsloten? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welke beheermechanismen worden toegepast? o Hoe krijgen beheerders toegang tot het beheergedeelte? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Hoe verloopt de interne/externe routering van webverkeer? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast. o Welke beheermechanismen worden toegepast. • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

B3-1

De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.

Penetratietest • Beschikken over de broncode van de programmatuur. Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-request op basis van ongewenste invoer: • Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. • De webapplicatie voert deze validatie uit op basis van: o Typecontrole (bijvoorbeeld string of integer). o Lengtecontrole o Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie) o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘az’) • In het geval de invoer niet voldoet aan één of meerdere van bovenstaande controles, weigert de webapplicatie deze invoer. Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer: • De webapplicatie filtert de invoer op basis van: o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’) o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’) o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’) • De filtering is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijn andere filters vereist dan voor het samenstellen van een LDAP-query. • In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van de blacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoer verder te gebruiken binnen de webapplicatielogica. De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt: • De webapplicatie voert escaping uit op de invoer na het toepassen van whitelists en eventueel blacklists. • De escaping is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt.

53



B3-2

De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft.

B3-3

De webapplicatie normaliseert invoerdata voor validatie.

B3-4

De webapplicatie codeert dynamische onderdelen in de uitvoer. Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde.

B3-5

B3-6

Penetratietest • Beschikken over de broncode van de programmatuur. • De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd. • Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: o Zijn formulierpagina’s voorzien van een dynamisch token; o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie. Penetratietest • Beschikken over de broncode van de programmatuur. Voorbeelden van normalisatie zijn: • Omzetten van NULL karakters naar spaties. • Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). • Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. • Verwijderen van overbodige spaties en regeleinden. • Verwijderen van onnodige witruimtes. • Omzetten van backslashes naar forward slashes • Omzetten van mixed case strings naar lower case strings. Penetratietest • Beschikken over de broncode van de programmatuur.



Penetratietest • Beschikken over de broncode van de programmatuur. • De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.



Penetratietest • Beschikken over de broncode van de programmatuur. • Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.



54





B3-7

B3-15

B3-16

De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

Penetratietest • Beschikken over de broncode van de programmatuur. • De webapplicatie maakt geen gebruik van dynamische file includes.



Penetratietest • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. Wanneer blackbox scans? Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is: • De frequentie dient vastgesteld te worden op basis van het risicoprofiel. • In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1). • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Opvolging • Er moet actie worden ondernomen indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. Penetratietest Het set cookie command bevat de secure flag en de HTTPOnly flag.

• Zorg voor afspraken, met de leverancier, over het uitvoeren van een blackbox scan.

55



B5-1

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

B5-2

Maak gebruik van versleutelde (HTTPS)verbindingen.

• Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd. o Hoe worden sleutels gegenereerd voor verschillende toepassingen? o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers toegang tot sleutels kunnen krijgen? o Hoe het wijzigen of actualiseren van sleutels moet geschieden? o Hoe wordt omgaan met sleutels die zij gecompromitteerd? o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? o Hoe sleutels worden gearchiveerd? o Hoe sleutels worden vernietigd? o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? o Welke minimale sleutellengtes moeten worden toegepast? o Welke encryptie-algoritmen moeten worden toegepast? • Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd. o maakt onderdeel uit van het standaard wijzigingsbeheerproces. • Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd. • De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): o waarom worden verbindingen door middel van SSL beveiligd; o welke verbindingen worden door middel van SSL beveiligd; o periodieke controle op het gebruik van SSL verbindingen. • Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

56





B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

B5-4

Versleutel cookies.

B7-1

Maak gebruik van Intrusion DetectionSystemen (IDS).

B7-8

Voer actief controles uit op logging.

B7-9

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens. • Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van de gevonden kwesties, de classificaties en de correctieve handelingen ondernomen). • Er moet een beleid met betrekking tot het toepassen van cookies zijn. • Er moeten procedures zijn met betrekking tot het beheren van cookies. • De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens. • De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend. • Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren en; o Er dient een informatiebeveiligingsplan opgesteld te worden. o Er dient een procesbeschrijving aanwezig te zijn ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

57











BIJLAGE E.

INITIËLE WEGINGSFACTOREN

Rekenmodel DigiD Intiële wegingsfactoren.xlsm



BIJLAGE F.

Normenkader Final.xlsx

FINALE NORMENKADER



BIJLAGE G.

Rekenmodel DigiD Final.xlsm

REKENMODEL



58

BIJLAGE E. INITIËLE WEGINGSFACTOREN - UITGEPRINT

Overzicht Norm B-05 B-06 B0-7 B0-8 B0-9 B0-12 B0-13 B0-14 B1-1 B1-2 B1-3 B2-1 B3-1 B3-2 B3-3 B3-4 B3-5 B3-6 B3-7 B3-15 B3-16 B5-1 B5-2 B5-3 B5-4 B7-1 B7-8 B7-9 Acceptatie

Opzet 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Bestaan 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

70 procent

Totaal 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd (P) Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief is geïmplementeerd.

Opzet Bestaan Opzet op orde Procesbeschrijving ten aanzien van wijzigingsbeheer. Procesbeschrijving is geaccordeerd op het juiste niveau en toegekend aan een verantwoordelijke functionaris. Stel vast adhv de procesbeschrijving dat: - het een eigenaar heeft; - deze is voorzien van een datum en versienummer; - een documenthistorie (wat, wanneer en door wie aangepast) is opgenomen; - deze actueel, juist en volledig is; - deze door het juiste (organisatorische) niveau vastgesteld/geaccordeerd is. (P) Alle wijzigingen worden op een gestructureerde Procedurebeschrijving ten aanzien van het Procedurebeschrijving is geaccordeerd op het juiste wijze geregistreerd. vastsleggen van wijzigingen. niveau en toegekend aan een verantwoordelijke functionaris. Stel vast dat wijzigingen gestructureerd zijn vastgelegd. (P) Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen.

Procesbeschrijving ten aanzien van wijzigingsbeheer Stel vast dat een lijst van functionarissen die beschrijft welke functionarissen wijzigingen mogen aanvragen mogen doen voor wijzigingen is opgenomen aanvragen. in de procedure en dat deze actueel is.

(P) Er worden alleen geautoriseerde Een beschrijving omtrent wijzigingsverzoeken en wijzigingsverzoeken (Request for Change (RFC)) in testen is opgenomen in de procesbeschrijving van behandeling genomen. wijzigingsbeheer.

(P) Gerealiseerde wijzigingen worden voor implementatie getest.

Stel vast dat voor één wijziging het proces is uitgevoerd conform de opgestelde procedurebeschrijving: - de wijziging is geautoriseerd alvorens deze in behandeling is genomen; - de wijziging is getest alvorens deze geïmplementeerd is; - de wijziging minimaal van ontwikkel- naar test- en productieomgeving is overgedragen met goedkeuring van de juiste persoon.

(C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving (OTAP). (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie).

Een procesbeschrijving betreft het overdragen van de Procedurebeschrijving is geaccordeerd op het juiste ene naar de andere omgeving. niveau en toegekend aan een verantwoordelijke functionaris.

(R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid.

Procesbeschrijving omtrent het periodiek monitoren van wijzigingen die zijn doorgevoerd.

Procedurebeschrijving is geaccordeerd op het juiste niveau en toegekend aan een verantwoordelijke functionaris. Stel vast dat periodiek de wijzigingen worden gemonitored/geëvalueerd.

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan

1

3

0

0

1

3

0

0

1

3

0

0

2

5

0

0

1

3

0

0

1

3

0

0

7

20

0 4.9

0 14

0

rood 0 0%

rood 0 0%

rood 0 0%

18.9

Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen (P) Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is geïmplementeerd en dat deze: o een eigenaar heeft; o een datum en versienummer heeft; o een historie bevat; o actueel is; o geaccordeerd op het juiste niveau.

Opzet Procesbeschrijving ten aanzien van hardeningsproces.

Bestaan Opzet op orde Procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat het hardeningsprocess voor alle relevante ICT-componenten geldt. Stel vast dat voor één ICT-component het proces is uitgevoerd conform de opgestelde procedurebeschrijving.

(P) Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden.

Procesbeschrijving ten aanzien van het actualiseren van het overzicht van de hoogst noodzakelijke netwerkprotocollen.

Procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van de hoogst noodzakelijke netwerkprotocollen.

(P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

Procesbeschrijving ten aanzien van het actualiseren van het overzicht van de hoogst noodzakelijk services.

Procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van de hoogst noodzakelijk services.

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan

2

5

0

0

1

3

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd.

Opzet Procesbeschrijving ten aanzien van patch management is opgesteld voor servers, databases, applicaties en firewalls.

Bestaan Opzet op orde De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat één patch het proces is uitgevoerd conform de opgestelde procedurebeschrijving. (P) Er moet een procedure zijn ingericht waarin staat Procesbeschrijving bevat een omschrijving van hoe de De procesbeschrijving is geaccordeerd op het juiste beschreven hoe de organisatie omgaat met updates: organisatie omgaat met updates: hoe snel niveau. hoe snel implementeert de organisatie een kritieke implementeert de organisatie een kritieke patch, welke patch, welke stadia moet de patch doorlopen, wie stadia moet de patch doorlopen, wie draagt de draagt de verantwoordelijkheid, et cetera? verantwoordelijkheid, et cetera?

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

1

3

0

0

3

8

0 2.1

0 5.6

0

rood 0 0%

rood 0 0%

rood 0 0%

7.7

Penetratietests worden periodiek uitgevoerd (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

1

3

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

10.5

Vulnerability assessments (security scans) worden periodiek uitgevoerd (P) Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, te onderzoeken IPadressen en/of type besturingssysteem), planning en kwaliteitseisen. (P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Opzet Procesbeschrijving ten aanzien van vulnerability assessments is opgesteld met een scopedefinitie.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Vulnerability assessment is volgens rapportageformat opgesteld.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van vulnerability assessments.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

1

3

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer).

Opzet Bestaan Beleidsdocument ten aanzien van toegangsbeveiliging Het beleid is geaccordeerd op het juiste niveau. is opgesteld.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

1

3

0

0

1

3

0

0

2

5

0

0

(P/C) Zorg voor een wachtwoordbeleid en technische Wachtwoordbeleid is opgesteld. maatregelen om sterke wachtwoorden af te dwingen.

Het beleid is geaccordeerd op het juiste niveau. Technische maatregelen om sterke wachtwoorden af te dwingen is volgens het beleid ingesteld.

(P/C) De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. (P) Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel en is op het juiste niveau geaccordeerd.

Inrichtingsdocument is opgesteld waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd.

Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van het identiteit- en toegangsbeheer is gebaseerd op het inrichtingsdocument. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer.

(P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten.

Een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten is opgesteld (in dienst, functiewijziging en uit dienst).

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat voor tenminste één (beheer)account het proces is uitgevoerd conform de opgestelde procesbeschrijving.

(P/A) Zorg voor een actueel overzicht van personen die beheeraccounts hebben en dat dit overzicht continue wordt onderhouden.

Een procesbeschrijving om beheeraccounts te onderhouden.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van personen die beheeraccounts hebben.

1

3

0

0

(P/A) Zorg voor een actueel overzicht van personen die een gebruikersaccount hebben en dat dit overzicht continue wordt onderhouden.

Een procesbeschrijving om gebruikersaccounts te onderhouden.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van personen die gebruikeraccounts hebben.

1

3

0

0

(R) Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van personen die beheeraccounts hebben.

Een procesbeschrijving om beheeraccounts periodiek te reviewen.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek toetsen of het systeem voldoet aan het overzicht van de personen die beheeraccounts hebben en nagaan of de accounts nog noodzakelijk zijn.

1

3

0

0

(P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie.

Een procesbeschrijving omtrent functies en rechten in de webapplicatie.

1

3

0

0

(P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie.

Een procesbeschrijving om autorisatie(S)/(-groepen) te De procesbeschrijving is geaccordeerd op het juiste onderhouden. niveau. Periodiek actualiseren van het overzicht van autorisaties voor de webapplicatie.

1

3

0

0

(P/R) Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties.

Een procesbeschrijving om gebruikaccounts periodiek te reviewen.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek toetsen of het systeem voldoet aan het overzicht van de gebruikeraccounts.

1

3

0

0

(R) Er moet aantoonbaar follow-up worden gegeven Een procesbeschrijving omtrent follow up indien in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

De procesbeschrijving is geaccordeerd op het juiste niveau. Aantoonbare follow up bij review controls.

1

3

0

0

12

35

0 8.4

0 24.5

0

rood 0 0%

rood 0 0%

rood 0 0%

De procedurebeschrijving is geaccordeerd op het juiste niveau. Stel middels een steekproef vast dat één account niet meer rechten heeft dan vereist voor het functioneren van de webapplicatie (bv. beheeraccounts).

32.9

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer.

Opzet Een procedurebeschrijving met betrekking tot websitebeheer.

Bestaan Opzet op orde Bestaan op orde De procedurebeschrijving is geaccordeerd op het juiste niveau.

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

Een procesbeschrijving om alle digitale producten Peridiek actualiseren van het overzicht van alle die via DigiD worden aangeboden te digitale producten incl. eigenaar die via DigiD onderhouden. worden aangeboden. Een actueel overzicht van alle digitale producten inclusief de eigenaar die via DigiD worden aangeboden in de procedurebeschrijving is opgenomen.

1

3

0

0

(R) Voer periodiek controles uit of de operationele websites nog Een procedurebeschrijving met betrekking tot een Periodieke toetsen of alle digitale producten die worden gebruikt en/of informatie bevat die kan worden periodieke controle op de inhoud van alle digitale via DigiD worden aangeboden actueel en verwijderd. producten die via DigiD aangeboden worden door relevant zijn. de eigenaren.

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

(P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. (P) Iedere website heeft een eigenaar.

Leg afspraken met leveranciers vast in een overeenkomst (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd.

Opzet Bestaan Een overeenkomst tussen de verschillende De overeenkomst is geaccordeerd op het partijen waarin de beveiligingseisen en -wensen juiste niveau. zijn vastgelegd.

(P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in de overeenkomst zijn opgenomen.

De verantwoordelijkheid van de DigiD normen De overeenkomst is geaccordeerd op het van Logius zijn opgenomen in de overeenkomst. juiste niveau.

(P) TPM verklaring

Indien van toepassing, stel vast dat: - een TPM verklaring aanwezig is.

Rapportages van de dienstleverancier over de geleverde dienstverlening - voldoen alle normen; - is de scope conform de scope in de overeenkomst.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan

1

3

0

0

2

5

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. (P/C) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. (C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld. (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de DMZ is gebaseerd op het inrichtingsdocument.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen zijn volgens het document ingesteld.

Stel vast dat het netwerk in verschillende compartimenten is opgedeeld. Stel vast dat de verkeersstromen tussen de compartimenten worden beperkt.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

1

3

0

0

2

5

0

0

2

5

0

0

6

16

0 4.2

0 11.2

0 15.4

rood 0 0%

rood 0 0%

rood 0 0%

Beheer- en productieverkeer zijn van elkaar gescheiden (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. (P) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. (P) Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de DMZ is gebaseerd op het inrichtingsdocument.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen is volgens het document ingesteld.

Stel vast dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B1-1

1

3

0

0

Hetzelfde als B1-1

2

5

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. (P) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. (P) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de DMZ is gebaseerd op het inrichtingsdocument.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen is volgens het document ingesteld.

Stel vast dat de netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B1-1

1

3

0

0

Hetzelfde als B1-1

2

5

0

0

4

11

0 2.8

0 7.7

0

rood 0 0%

rood 0 0%

rood 0 0%

10.5

Maak gebruik van veilige beheermechanismen (P) Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken.

Opzet Een procedurebeschrijving met betrekking tot beheermechnismen (bv. SSL verbinding, pincodefunctionaliteit, firewall rules, gescheiden LAN/WAN, poortafscherming) is opgesteld.

(P) Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerd zijn.

-

Bestaan De procedurebeschrijving is geaccordeerd op het juiste niveau.

Stel vast dat de beheermechnismen actief zijn.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(C) Validatie vindt plaats op in ieder geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTPheaders, XML en bestanden. - In het geval de invoer niet voldoet aan de type-, lengte-, formaat- en controle op valide karakters weigert de applicatie deze invoer. - Criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0 13.3

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat validatie plaatsvindt op de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. Stel vast als de invoer niet voldoet dat deze geweigerd wordt. Stel vast dat criteria is ingesteld om inhoud te filteren van een HTTP-request.

De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(C) Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: - zijn de waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd; - zijn de formulierpagina’s voorzien van een dynamisch token; - accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat de waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd; Stel vast dat de formulierpagina’s voorzien zijn van een dynamisch token; Stel vast dat de webapplicatie alleen verzoeken accepteert waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie.

13.3

De webapplicatie normaliseert invoerdata voor validatie (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(C) Normalisatie als: - Omzetten van NULL karakters naar spaties. - Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). - Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. - Verwijderen van overbodige spaties en regeleinden. - Verwijderen van onnodige witruimtes. - Omzetten van backslashes naar forward slashes - Omzetten van mixed case strings naar lower case strings.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat de webapplicatie de invoerdata voor validatie normaliseert als: - Omzetten van NULL karakters naar spaties. - Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). - Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. - Verwijderen van overbodige spaties en regeleinden. - Verwijderen van onnodige witruimtes. - Omzetten van backslashes naar forward slashes - Omzetten van mixed case strings naar lower case strings.

13.3

De webapplicatie codeert dynamische onderdelen in de uitvoer (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(C) Vaststellen dat de webapplicatie dynamische onderdelen in de uitvoer codeert.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat de webapplicatie dynamische onderdelen in de uitvoer codeert.

13.3

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries Opzet (P) Zorg voor een opdrachtomschrijving, Procesbeschrijving ten aanzien van penetratietests is scopedefinitie, planning en kwaliteitseisen. opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld. (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd. Stel vast dat de webapplicatie gebruik maakt van geparameteriseerde queries bij het benaderen van databases.

13.3

De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde Opzet (P) Zorg voor een opdrachtomschrijving, Procesbeschrijving ten aanzien van penetratietests is scopedefinitie, planning en kwaliteitseisen. opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld. (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. (C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd. Stel vast dat voor elke controle die de webapplicatie uitvoert aan de clientzijde, een equivalent aanwezig is aan de serverzijde.

13.3

De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting) (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(C) De webapplicatie maakt geen gebruik van dynamische file includes.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat de webapplicatie geen gebruik maakt van dynamische file includes.

13.3

Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van blackbox scan (tester zonder voorkennis gaat kijken of er kwetsbaardheden in de webapplicatie bestaan) is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Blackbox scan is volgens rapportageformat opgesteld.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van blackbox scan.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

2

5

0

0

1

3

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0

rood 0 0%

rood 0 0%

rood 0 0%

10.5

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’ (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Het set cookie command bevat de secure flag en de HTTPOnly flag.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

Pentest is volgens rapportageformat opgesteld.

Stel vast dat het set cookie command bevat de secure flag en de HTTPOnly flag.

13.3

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn (P) Procedure en procesbeschrijving rondom het beheer van certificaten. (P) Een inrichtingsdocument rondom het beheer van certificaten is opgesteld.

(C) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd.

Opzet Een procedurebeschrijving/inrichtingsdocument rondom het beheer van certificaten met de volgende details: - Hoe worden sleutels gegenereerd voor verschillende toepassingen? - Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? - Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers toegang tot sleutels kunnen krijgen? - Hoe het wijzigen of actualiseren van sleutels moet geschieden? - Hoe wordt omgaan met sleutels die zij gecompromitteerd? - Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? - Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? - Hoe sleutels worden gearchiveerd? - Hoe sleutels worden vernietigd? - Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? - Welke minimale sleutellengtes moeten worden toegepast? - Welke encryptie-algoritmen moeten worden toegepast?

Bestaan Opzet op orde De procesbeschrijving is geaccordeerd op het juiste niveau. Het inrichtingsdocument is geaccordeerd op het juiste niveau. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel (en maakt eventueel onderdeel van wijzigingsbeheer).

Stel vast dat sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd.

Bestaan op orde

Opzet

Bestaan

Score opzet

Score bestaan

1

3

0

0

2

5

0

0

3

8

0

0

0

2.1

5.6

7.7

rood 0 0%

rood 0 0%

rood 0 0%

Maak gebruik van versleutelde (HTTPS)verbindingen (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): - waarom worden verbindingen door middel van SSL beveiligd; - welke verbindingen worden door middel van SSL beveiligd; - periodieke controle op het gebruik van SSL verbindingen. (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

Opzet Een inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): - waarom worden verbindingen door middel van SSL beveiligd; - welke verbindingen worden door middel van SSL beveiligd; - periodieke controle op het gebruik van SSL verbindingen.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer en is actueel.

Stel vast in de configuratie van de webserver dat er een redirect plaats vindt van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

Opzet op orde

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Sla gevoelige gegevens versleuteld of gehashed op (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

Opzet Een document is opgesteld omtrent gevoelige informatie en de versleuteling van gegevens. (Criteria: wat is gevoelige informatie en hoe wordt dit geclassificeerd en versleuteld?)

Bestaan Het document is vastgesteld door management.

(P) Vaststellen dat een dataclassificatie analyse is Een procesbeschrijving is opgesteld over hoe de Stel vast dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van de gevonden dataclassificatie analyse uitgevoerdt dient te uitgevoerd op tenminste de gegevens die worden issues, de classificaties en de correctieve worden (stappenplan). gebruikt in de DigiD producten. handelingen ondernomen).

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Versleutel cookies (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn.

Opzet Bestaan Beleid met betrekking tot het toepassen van cookies. Beleid is geaccordeerd op het juiste niveau.

(P) Er moeten procedures zijn met betrekking tot het Een procedures zijn met betrekking tot het beheren beheren van cookies. van cookies.

De procedure is geaccordeerd op het juiste niveau.

(C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

Stel vast dat cookies versleuteld zijn.

Opzet op orde

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan

1

3

0

0

1

3

0

0

2

5

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Maak gebruik van Intrusion DetectionSystemen (IDS) (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van IDS is geplaatst volgens en gebaseerd op het inrichtingsdocument.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving omtrent IDS'en.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet

Score bestaan

2

5

0

0

1

3

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Voer actief controles uit op logging (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn.

Opzet Een procedure waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn is opgesteld.

Bestaan De procedure is geaccordeerd op het juiste niveau.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving omtrent controles op logging.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet

Score bestaan

2

5

0

0

1

3

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld (P) Geactualiseerd (organisatiebreed) informatiebeveiligingsbeleid

Opzet Een organisatiebreed informatiebeveiligingsbeleid is opgesteld.

Bestaan Een organisatiebreed informatiebeveiligingsbeleid is vastgesteld op het juiste niveau.

(P) Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend.

Het informatiebeveiligingsbeleid heeft een beschrijving met betrekking tot de beveiligingsorganisatie.

Stel vast dat functies, taken en bevoegdheden op het niveau van een functionaris zijn belegd.

(P) Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem.

Een procesbeschrijving van de totstandkoming Stel het proces vast voor het opstellen van het huidige informatiebeveiligingsbeleid. en/of actualiseren van het informatiebeveiligingsbeleid (denk aan de uitgevoerde risicoanalayse en de vastlegging van management overleg omtrent informatiebeveiliging).

- Er dient een informatiebeveiligingsplan opgesteld te worden.

Een recent informatiebeveiligingsplan is opgesteld.

(P) Er moet aantoonbaar follow-up worden gegeven in casu Een procedurebeschrijving ten aanzien van verbeteringen worden doorgevoerd indien log records op preventie, detectie en response inzake kwaadwillend misbruik duiden, geïmplementeerde beveiligingsincidenten. maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren en; Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

Stel vast dat een recent informatiebeveiligingsplan (incl. planning en prioriteiten) is vastgesteld op het juiste niveau. Een procedurebeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet

Bestaan

Score opzet

Score bestaan

2

5

0

0

1

3

0

0

1

3

0

0

2

5

0

0

1

3

0

0

7

19

0 4.9

0 13.3

0 18.2

rood 0 0%

rood 0 0%

rood 0 0%

NCSC

Bijlage F - Initiële Normenkader

Norea

Nr en beveiligingslaag

Doelstelling

Classificatie

Type maatregel

Bewijsvoering

Must haves (obv conform. eisen)

Toepasbaarheidgebied

Scope

Nadere toelichting

B0-5 (B0-6 in ICTbeveiligingsrichtlijnen)

Het garanderen van een correcte en veilige werking van ICT-voorzieningen door het op een gecontroleerde manier doorvoeren van wijzigingen.

Hoog

Algemene beveiligingsrichtlijnen

• Beschrijving van het configuratie- en wijzigingsbeheerproces. oheeft een eigenaar. o is voorzien van een datum en versienummer. obevat een documenthistorie (wat is wanneer en door wie aangepast). o is actueel, juist en volledig. o is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd. • Een overzicht met alle wijzigingsverzoeken inclusief autorisatie en impactanalyse met betrekking tot informatiebeveiliging. • De changekalender. (geautomatiseerde) Audit op wijzigingen: • Actueel overzicht met de auditregels (policy). • Procedurebeschrijving met betrekking tot het creëren en onderhouden van snapshots. • Resultaten van de uitgevoerde audits. Webapplicaties worden getest voordat deze in de productie worden genomen: • Acceptatiecriteria voor nieuwe systemen. • De datasets en testscripts die worden gebruikt om de tests uit te voeren. • De resultaten van de uitgevoerde tests. • De autorisatie dat de tests met goed gevolg zijn doorlopen en dat de wijziging in productie mag worden genomen. Ontwikkel, test, acceptatie en productieomgeving (OTAP): • Regels voor het overdragen van systemen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie).

• (P) Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief is geïmplementeerd. • (P) Alle wijzigingen worden op een gestructureerde wijze geregistreerd. • (P) Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen. • (P) Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling genomen. • (P) Gerealiseerde wijzigingen worden voor implementatie getest. • (R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid.

• Zorg dat configuratiebeheer is ingericht. Governance • Er bestaat een actueel en volledig overzicht van wijzigingen met betrekking tot de (beveiligings)instellingen van de ICT-infrastructuur. • Van alle wijzigingen wordt de impact met betrekking tot informatiebeveiliging vastgesteld. • Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent. Bijvoorbeeld een beslissingsforum (Change Advisory Board (CAB)) • De voortgang van de afhandeling van wijzigingen wordt bewaakt. • Realisatie en implementatie van wijzigingen worden gepland en deze Ontwikkel, test, acceptatie en productieomgeving (OTAP): planningsgegevens worden gepubliceerd (changekalender). • (C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving • Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk (OTAP). hierbij aan beheersprocedures en verantwoordelijkheden bij uitvoering • (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de van het terugvalscenario. ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie). De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen: • Zorg voor een actueel snapshot van de verschillende systemen. Webapplicaties worden getest voordat deze in de productie worden genomen: • Zorg dat systemen continue worden geaudit tegen de actuele • (P) Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijn snapshot (detecteren van wijzigingen). vastgesteld. • Zorg dat het overzicht met auditregels (policy) en de snapshots • (P) Wijzigingen worden getest voordat deze in productie worden genomen. onderdeel zijn van het proces wijzigingsbeheer. • (P) Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als de wijziging impact heeft op de informatiebeveiliging, is bepaald of er specifieke Webapplicaties worden getest voordat deze in de productie worden beveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (zie maatregel B0- genomen: 8), code reviews (zie maatregel B3-14) et cetera). • Penetratietesten maken onderdeel uit van de testen (zie maatregel B0-8). • Als het gaat om standaardsoftware, Software-as-a-Service (SaaS) kan worden gedacht aan de volgende aandachtspunten: o Externe certificering van de extern ontwikkelde software. oAfspraken in het contract vastleggen om de software te mogen auditen. oUitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregel B0-8) of blackbox scan (zie maatregel B3-15), om mogelijke kwetsbaarheden op te sporen.

Houder DigiD aansluiting, softwareleverancier, hostingpartij

De DigiD applicatie en de infrastructuur

De focus is het vaststellen dat het proces wijzigingsbeheer Interviews met verantwoordelijke functionarissen, zodanig is opgezet en geïmplementeerd dat alle wijzigingen beoordeling van proces documentatie, gerichte altijd eerst worden getest voordat deze in productie worden deelwaarneming op wijzigingen. genomen en via wijzigingsbeheer worden doorgevoerd.

B0-6 (B0-5 in ICTbeveiligingsrichtlijnen)

Het tot een minimum beperken van de kans dat onnodige faciliteiten op een systeem worden misbruikt.

Hoog

Algemene beveiligingsrichtlijnen

• Beschrijving van het hardeningsproces. oheeft een eigenaar. o is voorzien van een datum en versienummer. obevat een documenthistorie (wat is wanneer en door wie aangepast). o is actueel, juist en volledig. o is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd. • Een actueel overzicht van de hoogst noodzakelijk netwerkprotocollen is beschikbaar. • Een actueel overzicht van de hoogst noodzakelijk services is beschikbaar. • Statusoverzicht van de toets of het systeem voldoet aan het overzicht van de hoogst noodzakelijk netwerkprotocollen. • Een overzicht van de door de eigenaar van de webapplicatie en beveiligingsfunctionaris geaccepteerde afwijkingen.

• (P) Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is geïmplementeerd en dat deze: is en dat deze o een eigenaar heeft; o een datum en versienummer heeft; o een historie bevat; o actueel is; o geaccordeerd door het management is. • (P) Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden. • (P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

• Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogst noodzakelijke netwerkprotocollen. • Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers en de route naar het internet

De focus is op het hardeningsproces. Onderdeel hiervan is een security baseline voor de systemen. De hardening van internet facing systemen dient strak te zijn geregeld: alles wat open staat moet een reden hebben en alles wat open staat moet secure wordeen aangeboden. De hardening van interne systemen mag minder stringent. Wel moeten de management functies moeten secure zijn, er geen onveilige protocollen worden gebruikt, default passwords zijn gewijzigd, voorbeeld applicaties na default install zijn verwijdern , etc

Interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten.

B0-7

Alle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting van kwetsbaarheden voor te zijn. Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren.

Hoog

Algemene beveiligingsrichtlijnen

• Beschrijving van het configuratie en patchmanagementproces. Deze procesbeschrijving: oheeft een eigenaar. o is voorzien van een datum en versienummer. obevat een documenthistorie (wat is wanneer en door wie aangepast). o is actueel, juist en volledig. o is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd. • Een actueel overzicht van systemen die in productie draaien maar niet meer worden ondersteund.

• (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd. • (P) Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

• Zorg dat configuratiebeheer is ingericht. Infra-proces • Zorg voor een technische implementatie van een updatemechanisme.

Hosting-partij

Het netwerksegment met de DigiD webservers en de route naar het internet

De focus is op het patchingproces. De patching proces kan gedifferentieerd zijn naar OS en netwerk. Een maandelijks patching cycles is aanvaardbaar tenzij er security alerts zijn. Voor internet facing systemen dienen de laatste stabiele beveiligingspatches te zijn geïnstalleerd. Indien patching niet mogelijk is in verband met oudere applicatie, zal dit risico moeten zijn afgewogen.

Interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten.

B0-8

Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie).

Hoog

Algemene beveiligingsrichtlijnen

• Planning. • Opdrachtomschrijving(en) met daarin een heldere onderzoeksvraag. • Scopedefinitie(s) met daarin het object van onderzoek. • Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten. • Rapportages met de resultaten van de pentest(s). • Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

• (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen. • Pentests worden niet alleen bij nieuwbouw en wijzigingen uitgevoerd, Infra-Pentest • (P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk maar moeten periodiek worden herhaald. is aangegeven welke informatie de rapportage moet bevatten. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Softwareleverancier, hosting-partij

DigiD applicatie en het IP adres van de DigiD applicatie

De pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. De externe blackbox/greybox infrastructuur penetratietest dient zich ten minste gericht hebben op de hardening en patching van systemen, het via internet benaderbare management interfaces, het gebruik van zwakke encryptie, het gebruik van onveilige protocollen en de kwetsbaarheid voor publiekelijk bekende exploits. De greybox/whitebox applicatiescan dient industry standaards zoals de OWASP top 10, de SANS top 25 en de WASC te omvatten. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een plan op te stellen.

Evaluatie van de pentesten en de scope van de penetratietest, zo nodig review van het pentest-dossier, analyse van de uitkomsten van penetratietesten, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan.

B0-9

Inzicht hebben in de mate waarin de ICTomgeving bekende kwetsbaarheden en Zwakheden bevat, zodat deze waar mogelijk weggenomen kunnen worden.

Hoog

Algemene beveiligingsrichtlijnen

• Een planning wanneer reguliere vulnerability assessment worden uitgevoerd met daarin duidelijk het object van onderzoek omschreven. • Het rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten. • Rapportages met de resultaten van de vulnerability assessments. • Een plan met daarin opgenomen welke activiteiten worden uitgevoerd en wie verantwoordelijk is om de gedetecteerde kwetsbaarheden en zwakheden te verhelpen.

• (P) Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, te • Zorg dat vulnerability assessment periodiek worden herhaald. onderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen. • (P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Infra-Pentest

Hosting-partij

Het netwerksegment met de DigiD webservers

De interne greybox/whitebox vulnerability scan pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. De is een netwerk based scan dient zich ten minste te hebben gericht op de hardening en patching van systemen en het detecteren van mogelijke kwetsbaarheden van deze systemen. Naar aanleiding van de resultaten van de penetratietest dient de organisatie een herstelplan op te stellen.

Evaluatie van de pentester en de scope van de vulnerability assessment, zo nodig review van het dossier, analyse van de uitkomsten van vulnerability assessment, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan.

B0-12

Voorkom ongeautoriseerde toegang tot netwerken, besturingssystemen, informatie en informatiesystemen en diensten, zodat schade bij misbruik zo beperkt mogelijk is.

Hoog

Algemene beveiligingsrichtlijnen

• (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer). • (P/C) Zorg voor een wachtwoordbeleid en technische maatregelen om sterke wachtwoorden af te dwingen. • (P/C) De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. • (P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten. • (P/A) Zorg voor een actueel overzicht van personen die beheeraccounts hebben en dat dit overzicht continue wordt onderhouden. • (P/A) Zorg voor een actueel overzicht van personen die een gebruikersaccount hebben en dat dit overzicht continue wordt onderhouden. • (R) Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van personen die beheeraccounts hebben. • (P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie. • (P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie. • (P/R) Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties. • (R) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • (P) Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd.

• De zakelijke behoeften en beveiligingseisen moeten zijn gedocumenteerd. • Zorg dat het inrichtingsdocument/ontwerp onderdeel is van het proces wijzigingsbeheer. • Zorg voor een actueel overzicht van service accounts. • De data die door webapplicatie(s) wordt aangeboden, moet zijn geclassificeerd. • Iedere webapplicatie heeft een eigenaar (verantwoordelijke)

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers

De focus ligt op het beheerproces(sen). Dit betreft enerzijds toegang tot de DigiD-applicatie (naast de DigiD geauthenticeerde gebruikers) en anderszijds toegang tot DigiD webservers, de routers en de firewalls. Aandachtpunten hierbij zijn wachtwoordinstellingen, joiners/movers/leavers, administrator accounts, shared accounts en periodieke review.

Interview met de verantwoordelijke functionarissen, beoordeling van documentatie, inspectie van configuratie documentatie, inspectie van periodieke reviews en gerichte deelwaarnemingen .

B0-13

Voorkom misbruik van ‘oude’ en niet meer Hoog gebruikte websites en/of informatie.

Algemene beveiligingsrichtlijnen

• De procedure aangaande het afvoeren/verwijderen van niet (meer) gebruikte websites en/of informatie verder uit te breiden en ook voor websites buiten de scope van de DigiD audit eigenaren te benoemen.

Governance

Houder DigiD aansluiting

DigiD-webservers Deze beveiligingsrichtlijn dient procesmatig te worden benaderd. Er dient een overzicht (of CMDB) zijn van de websites. Elke website moet een eigenaar hebben die verantwoordelijk is dat niet meer gebruikte websites en/of informatie die niet meer wordt gebruikt wordt verwijderd. Daarnaast dient minimaal jaarlijks een controle te worden uitgevoerd of de operationele websites nog worden gebruikt en/of informatie bevat daadwerkelijk is verwijderd.

• Overzicht van websites die operationeel zijn inclusief de eigenaar van • (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer. de websites. • (P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. • (P) Iedere website heeft een eigenaar. • (P) Voer periodiek controles uit of de operationele websites nog worden gebruikt en/of informatie bevat die kan worden verwijderd.

Should haves (obv conform. eisen)

Type:

Uit te voeren werkzaamheden - Norea

Interviews met verantwoordelijke functionarissen, inspectie van de CMDB, inspectie van de laatste controle op de relevantie van de website en/of informatie op de website en analyse van de uitkomsten van penetratietesten.

B0-14

Het handhaven van het beveiligingsniveau, Hoog wanneer de verantwoordelijkheid voor de ontwikkeling van de webapplicatie en/of beheer van de webapplicatie is uitbesteed aan een andere organisatie.

Algemene beveiligingsrichtlijnen

• De overeenkomst. • Rapportages van de dienstleverancier over de geleverde dienstverlening • Mits van toepassing: Rapportages over uitgevoerde audits, tests, certificeringen.

• (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd. • (P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in de overeenkomst zijn opgenomen.

• Zorg voor rapportages van de dienstleverancier over de geleverde dienstverlening

B1-1

Voorkom of beperk de risico’s van een aanval door het scheiden van componenten waaraan verschillende beveiligingsniveaus (betrouwbaarheidseisen) worden gesteld.

Hoog

Netwerkbeveiliging

• Het DMZ-inrichtingsdocument/ontwerp waarin minimaal de aandachtspunten zijn geadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • (C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld. • (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

Voorkom rechtstreekse toegang tot het interne netwerk vanaf het internet door het toepassen van compartimentering en het controleren van de verkeersstromen tussen deze compartimenten.

Governance

Houder DigiD aansluiting

Softwareleveranci Aandachtspunten die in de overeenkomst geadresseerd er en hostingmoeten worden zijn beschreven in de ICTpartij Beveiligingsrichtlijnen voor webapplicaties deel 2 van NCSC.

Interviews met verantwoordelijke functionarissen en beoordeling van de overeenkomsten met leveranciers.

• De plaatsing van servers en aansluiting van interne Infra-proces netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ontwerp: o Welke webapplicaties worden ontsloten? o Welke informatie mag in de DMZ worden opgenomen? o Welke ondersteunende applicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk? o Welke IP-adressen worden gebruikt (NAT, DHCP)? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welk uitgaand verkeer vanaf de webserver is noodzakelijk? o Zijn aansluitvoorwaarden opgesteld? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Hosting-partij

De Demilittarised Door middel minimaal van 2 (virtuele) firewalls worden Interviews met verantwoordelijke functionarissen, inspectie Zone (DMZ) waar verkeersstromen tussen het internet, de (web)applicaties in van netwerkschema's, inspectie van configuratiefiles en de DigiD het DMZ en het interne netwerk tot een minimum beperkt. analyse van de uitkomsten van penetratietesten. applicatie zich bevindt

B1-2

Voorkom dat misbruik kan worden gemaakt van de beheervoorzieningen vanaf het internet.

Hoog

Netwerkbeveiliging

• Het DMZ-inrichtingsdocument/ontwerp met daarin minimaal de aandachtspunten geadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • (C) Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

• De plaatsing van servers en aansluiting van interne Infra-proces netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Welke ondersteunende beheerapplicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk in verband met het beheer? o Hoe wordt de storage en back-up infrastructuur ontsloten? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welke beheermechanismen worden toegepast? o Hoe krijgen beheerders toegang tot het beheergedeelte? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Hosting-partij

De Demilittarised Door middel van fysieke scheiding, VPN verbindingen of Zone (DMZ) waar VLANs is beheer en productieverkeer van elkaar de DigiD gescheiden. applicatie zich bevindt

Interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten.

B1-3

Voorkom (nieuwe) beveiligingsrisico’s Hoog omdat de webapplicaties ook bereikbaar moeten zijn vanaf het interne netwerk voor gebruikers binnen de organisaties.

Netwerkbeveiliging

• Het DMZ-inrichtingsdocument/ontwerp met daarin minimaal de aandachtspunten geadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de DMZ. Deze ontwerp en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • (C) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

• De plaatsing van servers en aansluiting van interne Infra-proces netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp: o Hoe verloopt de interne/externe routering van webverkeer? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast. o Welke beheermechanismen worden toegepast. • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Hosting-partij

DMZ

Het netwerkverkeer tot de DigiD webservers dient op de gelijke wijze te worden gefilterd als verkeer vanuit het externe netwerk.

Interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten.

B2-1

Voorkom misbruik van beheervoorzieningen.

Netwerkbeveiliging

• Procedurebeschrijving met betrekking tot beheermechanismen.

• (P) Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken. • (C) Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerd zijn.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers DMZ

Dit betreft het gebruik van veilige netwerkprotocollen, beheerinterfaces via het internet uitsluitend door middel van strong authentication te benaderen zijn en er geen gebruik wordt gemaakt van backdoors om de systemen te benaderen (ook niet voor noodtoegang).

Interviews met verantwoordelijke functionarissen, beoordeling van de procedurebeschrijving met betrekking tot beheermechanismen, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten.

B3-1

Voorkom het verlies, wijziging of misbruik Hoog van gegevens door onbetrouwbare (malafide) invoer. Voorkom dat de applicatielogica wordt beïnvloed.

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-request op basis van ongewenste invoer: • (C) Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. • (C) De webapplicatie voert deze validatie uit op basis van: o Typecontrole (bijvoorbeeld string of integer). o Lengtecontrole o Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie) o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘a-z’) • (C) In het geval de invoer niet voldoet aan één of meerdere van bovenstaande controles, weigert de webapplicatie deze invoer.

Appli-scan

Softwareleverancier

DigiD applicatie

Validaties van de HTTP-request omvatten onder meer het type, lenge en formaat van de invoer, maar ook de XML protocollen als JSON SOAP REST.

Observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de verschillende invoermethodes te identificeren. Gerichte deelwaarneming op invoervelden waarbij, met behulp van een applicatie scanning tools de validatie aan de server zijde van de verschillende invoermethodes wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

Hoog

Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer: • (C) De webapplicatie filtert de invoer op basis van: o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’) o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’) o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’) • (C) De filtering is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijn andere filters vereist dan voor het samenstellen van een LDAP-query. • (C) In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van de blacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoer verder te gebruiken binnen de webapplicatielogica. De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt: • (C) De webapplicatie voert escaping uit op de invoer na het toepassen van whitelists en eventueel blacklists. • (C) De escaping is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt.

B3-2

Valideer de initiator van een HTTP-request Hoog teneinde te voorkomen dat kwaadwillenden transacties uit naam van een valide gebruiker uitvoeren.

Applicatiebeveiliging

• Het is niet mogelijk om een cookie te gebruiken vanaf een IP-adres anders dan het IP-adres aan wie het cookie verstrekt is. • Het is niet mogelijk om transacties voor gevalideerde gebruikers uit te voeren vanaf een andere website dan de website waarop de gebruiker is gevalideerd. • Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd. • (C) Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: o Zijn formulierpagina’s voorzien van een dynamisch token; o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie.

Appli-scan

Softwareleverancier

DigiD applicatie

De web applicatie moet ervoor zorgen dat er verdediging tegen Cross Site Request Forgery (CSRF) en horizontale en verticale escalatie privileges is ingebouwd. Tevens spreekt NCSC in deze controle van IP adres koppelen aan sessies/cookies. Echter, dit laatste wordt niet toegepast door industrie en kan achterwege worden gelaten.

Gerichte deelwaarneming op webpagina's (change state request) waarbij, met behulp van een applicatie scanning tools, waarbij de mogelijkheid tot CSRF wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

B3-3

Normaliseer alle invoerdata voor deze te valideren om te voorkomen dat filteringmechanismen ongewenste patronen niet herkennen.

Hoog

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. Voorbeelden van normalisatie zijn: • (C) Omzetten van NULL karakters naar spaties. • (C) Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). • (C) Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. • (C) Verwijderen van overbodige spaties en regeleinden. • (C) Verwijderen van onnodige witruimtes. • (C) Omzetten van backslashes naar forward slashes • (C) Omzetten van mixed case strings naar lower case strings.

Appli-scan

Softwareleverancier

DigiD applicatie

De webapplicatie normaliseert invoerdata voor validatie waaronder non-printable tekens, null-byte injection, XPath injection en Code injection.

Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de normalisatie aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

B3-4

Codeer dynamische onderdelen van de uitvoer zodat er geen ongewenste tekens in de uitvoer terecht komen.

Hoog

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur.

Appli-scan

Softwareleverancier

DigiD applicatie

Om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirect test hiervoor is het invoeren van speciale karakters (zoals < > ' " & /) en de uitvoer te analyseren.

Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waabij de verwerking van speciale karakters aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

B3-5

Verklein de kans op SQL-injectie aanvallen.

Hoog

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.

Appli-scan

Softwareleverancier

DigiD applicatie

Om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirect test hiervoor is met SQL injection.

Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de SQL injectie aan de server zijde worden getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

B3-6

Voorkom dat controles kunnen worden omzeild.

Hoog

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.

Appli-scan

Softwareleverancier

DigiD applicatie

Afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4 en B3-5

B3-7

Voorkom dat ongewenste bestanden worden geïncorporeerd in een webapplicatie.

Hoog

Applicatiebeveiliging

Het vaststellen is goed mogelijk, als je betrokken bent bij het ontwikkeltraject en/of beschikt over de broncode van de programmatuur, door het uitvoeren van code reviews.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) De webapplicatie maakt geen gebruik van dynamische file includes.

Appli-scan

Softwareleverancier

DigiD applicatie

Om deze beveiligingsrichtlijn volledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICT-beveiligingsassessment. Een indirecte test hiervoor is het testen op file includes als php, phpx, asp, aspx, jsp, jhtml, py en pl. Daarnaast vormen ook file uploads met code een risico, zoals .bat .com .exe .vbs .bas .so files die getest moeten worden.

B3-15

Testen of er kwetsbaarheden in de webapplicatie bestaan.

Hoog

Applicatiebeveiliging

Documentatie waaruit blijkt: • dat er een blackbox scan is uitgevoerd. • de bevindingen/rapportage van de blackbox scan. • plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Penetratietest • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Appli-scan

Softwareleverancier

DigiD applicatie

Afgedekt bij het testen van maatregelen B0-8

Appli-scan

Softwareleverancier

DigiD applicatie

Verifieer dat alle sessie cookies ‘HttpOnly’ en ‘Secure’

• Zorg voor afspraken, met de leverancier, over het uitvoeren van een blackbox scan.

Observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de file uploads te identificeren. Gerichte deelwaarneming op file uploads waarbi het uploaden van mogelijk ongeschikte file type wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

Wanneer blackbox scans? Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is: • De frequentie dient vastgesteld te worden op basis van het risicoprofiel. • In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1). • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Opvolging • Er moet actie worden ondernomen indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

B3-16

Voorkom dat cookie communicatie kan Hoog worden afgeluisterd. Voorkom dat cookies gestolen kunnen worden via cross site scripting.

Applicatiebeveiliging

• Code review. • Code principes (programmeer conventies). • Documentatie.

Penetratietest (P) Het set cookie command bevat de secure flag en de HTTPOnly flag.

B5-1

Doelmatig gebruik van cryptografische technieken door het beheren van cryptografische sleutels.

Hoog

Vertrouwelijkheid en onweerlegbaarheid

• Procedure en procesbeschrijving rondom het beheer van certificaten. • (P) Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd. • inrichtingsdocument/ontwerp. o Hoe worden sleutels gegenereerd voor verschillende toepassingen? o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers toegang tot sleutels kunnen krijgen? o Hoe het wijzigen of actualiseren van sleutels moet geschieden? o Hoe wordt omgaan met sleutels die zij gecompromitteerd? o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? o Hoe sleutels worden gearchiveerd? o Hoe sleutels worden vernietigd? o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? o Welke minimale sleutellengtes moeten worden toegepast? o Welke encryptie-algoritmen moeten worden toegepast? • (P) Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd. o maakt onderdeel uit van het standaard wijzigingsbeheerproces. • (P) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd.

Infra-proces

Hosting-partij

DigiD infrastructuur

De prive sleutels behorende bij de de SSL certificaten mogen niet onversleuteld op de server zijn opgeslagen.

B5-2

Voorkom misbruik van (vertrouwelijke) gegevens die tijdens transport zijn onderschept.

Hoog

Vertrouwelijkheid en onweerlegbaarheid

• In de ontwerp- c.q. configuratie documentatie is vastgelegd hoe de webserver is geconfigureerd met betrekking tot versleutelde verbindingen (SSL/TLS). • De zakelijke behoeften en beveiligingseisen. Rapportage van de risicoanalyse waarop de beslissing is gebaseerd. • Configuratie van de webserver

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): o waarom worden verbindingen door middel van SSL beveiligd; o welke verbindingen worden door middel van SSL beveiligd; o periodieke controle op het gebruik van SSL verbindingen. • (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

Infra-proces

Softwareleverancier

DigiD applicatie

Alle gevoelige (zoals in het kader van de WBS) informatie Observeer het protocol van de verbinding bij het verwerken moet via een versleutelde verbinden worden verzonden. Bij van gevoelige gegevens. Evalueer de kwaliteit van encryptie voorkeur zou na de DigiD authenticatie de hele sessie vie met de industrie standaards. een versleutelde verbinding moeten plaats vinden.

B5-3

Voorkom misbruik van opgeslagen vertrouwelijke gegevens.

Hoog

Vertrouwelijkheid en onweerlegbaarheid

(P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens. • (P) Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van de gevonden issues, de classificaties en de correctieve handelingen ondernomen).

Infra-proces

Houder DigiD aansluiting, softwareleverancier

DigiD applicatie

De organisatie moet zelf een analyse uitvoeren om te bepalen wat gevoelige gegevens zijn. Gedacht moet worden aan gevoelige gegevens in het kader van de WBP en anderzijds wachtwoorden en dergelijke.

Interview met de verantwoordelijke functionaris, beoordeling van documentatie en observeer dat gevoelige gegevens versleuteld zijn opgeslagen.

B5-4

Voorkom dat kwaadwillende de inhoud van Hoog cookies kunnen inzien en/of aanpassen, zodat de vertrouwelijkheid en integriteit van de inhoud van het cookie wordt gewaarborgd.

Vertrouwelijkheid en onweerlegbaarheid

• Beleidsdocument • Procedurebeschrijving

• (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn. • (P) Er moeten procedures zijn met betrekking tot het beheren van cookies. • (C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

Appli-scan

Softwareleverancier

DigiD applicatie

Sessiecookies moeten worden versleuteld

Observeer of tijdens het aanmaken van een cookie een beveiligde verbinding wordt gebruikt

B7-1

Detecteren van aanvallen op webapplicaties.

Hoog

Monitoring, auditing en alerting

• In de ontwerp- c.q. configuratie documentatie is vastgelegd waar en hoe IDS’en worden ingezet. • De zakelijke behoeften en maatregelen. Rapportage van de risicoanalyse waarop de beslissing is gebaseerd. • Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien log records op kwaadwillend misbruik, duiden geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Infra-proces

Hosting-partij

Het Intrusion detection systeem moet zijn geïnstalleerd en netwerksegment ingericht en er dient een beheerprocedure te zijn ingericht met de DigiD webservers en de route naar het internet

Interview met de verantwoodelijke functionarissen, inspectie van inrichtingsdocumentatie en inspectie van follow-up acties naar aanleiding van alerts

B7-8

Het detecteren van misbruik en inbraakpogingen.

Hoog

Monitoring, auditing en alerting

• Procedurebeschrijving met daarin beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn. • Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

• (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Infra-proces

Hosting-partij

Het netwerksegment met de DigiD webservers en de route naar het internet

Interview met de verantwoordelijke functionarissen, beoordeling van procedurebeschrijving, inspectie van rapportages uit de logging en inspectie van follow-up acties naar aanleiding van incidenten

B7-9

Het managen van de informatiebeveiliging Hoog binnen de organisatie

Monitoring, auditing en alerting

• Procedurebeschrijving hoe functies en verantwoordelijkheden voor de beveiliging worden toegewezen. • Overzicht welke functies en verantwoordelijkheden aan wie zijn toegekend. • Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

• Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend. • Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren en; o Er dient een informatiebeveiligingsplan opgesteld te worden. o Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

Governance

Houder DigiD aansluiting, softwareleverancier, hostingpartij

Informatiebeveiligi De governance-scope moet breed worden geïnterpreteerd ng binnen de en niet uitsluitend in het kader van DigiD organisatie

Identificeer de cookies en inspecteer het ‘HttpOnly’ en ‘Secure’ van de cookies. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8).

De controle op de logging zou met name gericht moeten zijn op de ondersteuning van het change management process. Wijzigingen op de infrastructuur, netwerkconfiguratie en applicatie moeten worden gesignaleerd en zodat geverifieerd kan worden dat wijzigingen op de juiste wijze door het wijzigingsproces zijn gegaan.

Interview met de verantwoordelijke functionarissen, beoordeling van documentatie en observeer dat prive sleutels niet oversleuteld op de server staan.

Interview met de verantwoordelijke functionarissen en beoordeling van documentatie

Bijlage F - Final Normenkader Nr en Norm beveiligingsl aag

Doelstelling

Must haves (obv conform. eisen)

Should haves (obv conform. eisen)

Commentaar Edwin van Egmond

B0-5 (B0-6 in ICTbeveiligingsri chtlijnen)

Het garanderen van een correcte en veilige werking van ICT-voorzieningen door het op een gecontroleerde manier doorvoeren van wijzigingen.

• (P) Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief is geïmplementeerd. • (P) Alle wijzigingen worden op een gestructureerde wijze geregistreerd. • (P) Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen. • (P) Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling genomen. • Van alle wijzigingen wordt een impactanalyse uitvoerd en vastgesteld. • (P) Gerealiseerde wijzigingen worden voor implementatie getest. • (R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid. • (P) Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk hierbij aan beheersprocedures en verantwoordelijkheden bij uitvoering van het terugvalscenario.

• Zorg dat configuratiebeheer is ingericht. • Er bestaat een actueel en volledig overzicht van wijzigingen met betrekking tot de (beveiligings)instellingen van de ICT-infrastructuur. • Van alle wijzigingen wordt de impact met betrekking tot informatiebeveiliging vastgesteld. • Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent. Bijvoorbeeld een beslissingsforum (Change Advisory Board (CAB)) • De voortgang van de afhandeling van wijzigingen wordt bewaakt. • Realisatie en implementatie van wijzigingen worden gepland en deze planningsgegevens worden gepubliceerd (changekalender).

Beschrijf concreet wat de stappen zijn die je verwacht onder het change management proces bijvoorbeeld zoals beschreven staat in de PCI requirements (impact analyse, goedkeuring van geauthoriseerde partij, functionaliteit testen en een back-out procedure hebben).

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.

De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen: • Zorg voor een actueel snapshot van de verschillende systemen. Ontwikkel (indien in huis wordt ontwikkeld), test, (acceptatie) en productieomgeving • Zorg dat systemen continue worden geaudit tegen de actuele snapshot (detecteren van (OT(A)P): wijzigingen). • (C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving • Zorg dat het overzicht met auditregels (policy) en de snapshots onderdeel zijn van het (OT(A)P). proces wijzigingsbeheer. • (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie Webapplicaties worden getest voordat deze in de productie worden genomen: en van acceptatie naar productie). • Penetratietesten maken onderdeel uit van de testen (zie maatregel B0-8). • Als het gaat om standaardsoftware, Software-as-a-Service (SaaS) kan worden gedacht aan Webapplicaties worden getest voordat deze in de productie worden genomen: de volgende aandachtspunten: • (P) Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijn o Externe certificering van de extern ontwikkelde software. vastgesteld. oAfspraken in het contract vastleggen om de software te mogen auditen. • (P) Wijzigingen worden getest voordat deze in productie worden genomen. oUitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregel B0-8) of blackbox • (P) Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als de scan (zie maatregel B3-15), om mogelijke kwetsbaarheden op te sporen. wijziging impact heeft op de informatiebeveiliging, is bepaald of er specifieke beveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (zie • Na elke wijziging wordt een vulnerability scan uitgevoerd (zie norm B0-9). maatregel B0-8), code reviews (zie maatregel B3-14) et cetera).

Voor webbased applicaties zijn vulnerabilityscans verplicht na het doorvoeren van change (PCI recuirements) doordat je wijzigingen aanbrengt kunnen er kwetsbaarheden en bedreigingen ontstaan. OTAP requirement is niet altijd mogelijk, aangezien voor DigiD de ontwikkeling vaak buiten de deur wordt gedaan. Wat je als minimaal vereiste moet hebben is een test- en productieserver. Actuele snapshot van de verschillende systemen is iets wat meer bij backup moet terugkomen en niet bij change management. Monitoren van ongeautoriseerde wijzigingen is een tijdrovende zaak en financieel niet haalbaar voor veel organisaties die een DigiD hebben. Momenteel komt het jaarlijks updaten van de documentatie terug in een norm. Maak documentatie updaten onderdeel van change management.

• (P) Alle procedures, werkinstructies en netwerk diagrammen moeten periodiek geupdate worden en lopen via het change management procedure.

B0-6 (B0-5 in ICTbeveiligingsri chtlijnen)

Maak gebruik van een Het tot een minimum beperken van de kans hardeningsproces, zodat alle dat onnodige faciliteiten op een systeem ICT-componenten zijn worden misbruikt. gehard tegen aanvallen.

• (P) Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief is • Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. geïmplementeerd en dat deze: • Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogst is en dat deze noodzakelijke netwerkprotocollen. o een eigenaar heeft; o een datum en versienummer heeft; o een historie bevat; o actueel is; o geaccordeerd door het management is. • (P) Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen en dat dit overzicht continue wordt onderhouden. • (P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

Afwijkingen moeten gelijk geregistreerd worden als security incidenten, zodat deze serieus opgepakt worden door de eigenaar van de webapplicatie of een beveiligingsfunctionaris. Er worden namelijk te weinig security incidenten geregistreerd.

• (P) Zorg voor een beschrijving van de hardening standaard voor alle type systeem componenten en dat dit consistent is met de industrie geaccepteerde hardening standaard. Deze hardening standaard moet bij nieuwe vulnerabilities geupdate worden. • Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

B0-7

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd.

Alle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting van kwetsbaarheden voor te zijn. Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren.

• (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd. • (P) Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatie omgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welke stadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

In deze norm is het element met betrekking tot documentatie van de hardening standaard niet opgenomen. Deze dient conform de whitepapers van de verschillende componenten leveranciers (bv. Microsoft, Cisco etc) te zijn. Dit soort organisaties hebben al goed nagedacht over hoe zulke componenten ingericht moeten worden om ze zo veilig mogelijk te maken (denk bijv aan dat een windows machine de laatste security update moet bevatten alvorens deze in productie wordt genomen). Het hardeningsdocument moet bij nieuwe gevonden vulnerabilities geupdate worden.

• Zorg dat configuratiebeheer is ingericht. • Zorg voor een technische implementatie van een updatemechanisme.

• Zorg dat het patchmanagementproces onderdeel is van het proces wijzigingsbeheer (zie B-05). B0-8

B0-9

Vulnerability assessments (security scans) worden periodiek uitgevoerd.

Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie).

• (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen. • (P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • (P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Implementeer een methodologie voor penetratietesten die de volgende zaken bevat: Is gebaseerd op een industrie geaccepteerde penetratie test aanpak (bv. NIST SP800-115). - dekking voor de gehele CDE perimeter en kritische systemen. - testen van zowel binnen als buiten het netwerk. - testen om alle segmentaties en scope verkleinende controls te valideren. - de op te nemen applicatielaag penetratietesten, op zijn minst, de huidige industrie best practices lijst met kwetsbaarheden (let op: neem altijd de laatste updates van bijvoorbeeld de OWASP Guide, SANS CWE Top 25, CERT Secure Coding, etc.). - de netwerk-laag penetratietests met de componenten die netwerkfuncties evenals ondersteunende besturingssystemen. (P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan - reviews en afwegingen van bedreigingen en kwetsbaarheden die in de afgelopen 12 moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd. maanden zijn geweest. -specificatie van hoe penetratietesten resultaten en remediation resultaten worden behouden.

De methodology van de penetration test moet beschreven worden, dat gaat iets verder als de kwaliteitseisen. Hiermee geef je aan wat zijn de kaders van een goede penetratietest.

Inzicht hebben in de mate waarin de ICTomgeving bekende kwetsbaarheden en Zwakheden bevat, zodat deze waar mogelijk weggenomen kunnen worden.

• (P) Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, te onderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen. • (P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Vulnerability scans zijn goed in (de cloud) te richten, waarbij data er naar toe wordt verstuurd en na de scan krijgt men een rapport. De scopedefinitie van de vulnerabilitty assessment moet DigiD zijn en dan gaat het met name om kwetsbaarheden die van buitenaf komen. De vulnerability scan moet periodiek uitgevoerd worden (kwartaalijks en na grote wijzigingen). Als het resultaat van de vulnerability scan grote kwetsbaarheden / bedreigingen (bv. level 5) heeft aangetoond, dan moet na de problemen te hebben opgelost een nieuwe vulnerability scan gedraaid worden.

De penetratietest moet jaarlijks uitgevoerd worden. Als het resultaat van de pentest grote kwetsbaarheden / bedreigingen (bv. level 5) heeft aangetoond, dan moet na de problemen te hebben opgelost een nieuwe penetratietest gedraaid worden.

• Zorg dat vulnerability assessment periodiek (4x per jaar en na elke wijziging) worden herhaald. (P) Als het resultaat van een vulnerability scan de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe vulnerability scan worden uitgevoerd.

B0-12

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer.

Voorkom ongeautoriseerde toegang tot netwerken, besturingssystemen, informatie en informatiesystemen en -diensten, zodat schade bij misbruik zo beperkt mogelijk is.

• (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer). • (P/C) Zorg voor een wachtwoordbeleid en technische maatregelen om sterke wachtwoorden af te dwingen. • (P/C) De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. • (P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten. • (P/A) Zorg voor een actueel overzicht van personen die beheeraccounts hebben en dat dit overzicht continue wordt onderhouden. • (P/A) Zorg voor een actueel overzicht van personen die een gebruikersaccount hebben en dat dit overzicht continue wordt onderhouden. • (R) Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van personen die beheeraccounts hebben. • (P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie. • (P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie. • (P/R) Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties. • (R) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. • (P) Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd.

• De zakelijke behoeften en beveiligingseisen moeten zijn gedocumenteerd. • Zorg dat het inrichtingsdocument/ontwerp onderdeel is van het proces wijzigingsbeheer. • Zorg voor een actueel overzicht van service accounts. • De data die door webapplicatie(s) wordt aangeboden, moet zijn geclassificeerd. • Iedere webapplicatie heeft een eigenaar (verantwoordelijke)

Geen op- of aanmerkingen.

B0-13

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.

Voorkom misbruik van ‘oude’ en niet meer gebruikte websites en/of informatie.

• (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer. • De procedure aangaande het afvoeren/verwijderen van niet (meer) gebruikte websites en/of Geen op- of aanmerkingen. • (P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat informatie verder uit te breiden en ook voor websites buiten de scope van de DigiD audit dit overzicht onderdeel is van het proces wijzigingsbeheer. eigenaren te benoemen. • (P) Iedere website heeft een eigenaar. • (P) Voer periodiek controles uit of de operationele websites nog worden gebruikt en/of informatie bevat die kan worden verwijderd.

B0-14

Leg afspraken met leveranciers vast in een overeenkomst.

Het handhaven van het beveiligingsniveau, wanneer de verantwoordelijkheid voor de ontwikkeling van de webapplicatie en/of beheer van de webapplicatie is uitbesteed aan een andere organisatie.

• (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd.

• Zorg voor rapportages van de dienstleverancier over de geleverde dienstverlening

Als de verantwoordlijkheid van een van de DigiD normen bij de leverancier ligt dan dient men ook in de contract de compliancy verantwoordelijkheid op te nemen. De leverancier dient dan een TPM verklaring af te geven waarin wordt aangegeven dat zij voldoen aan de gestelde eisen.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. (Interne IP adressen dienen geheim te blijven, niemand kan zomaar de routepaden of firewall rules aanpassen.) • (C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld. • (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

• De volgende aandachtspunten moeten worden geadresseerd in het DMZinrichtingsdocument/ontwerp: o Welke webapplicaties worden ontsloten? o Welke informatie mag in de DMZ worden opgenomen? o Welke ondersteunende applicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk? o Welke IP-adressen worden gebruikt (NAT, DHCP)? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welk uitgaand verkeer vanaf de webserver is noodzakelijk? o Zijn aansluitvoorwaarden opgesteld? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Er moet breder gekeken worden dan alleen naar de DMZ. DMZ alleen daartussen zetten is achterhaalde technologie. Het belangrijkst is dat er beveiliging is aangebracht tussen het internet en het interne LAN, daarom moet je naar de gehele infrastructuur kijken. Een netwerktekening van de gehele infrastructuur moet daarom een must have zijn om te zien of er globaal voldoende beveiliging aanwezig is. Een schematische weergave van de servers en interne componenten netwerkkoppelingen dient een must have te zijn. De beveiligingsinstellingen zijn belangrijk en dienen zorgvuldig ingesteld te worden (zie de aandachtspunten in de should haves). Het is ook belangrijk om de interne IP adressen geheim te houden en dat de routepaden of firewall rules niet zomaar aangepast kunnen worden.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. (Interne IP adressen dienen geheim te blijven, niemand kan zomaar de routepaden of firewall rules aanpassen.) • (C) Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn (middels OOB of het zoveel mogelijk dichtzetten dat 1 machine er maar toegang tot heeft).

• De volgende aandachtspunten moeten worden geadresseerd in het DMZinrichtingsdocument/ ontwerp: o Welke ondersteunende beheerapplicaties zijn noodzakelijk? o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijn noodzakelijk in verband met het beheer? o Hoe wordt de storage en back-up infrastructuur ontsloten? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast? o Welke beheermechanismen worden toegepast? o Hoe krijgen beheerders toegang tot het beheergedeelte? • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Maak gebruik van de Out of Bounce (OOB) om misbruik van de beheervoorzieningen vanaf het internet te voorkomen. Een gedeelte waar alleen beheerders bij kunnen. En alleen vanuit deze kant kun je vanaf de achterkant de management poorten en andere zaken beheren. Een schematische weergave van de servers en interne componenten netwerkkoppelingen dient een must have te zijn. Voor kleinere organisaties die geen OOB kunnen inzetten, moet alles zo veel mogelijk dichtzetten middels rule sets en dat alleen 1 machine erbij kan. Alle beheerapplicaties moeten op een plek staan en de toegang moet alleen voor beheerders zijn.

(P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in de overeenkomst zijn opgenomen. (P) In de overeenkomst is opgenomen dat de leverancier een compliance verplichting heeft voor de DigiD normen waar ze verantwoordelijk voor zijn. Dit dient middels een TPM verklaring aantoonbaar worden gesteld. B1-1

B1-2

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

Voorkom of beperk de risico’s van een aanval door het scheiden van componenten waaraan verschillende beveiligingsniveaus (betrouwbaarheidseisen) worden gesteld. Voorkom rechtstreekse toegang tot het interne netwerk vanaf het internet door het toepassen van compartimentering en het controleren van de verkeersstromen tussen deze compartimenten.

Beheer- en productieverkeer Voorkom dat misbruik kan worden gemaakt zijn van elkaar gescheiden. van de beheervoorzieningen vanaf het internet.

Groene tekst= 'should have' maatregel is omgezet naar een 'must have' maatregel Bruine tekst= toevoeging van een nieuwe geintroduceerde must have/should have die initieel niet aanwezig was. Rode tekst= maatregel behoort niet bij het onderwerp.

B1-3

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.

Voorkom (nieuwe) beveiligingsrisico’s omdat de webapplicaties ook bereikbaar moeten zijn vanaf het interne netwerk voor gebruikers binnen de organisaties.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord. • De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald. • (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen. • (C) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is (via 1 externe toegangspoort).

B2-1

Maak gebruik van veilige beheermechanismen.

Voorkom misbruik van beheervoorzieningen. • (P) Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken. • (C) Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerd zijn.

Maak een aparte segment aan met een out of bounce en een toolserver voor de beheertools hierdoor kun je alleen vanaf hier toegang krijgen tot de managementpoorten en voorkom je misbruik van de beheervoorzieningen.

B3-1

De webapplicatie valideert de inhoud van een HTTPrequest voor die wordt gebruikt.

Voorkom het verlies, wijziging of misbruik van gegevens door onbetrouwbare (malafide) invoer. Voorkom dat de applicatielogica wordt beïnvloed.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

• De volgende aandachtspunten moeten worden geadresseerd in het DMZinrichtingsdocument/ ontwerp: o Hoe verloopt de interne/externe routering van webverkeer? o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen worden toegepast. o Welke beheermechanismen worden toegepast. • Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveau vastgesteld.

Penetratietest • Beschikken over de broncode van de programmatuur. Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-request op basis van ongewenste invoer: • (C) Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. • (C) De webapplicatie voert deze validatie uit op basis van: o Typecontrole (bijvoorbeeld string of integer). o Lengtecontrole o Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie) o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘a-z’) • (C) In het geval de invoer niet voldoet aan één of meerdere van bovenstaande controles, weigert de webapplicatie deze invoer.

Hier is het belangrijk dat iedereen vanaf 1 punt toegang krijgt tot de applicatie voor zowel intern als extern om de beveiligingsrisico's te minimaliseren. Geef daarom iedereen toegang om vanuit 1 kant die server te benaderen. Een schematische weergave van de servers en interne componenten netwerkkoppelingen dient een must have te zijn.

Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer: • (C) De webapplicatie filtert de invoer op basis van: o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’) o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’) o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’) • (C) De filtering is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijn andere filters vereist dan voor het samenstellen van een LDAP-query. • (C) In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van de blacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoer verder te gebruiken binnen de webapplicatielogica. De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt: • (C) De webapplicatie voert escaping uit op de invoer na het toepassen van whitelists en eventueel blacklists. • (C) De escaping is toegespitst op de programmaonderdelen waarin de invoer wordt verwerkt.

B3-2

De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.

B3-3

Valideer de initiator van een HTTP-request teneinde te voorkomen dat kwaadwillenden transacties uit naam van een valide gebruiker uitvoeren.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd. • (C) Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: o Zijn formulierpagina’s voorzien van een dynamisch token; o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Refererheader overeenkomt met de URL van de betreffende webapplicatie.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

De webapplicatie Normaliseer alle invoerdata voor deze te normaliseert invoerdata voor valideren om te voorkomen dat validatie. filteringmechanismen ongewenste patronen niet herkennen.

Penetratietest • Beschikken over de broncode van de programmatuur. Voorbeelden van normalisatie zijn: • (C) Omzetten van NULL karakters naar spaties. • (C) Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). • (C) Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. • (C) Verwijderen van overbodige spaties en regeleinden. • (C) Verwijderen van onnodige witruimtes. • (C) Omzetten van backslashes naar forward slashes • (C) Omzetten van mixed case strings naar lower case strings.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

B3-4

De webapplicatie codeert dynamische onderdelen in de uitvoer.

Penetratietest • Beschikken over de broncode van de programmatuur.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

B3-5

Voor het raadplegen en/of Verklein de kans op SQL-injectie aanvallen. wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

B3-6

De webapplicatie valideert Voorkom dat controles kunnen worden alle invoer, gegevens die aan omzeild. de webapplicatie worden aangeboden, aan de serverzijde.

Penetratietest • Beschikken over de broncode van de programmatuur. • (C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

B3-7

De webapplicatie staat geen Voorkom dat ongewenste bestanden worden Penetratietest dynamische file includes toe geïncorporeerd in een webapplicatie. • Beschikken over de broncode van de programmatuur. of beperkt de keuze • (C) De webapplicatie maakt geen gebruik van dynamische file includes. mogelijkheid (whitelisting).

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

B3-15

Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

Codeer dynamische onderdelen van de uitvoer zodat er geen ongewenste tekens in de uitvoer terecht komen.

Testen of er kwetsbaarheden in de webapplicatie bestaan.

Penetratietest • Zorg voor afspraken, met de leverancier, over het uitvoeren van een blackbox scan. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. Wanneer blackbox scans? Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is: • De frequentie dient vastgesteld te worden op basis van het risicoprofiel. • In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1). • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Opvolging • Er moet actie worden ondernomen indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

B3-16

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.

Voorkom dat cookie communicatie kan worden afgeluisterd. Voorkom dat cookies gestolen kunnen worden via cross site scripting.

B5-1

Voer sleutelbeheer in waarbij Doelmatig gebruik van cryptografische minimaal gegarandeerd technieken door het beheren van wordt dat sleutels niet cryptografische sleutels. onversleuteld op de servers te vinden zijn.

Penetratietest (P) Het set cookie command bevat de secure flag en de HTTPOnly flag.

Deze punten horen allemaal bij de penetratietest. Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt, dan dekken de elementen het beoogde risico al niet meer.

• (P) Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd. o Hoe worden sleutels gegenereerd voor verschillende toepassingen? o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers toegang tot sleutels kunnen krijgen? o Hoe het wijzigen of actualiseren van sleutels moet geschieden? o Hoe wordt omgaan met sleutels die zij gecompromitteerd? o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? o Hoe sleutels worden gearchiveerd? o Hoe sleutels worden vernietigd? o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? o Welke minimale sleutellengtes moeten worden toegepast? o Welke encryptie-algoritmen moeten worden toegepast? • (P) Het inrichtingsdocument/ontwerp: o heeft een eigenaar. o is voorzien van een datum en versienummer. o is actueel. o is op het juiste niveau geaccordeerd. o maakt onderdeel uit van het standaard wijzigingsbeheerproces. • (P) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd.

Kijk naar PCI voor het inrichten van een sleutelbeheerproces (3.5 t/m #.7).

B5-2

Maak gebruik van versleutelde (HTTPS)verbindingen.

Voorkom misbruik van (vertrouwelijke) gegevens die tijdens transport zijn onderschept.

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): o waarom worden verbindingen door middel van SSL beveiligd; o welke verbindingen worden door middel van SSL beveiligd; o periodieke controle op het gebruik van SSL verbindingen. • (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

B5-3

Sla gevoelige gegevens versleuteld of gehashed op.

Voorkom misbruik van opgeslagen vertrouwelijke gegevens.

(P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens. • (P) Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van de gevonden issues, de classificaties en de correctieve handelingen ondernomen).

B5-4

Versleutel cookies.

Voorkom dat kwaadwillende de inhoud van cookies kunnen inzien en/of aanpassen, zodat de vertrouwelijkheid en integriteit van de inhoud van het cookie wordt gewaarborgd.

• (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn. • (P) Er moeten procedures zijn met betrekking tot het beheren van cookies. • (C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

B7-1

Maak gebruik van Intrusion DetectionSystemen (IDS).

Detecteren van aanvallen op webapplicaties. • (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Documenteer en creëer procedures om sleutels te beschermen die gebruikt worden om opgeslagen informatie te beveiligen tegen openbaarmaking en misbruik. Volledig documenteren en implementeren van alle key-management processen en procedures voor cryptografische sleutels die worden gebruikt voor encryptie van gegevens van informatie.

Een organisatie moet definieren wat gevoelige informatie is en hoe men deze informatie classificeert. Want een risicoanalyse en dataclassificatie bepalen of het gebruik van DigiD voor een product vereist moet zijn. Daarnaast kun je een classificatie uitvoeren voor intern als extern.

Als een organisatie IDS heeft ingericht dan moet men dit goed monitoren en waar nodig is aanpassen. Probleem hier is dat dit systeem niet goed te monitoren is omdat de log bekijken een tijdrovend proces is.

B7-8

Voer actief controles uit op logging.

Het detecteren van misbruik en inbraakpogingen.

• (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn. • (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren. Er moet een forensich onderzoek procedure aanwezig zijn als er misbruik is gemaakt of een procedure betreft wat men gaat doen als er veelvuldige inbraakpogingen zijn gedaan.

B7-9

Governance, organisatie, Het managen van de informatiebeveiliging rollen en bevoegdheden binnen de organisatie inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

• Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend. • Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem. • Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren en; o Er dient een informatiebeveiligingsplan opgesteld te worden. o Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

Het is belangrijk dat men goed nadenkt waar de controles op uitgevoerd gaan worden. Men kan namelijk niet alles monitoren. Daarnaast moet men weten wat men gaat doen als men misbruik of inbraakpoging heeft gedetecteerd. Bijv. Forensich onderzoek procedure of via de firewall zaken dichtzetten.

BIJLAGE G. FINALE NORMENKADER EN REKENMODEL

Overzicht Norm B-05 B-06 B0-7 B0-8 B0-9 B0-12 B0-13 B0-14 B1-1 B1-2 B1-3 B2-1 B3-1 B3-2 B3-3 B3-4 B3-5 B3-6 B3-7 B3-15 B3-16 B5-1 B5-2 B5-3 B5-4 B7-1 B7-8 B7-9 Acceptatie

Opzet 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Bestaan 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

70 procent

Totaal 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd Opzet (P) Zorg voor een procesbeschrijving van Procesbeschrijving ten aanzien van wijzigingsbeheer. wijzigingsbeheer en dat dit proces effectief is geïmplementeerd.

(P) Alle wijzigingen worden op een gestructureerde wijze geregistreerd.

Procedurebeschrijving ten aanzien van het vastsleggen Procedurebeschrijving is geaccordeerd op het juiste van wijzigingen. niveau en toegekend aan een verantwoordelijke functionaris. Stel vast dat wijzigingen gestructureerd zijn vastgelegd.

(P) Er is vastgelegd welke functionarissen wijzigingen Procesbeschrijving ten aanzien van wijzigingsbeheer mogen aanvragen. beschrijft welke functionarissen wijzigingen mogen aanvragen. (P) Er moet een impactanalyse uitgevoerd worden.

(P) Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling genomen.

Bestaan Procesbeschrijving is geaccordeerd op het juiste niveau en toegekend aan een verantwoordelijke functionaris. Stel vast adhv de procesbeschrijving dat: - het een eigenaar heeft; - deze is voorzien van een datum en versienummer; - een documenthistorie (wat, wanneer en door wie aangepast) is opgenomen; - deze actueel, juist en volledig is; - deze door het juiste (organisatorische) niveau vastgesteld/geaccordeerd is.

Stel vast dat een lijst van functionarissen die aanvragen mogen doen voor wijzigingen is opgenomen in de procedure en dat deze actueel is.

Opzet op orde

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan Aangepast van default score naar hoge score. Voor change management is het belangrijk dat er wordt beschreven hoe het proces verloopt (incl. de volgende 5 stappen: impact analyse, goedkeuring van geauthoriseerde partij, functionaliteit testen en een back-out procedure hebben).

2

5

0

0

1

3

0

0

1

3

0

0

2

5

0

0

1

3

0

0

1

3

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

Een beschrijving omtrent wijzigingsverzoeken en testen Stel vast dat voor één wijziging het proces is uitgevoerd is opgenomen in de procesbeschrijving van conform de opgestelde procedurebeschrijving: wijzigingsbeheer. - er is een impactanalyse voor de wijziging uitgevoerd; - de wijziging is geautoriseerd alvorens deze in behandeling is genomen; - de wijziging is getest alvorens deze geïmplementeerd is; - de wijziging minimaal van ontwikkel- naar test- en productieomgeving is overgedragen met goedkeuring van de juiste persoon; - er is een terugvalscenarion opgesteld. Toevoeging

(P) Gerealiseerde wijzigingen worden voor implementatie getest.

(P) Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk hierbij aan beheersprocedures en verantwoordelijkheden bij uitvoering van het terugvalscenario. (C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productie- omgeving (OTAP). (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en van acceptatie naar productie).

Een procesbeschrijving betreft het overdragen van de ene naar de andere omgeving.

Procedurebeschrijving is geaccordeerd op het juiste niveau en toegekend aan een verantwoordelijke functionaris.

(R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid.

Procesbeschrijving omtrent het periodiek monitoren van Procedurebeschrijving is geaccordeerd op het juiste wijzigingen die zijn doorgevoerd. niveau en toegekend aan een verantwoordelijke functionaris. Stel vast dat periodiek de wijzigingen worden gemonitored/geëvalueerd.

21

Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen Opzet (P) Zorg voor een beschrijving van het Procesbeschrijving ten aanzien van hardeningsproces. hardeningsproces en dat dit proces effectief is geïmplementeerd en dat deze: o een eigenaar heeft; o een datum en versienummer heeft; o een historie bevat; o actueel is; o geaccordeerd op het juiste niveau.

Bestaan Opzet op orde Procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat het hardeningsprocess voor alle relevante ICT-componenten geldt. Stel vast dat voor één ICT-component het proces is uitgevoerd conform de opgestelde procedurebeschrijving.

Bestaan op orde

Opzet Bestaan

Score opzet

Score bestaan

2

5

0

0

2

5

0

0

(P) Zorg voor een beschrijving van de hardening Hardeningsdocument is gedocumenteerd inclusief de standaard voor alle type systeem componenten en afwijkingen. dat dit consistent is met de industrie geaccepteerde hardening standaard. Deze hardening standaard moet bij nieuwe vulnerabilities geupdate worden. Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar van de webapplicatie en beveiligingsfunctionaris.

Procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat het hardeningsdocument actueel is en volgens de standaard van de leverancier is beschreven.

(P) Zorg voor een actueel overzicht van de hoogst Procesbeschrijving ten aanzien van het actualiseren noodzakelijke netwerkprotocollen en dat dit overzicht van het overzicht van de hoogst noodzakelijke continue wordt onderhouden. netwerkprotocollen.

Procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van de hoogst noodzakelijke netwerkprotocollen.

1

3

0

0

Procesbeschrijving ten aanzien van het actualiseren Procesbeschrijving is geaccordeerd op het juiste niveau. van het overzicht van de hoogst noodzakelijk services. Periodiek actualiseren van het overzicht van de hoogst noodzakelijk services.

1

3

0

0

6

16

0 4.2

0 11.2

0 15.4

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging

(P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proces effectief is geïmplementeerd.

Opzet Procesbeschrijving ten aanzien van patch management is opgesteld voor servers, databases, applicaties en firewalls en onderdeel van het change management proces. (P) Er moet een procedure zijn ingericht waarin Procesbeschrijving bevat een omschrijving van hoe staat beschreven hoe de organisatie omgaat met de organisatie omgaat met updates: hoe snel updates: hoe snel implementeert de organisatie een implementeert de organisatie een kritieke patch, kritieke patch, welke stadia moet de patch welke stadia moet de patch doorlopen, wie draagt de doorlopen, wie draagt de verantwoordelijkheid, et verantwoordelijkheid, et cetera? cetera?

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat één patch het proces is uitgevoerd conform de opgestelde procedurebeschrijving. De procesbeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0 Toevoeging

1

3

0

0

3

8

0 2.1

0 5.6

0

rood 0 0%

rood 0 0%

rood 0 0%

7.7

Penetratietests worden periodiek uitgevoerd (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests. (P) Als het resultaat van een pentest de hoogst Procesbeschrijving ten aanzien van het opnieuw mogelijke score heeft behaald dan moet nadat de uitvoeren van een penetratietest nadat de gevonden bevindingen zijn opgelost een nieuwe penetratietest bevindingen met de hoogst mogelijke score zijn worden uitgevoerd. opgelost.

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

1

3

0

0

2

5

0

0

Pentest is volgens rapportageformat opgesteld.

(P) Pentests worden niet alleen bij nieuwbouw en bij Procesbeschrijving waarin wordt aangegeven dat een De procesbeschrijving is geaccordeerd op het juiste grote wijzigingen uitgevoerd, maar moeten periodiek pentest minimaal 1x per jaar wordt uitgevoerd. niveau. (jaarlijks) worden herhaald. Stel vast dat er in het jaar een penetratietest is uitgevoerd. (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Opzet op orde

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd. Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

Toevoeging

1

3

0

0

1

3

0

0

7

19

0 4.9

0 13.3

0

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging 18.2

Vulnerability assessments (security scans) worden periodiek uitgevoerd Opzet (P) Zorg voor een scopedefinitie (denk hierbij aan Procesbeschrijving ten aanzien van vulnerability host- of netwerkgebaseerde VA, te onderzoeken IP- assessments is opgesteld met een scopedefinitie. adressen en/of type besturingssysteem), planning en kwaliteitseisen.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Vulnerability assessment is volgens rapportageformat opgesteld.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

1

3

0

0

5

0

0

(P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in een rapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten. (P) Vulnerability scan worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Procesbeschrijving waarin wordt aangegeven dat een De procesbeschrijving is geaccordeerd op het juiste pentest minimaal 4x per jaar wordt uitgevoerd. niveau. Stel vast dat er 4x in het jaar een vulnerability scan is uitgevoerd.

2

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van vulnerability assessments.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

1

3

0

0

(P) Als het resultaat van een vulnerability scan de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe vulnerability scan worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

1

3

0

0

7

19

0 4.9

0 13.3

0 18.2

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging

Toevoeging

Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- en toegangsbeheer).

Opzet Bestaan Beleidsdocument ten aanzien van toegangsbeveiliging Het beleid is geaccordeerd op het juiste niveau. is opgesteld.

(P/C) Zorg voor een wachtwoordbeleid en technische Wachtwoordbeleid is opgesteld. maatregelen om sterke wachtwoorden af te dwingen.

Het beleid is geaccordeerd op het juiste niveau. Technische maatregelen om sterke wachtwoorden af te dwingen is volgens het beleid ingesteld.

(P/C) De inrichting van het identiteit- en toegangsbeheer is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd. (P) Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel en is op het juiste niveau geaccordeerd.

Inrichtingsdocument is opgesteld waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd.

Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van het identiteit- en toegangsbeheer is gebaseerd op het inrichtingsdocument. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer.

(P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten.

Een procedurebeschrijving met betrekking tot toegangsbeveiliging voor identiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen, informatiesystemen, informatie en -diensten is opgesteld (in dienst, functiewijziging en uit dienst).

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat voor tenminste één (beheer)account het proces is uitgevoerd conform de opgestelde procesbeschrijving.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

2

5

0

0

1

3

0

0

2

5

0

0

(P/A) Zorg voor een actueel overzicht van personen Een procesbeschrijving om beheeraccounts te die beheeraccounts hebben en dat dit overzicht onderhouden. continue wordt onderhouden.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van personen die beheeraccounts hebben.

1

3

0

0

(P/A) Zorg voor een actueel overzicht van personen Een procesbeschrijving om gebruikersaccounts te die een gebruikersaccount hebben en dat dit onderhouden. overzicht continue wordt onderhouden.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek actualiseren van het overzicht van personen die gebruikeraccounts hebben.

1

3

0

0

(R) Zorg dat periodiek wordt getoetst of het systeem Een procesbeschrijving om beheeraccounts periodiek voldoet aan het overzicht van personen die te reviewen. beheeraccounts hebben.

De procesbeschrijving is geaccordeerd op het juiste niveau. Periodiek toetsen of het systeem voldoet aan het overzicht van de personen die beheeraccounts hebben en nagaan of de accounts nog noodzakelijk zijn.

1

3

0

0

1

3

0

0

(P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereist voor het functioneren van de webapplicatie.

Een procesbeschrijving omtrent functies en rechten in De procedurebeschrijving is geaccordeerd op het juiste de webapplicatie. niveau. Stel middels een steekproef vast dat één account niet meer rechten heeft dan vereist voor het functioneren van de webapplicatie (bv. beheeraccounts).

Wachtwoordbeleid verhoogd van de default score naar de hoogste score.

(P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie.

Een procesbeschrijving om autorisatie(S)/(-groepen) te De procesbeschrijving is geaccordeerd op het juiste onderhouden. niveau. Periodiek actualiseren van het overzicht van autorisaties voor de webapplicatie.

1

3

0

0

(P/R) Er moet een procesbeschrijving zijn voor het controleren van de gebruikersaccounts en de bijbehorende autorisaties.

Een procesbeschrijving om gebruikaccounts periodiek De procesbeschrijving is geaccordeerd op het juiste te reviewen. niveau. Periodiek toetsen of het systeem voldoet aan het overzicht van de gebruikeraccounts.

1

3

0

0

(R) Er moet aantoonbaar follow-up worden gegeven Een procesbeschrijving omtrent follow up indien De procesbeschrijving is geaccordeerd op het juiste in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de niveau. geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen Aantoonbare follow up bij review controls. gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

1

3

0

0

13

37

0 9.1

0 25.9

0

rood 0 0%

rood 0 0%

rood 0 0%

35

Niet (meer) gebruikte websites en/of informatie moet worden verwijderd (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer.

Opzet Een procedurebeschrijving met betrekking tot websitebeheer.

Bestaan Opzet op orde Bestaan op orde De procedurebeschrijving is geaccordeerd op het juiste niveau.

Opzet Bestaan Score opzet Score bestaan 2

5

0

0

Een procesbeschrijving om alle digitale producten Peridiek actualiseren van het overzicht van alle die via DigiD worden aangeboden te digitale producten incl. eigenaar die via DigiD onderhouden. worden aangeboden. Een actueel overzicht van alle digitale producten inclusief de eigenaar die via DigiD worden aangeboden in de procedurebeschrijving is opgenomen.

1

3

0

0

(R) Voer periodiek controles uit of de operationele websites nog Een procedurebeschrijving met betrekking tot een Periodieke toetsen of alle digitale producten die worden gebruikt en/of informatie bevat die kan worden periodieke controle op de inhoud van alle digitale via DigiD worden aangeboden actueel en verwijderd. producten die via DigiD aangeboden worden door relevant zijn. de eigenaren.

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

(P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer. (P) Iedere website heeft een eigenaar.

Leg afspraken met leveranciers vast in een overeenkomst (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd.

Opzet Bestaan Een overeenkomst tussen de verschillende De overeenkomst is geaccordeerd op het partijen waarin de beveiligingseisen en -wensen juiste niveau. zijn vastgelegd.

(P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in de overeenkomst zijn opgenomen.

De verantwoordelijkheid van de DigiD normen De overeenkomst is geaccordeerd op het van Logius zijn opgenomen in de overeenkomst. juiste niveau.

(P) In de overeenkomst is opgenomen dat de leverancier een compliance verplichting heeft voor de DigiD normen waar ze verantwoordelijk voor zijn. Dit dient middels een TPM verklaring aantoonbaar worden gesteld.

Indien van toepassing, stel vast dat: - een TPM verklaring aanwezig is.

Rapportages van de dienstleverancier over de geleverde dienstverlening - voldoen alle normen; - is de scope conform de scope in de overeenkomst.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan

1

3

0

0

2

5

0

0

1

3

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de hele infrastructuur.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de hele infrastructuur is gebaseerd op het inrichtingsdocument.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

1

3

0

0

Toevoeging (P) De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICTinfrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald.

Documentatie waarin duidelijk en schematisch de plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken is weergegeven.

Het inrichtingsdocument is geaccordeerd op het juiste niveau.

(P/C) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen zijn volgens het document ingesteld.

1

3

0

0

Toevoeging

(C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld. (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

Stel vast dat het netwerk in verschillende compartimenten is opgedeeld. Stel vast dat de verkeersstromen tussen de compartimenten worden beperkt.

1

3

0

0

2

5

0

0

2

5

0

0

7

19

0 4.9

0 13.3

0 18.2

rood 0 0%

rood 0 0%

rood 0 0%

Beheer- en productieverkeer zijn van elkaar gescheiden (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de hele infrastructuur.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de hele infrastructuur is gebaseerd op het inrichtingsdocument.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

1

3

0

0

Hetzelfde als B1-1

Toevoeging (P) De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICTinfrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald.

Documentatie waarin duidelijk en schematisch de plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken is weergegeven.

Het inrichtingsdocument is geaccordeerd op het juiste niveau.

(P) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen is volgens het document ingesteld.

1

3

0

0

Hetzelfde als B1-1

Toevoeging

(P) Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

Stel vast dat de verkeersstromen tussen beheer en productieverkeer gescheiden zijn.

Hetzelfde als B1-1

1

3

0

0

2

5

0

0

5

14

0 3.5

0 9.8

0 13.3

rood 0 0%

rood 0 0%

rood 0 0%

Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ). Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste (organisatie)niveau zijn verantwoord.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten/principes gelden voor de toepassing van de hele infrastructuur.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van de hele infrastructuur is gebaseerd op het inrichtingsdocument.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

1

3

0

0

Hetzelfde als B1-1

Toevoeging (P) De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICTinfrastructuur begrijpelijk is en de impact van wijzigingen goed kunnen worden bepaald.

Documentatie waarin duidelijk en schematisch de plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken is weergegeven.

Het inrichtingsdocument is geaccordeerd op het juiste niveau.

(P) De (beveiligings)instellingen van de ICTcomponenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan de defaultwaarden voor systeeminstellingen.

Een document met de (beveiligings)instellingen is opgesteld van de ICT-componenten met daarbij een beschrijving van waarom voor die instellingen is gekozen.

Het document is geaccordeerd op het juiste niveau. (Beveiligings)instellingen is volgens het document ingesteld.

1

3

0

0

Hetzelfde als B1-1

Toevoeging

(P) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

Stel vast dat de netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

1

Hetzelfde als B1-1

3

0

0

2

5

0

0

5

14

0 3.5

0 9.8

0

rood 0 0%

rood 0 0%

rood 0 0%

13.3

Maak gebruik van veilige beheermechanismen (P) Zorg dat een ontwerpdocument met betrekking tot beheermechanismen zijn vastgesteld. Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer is bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security through obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laat ontdekken, en erin slagen om deze te misbruiken.

Opzet Bestaan Een ontwerpdocument met betrekking tot beheermechnismen Het ontwerpdocument is geaccordeerd op het juiste niveau. (bv. SSL verbinding, pincodefunctionaliteit, firewall rules, gescheiden LAN/WAN, poortafscherming) is opgesteld.

(P) Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerd zijn.

-

Stel vast dat de beheermechnismen actief zijn.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet

Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

(C) Validatie vindt plaats op in ieder geval dynamische onderdelen van de URL, query parameters, form parameters, cookies, HTTPheaders, XML en bestanden. - In het geval de invoer niet voldoet aan de type-, lengte-, formaat- en controle op valide karakters weigert de applicatie deze invoer. - Criteria gelden voor het filteren van de inhoud van een HTTP-request op basis van ongewenste invoer.

Stel vast dat validatie plaatsvindt op de URL, query parameters, form parameters, cookies, HTTP-headers, XML en bestanden. Stel vast als de invoer niet voldoet dat deze geweigerd wordt. Stel vast dat criteria is ingesteld om inhoud te filteren van een HTTP-request.

2

5

0

0

8

22

0 5.6

0 15.4

0 21

rood 0 0%

rood 0 0%

rood 0 0%

De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

(C) Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerde gebruiker kunnen worden uitgevoerd: - zijn de waarde van cookies is gekoppeld aan het IPadres waarnaar deze waarde is verstuurd; - zijn de formulierpagina’s voorzien van een dynamisch token; - accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie

Stel vast dat de waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd; Stel vast dat de formulierpagina’s voorzien zijn van een dynamisch token; Stel vast dat de webapplicatie alleen verzoeken accepteert waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie.

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

21

De webapplicatie normaliseert invoerdata voor validatie (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

(C) Normalisatie als: - Omzetten van NULL karakters naar spaties. - Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). - Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. - Verwijderen van overbodige spaties en regeleinden. - Verwijderen van onnodige witruimtes. - Omzetten van backslashes naar forward slashes - Omzetten van mixed case strings naar lower case strings.

Stel vast dat de webapplicatie de invoerdata voor validatie normaliseert als: - Omzetten van NULL karakters naar spaties. - Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). - Normaliseren van padverwijzingen als ‘/./’ en ‘/../’. - Verwijderen van overbodige spaties en regeleinden. - Verwijderen van onnodige witruimtes. - Omzetten van backslashes naar forward slashes - Omzetten van mixed case strings naar lower case strings.

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

21

De webapplicatie codeert dynamische onderdelen in de uitvoer Opzet (P) Zorg voor een opdrachtomschrijving, Procesbeschrijving ten aanzien van penetratietests is scopedefinitie, planning en kwaliteitseisen. opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging (C) Vaststellen dat de webapplicatie dynamische onderdelen in de uitvoer codeert.

Stel vast dat de webapplicatie dynamische onderdelen in de uitvoer codeert.

21

Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries Opzet (P) Zorg voor een opdrachtomschrijving, Procesbeschrijving ten aanzien van penetratietests is scopedefinitie, planning en kwaliteitseisen. opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. (P) De resultaten van de pentest worden vastgelegd Rapportageformat met daarin duidelijk vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet welke informatie de rapportage moet bevatten. bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderen van databases.

Stel vast dat de webapplicatie gebruik maakt van geparameteriseerde queries bij het benaderen van databases.

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

21

De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

(C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalent aanwezig aan de serverzijde.

Stel vast dat voor elke controle die de webapplicatie uitvoert aan de clientzijde, een equivalent aanwezig is aan de serverzijde.

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

21

De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting) (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging (C) De webapplicatie maakt geen gebruik van dynamische file includes.

Stel vast dat de webapplicatie geen gebruik maakt van dynamische file includes.

21

Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van blackbox scan (tester zonder voorkennis gaat kijken of er kwetsbaardheden in de webapplicatie bestaan) is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Blackbox scan is volgens rapportageformat opgesteld.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

2

5

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8 Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

7

19

0 4.9

0 13.3

0

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging 18.2

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’ (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.

Opzet Procesbeschrijving ten aanzien van penetratietests is opgesteld met daarin een opdrachtomschrijving, een scopedefinitie, planning en kwaliteitseisen. Rapportageformat met daarin duidelijk vastgelegd welke informatie de rapportage moet bevatten is opgesteld.

Bestaan De procesbeschrijving is geaccordeerd op het juiste niveau.

(P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd, maar moeten periodiek (jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat een pentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juiste niveau. Stel vast dat er in het jaar een penetratietest is uitgevoerd.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald dan moet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuw uitvoeren van een penetratietest nadat de gevonden bevindingen met de hoogst mogelijke score zijn opgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerd nadat de bevindingen van een eerdere penetratietest met de hoogste score zijn opgelost.

(P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8

2

5

0

0

Hetzelfde als B0-8

Pentest is volgens rapportageformat opgesteld.

Toevoeging

1

3

0

0

Hetzelfde als B0-8

1

3

0

0

Hetzelfde als B0-8 Toevoeging

Het set cookie command bevat de secure flag en de HTTPOnly flag.

Stel vast dat het set cookie command bevat de secure flag en de HTTPOnly flag.

2

5

0

0

8

22

0 5.6

0 15.4

0

rood 0 0%

rood 0 0%

rood 0 0%

21

Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn (P) Procedure en procesbeschrijving rondom het beheer van certificaten. (P) Een inrichtingsdocument rondom het beheer van certificaten is opgesteld.

(C) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnen worden geëxporteerd.

Opzet Een procedurebeschrijving/inrichtingsdocument rondom het beheer van certificaten met de volgende details: - Hoe worden sleutels gegenereerd voor verschillende toepassingen? - Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen? - Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikers toegang tot sleutels kunnen krijgen? - Hoe het wijzigen of actualiseren van sleutels moet geschieden? - Hoe wordt omgaan met sleutels die zij gecompromitteerd? - Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd? - Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn? - Hoe sleutels worden gearchiveerd? - Hoe sleutels worden vernietigd? - Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd? - Welke minimale sleutellengtes moeten worden toegepast? - Welke encryptie-algoritmen moeten worden toegepast?

Bestaan Opzet op orde De procesbeschrijving is geaccordeerd op het juiste niveau. Het inrichtingsdocument is geaccordeerd op het juiste niveau. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer, is actueel (en maakt eventueel onderdeel van wijzigingsbeheer).

Stel vast dat sleutels beveiligd zijn opgeslagen volgens het inrichtingsdocument en niet onversleuteld kunnen worden geëxporteerd.

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

1

3

0

0

2

5

0

0 Toevoeging

3

8

0

0

0

2.1

5.6

7.7

rood 0 0%

rood 0 0%

rood 0 0%

Maak gebruik van versleutelde (HTTPS)verbindingen (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): - waarom worden verbindingen door middel van SSL beveiligd; - welke verbindingen worden door middel van SSL beveiligd; - periodieke controle op het gebruik van SSL verbindingen. (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

Opzet Een inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen (SSL/TLS): - waarom worden verbindingen door middel van SSL beveiligd; - welke verbindingen worden door middel van SSL beveiligd; - periodieke controle op het gebruik van SSL verbindingen.

Bestaan Opzet op orde Het inrichtingsdocument is geaccordeerd op het juiste niveau. Het inrichtingsdocument/ontwerp: heeft een eigenaar, is voorzien van een datum en versienummer en is actueel.

Stel vast in de configuratie van de webserver dat er een redirect plaats vindt van HTTP naar HTTPS op het moment dat een (contact) formulier wordt opgevraagd.

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Dit wordt door de pentest ondervangen.

Sla gevoelige gegevens versleuteld of gehashed op (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens. (P) Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van de gevonden issues, de classificaties en de correctieve handelingen ondernomen).

Opzet Een document is opgesteld omtrent gevoelige informatie en de versleuteling van gegevens. (Criteria: wat is gevoelige informatie en hoe wordt dit geclassificeerd en versleuteld?)

Bestaan Het document is vastgesteld door management.

Een procesbeschrijving is opgesteld over hoe Stel vast dat een dataclassificatie analyse is de dataclassificatie analyse uitgevoerdt dient te uitgevoerd op tenminste de gegevens die worden (stappenplan). worden gebruikt in de DigiD producten.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan

1

3

0

0

2

5

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Versleutel cookies (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn.

Opzet Bestaan Beleid met betrekking tot het toepassen van cookies. Beleid is geaccordeerd op het juiste niveau.

(P) Er moeten procedures zijn met betrekking tot het Een procedures zijn met betrekking tot het beheren beheren van cookies. van cookies.

De procedure is geaccordeerd op het juiste niveau.

(C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

Stel vast dat cookies versleuteld zijn volgens het inrichtingsdocument.

Opzet op orde

Bestaan op orde

Opzet Bestaan Score opzet Score bestaan 1

3

0

0

1

3

0

0

2

5

0

0

4

11

0 2.8

0 7.7

0 10.5

rood 0 0%

rood 0 0%

rood 0 0%

Toevoeging

Maak gebruik van Intrusion DetectionSystemen (IDS) (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.

Opzet Inrichtingsdocument is opgesteld waarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.

Bestaan Het inrichtingsdocument is geaccordeerd op het juiste niveau. De inrichting van IDS is geplaatst volgens en gebaseerd op het inrichtingsdocument.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving omtrent IDS'en.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan

2

5

0

0

1

3

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Voer actief controles uit op logging (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneer controles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn.

Opzet Bestaan Een procedure waarin staat beschreven hoe en De procedure is geaccordeerd op het juiste wanneer controles op logging moeten niveau. plaatsvinden en hoe taken op dit gebied belegd zijn is opgesteld.

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een plan indien geimplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingingen hebben opgeleverd is vastgelegd in de procedure beschrijving omtrent controles op logging.

Plan met daarin de activiteiten die worden uitgevoerd (wie, wat en wanneer) indien geïmplementeerde maatregelen niet aan de gestelde eisen en/of verwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

Opzet op orde

Bestaan op orde

Opzet

Bestaan

Score opzet

Score bestaan

2

5

0

0

1

3

0

0

3

8

0 2.1

0 5.6

0 7.7

rood 0 0%

rood 0 0%

rood 0 0%

Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld

Opzet Een organisatiebreed informatiebeveiligingsbeleid is opgesteld.

Bestaan Een organisatiebreed informatiebeveiligingsbeleid is vastgesteld op het juiste niveau.

(P) Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend.

Het informatiebeveiligingsbeleid heeft een beschrijving met betrekking tot de beveiligingsorganisatie.

(P) Er moet overeenstemming over de benodigde methodologieën en processen worden bereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem.

Een procesbeschrijving van de totstandkoming van het huidige informatiebeveiligingsbeleid.

(P) Er dient een informatiebeveiligingsplan (nadat een risicoen GAP-analyse is uitgevoerd) opgesteld te worden.

Een recent informatiebeveiligingsplan is opgesteld.

(P) Geactualiseerd (organisatiebreed) informatiebeveiligingsbeleid

(P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen worden doorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren en; Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

Een procedurebeschrijving ten aanzien van preventie, detectie en response inzake beveiligingsincidenten.

Opzet op orde

Bestaan op orde

Opzet

Bestaan

Score opzet

Score bestaan

2

5

0

0

Stel vast dat functies, taken en bevoegdheden op het niveau van een functionaris zijn belegd.

1

3

0

0

Stel het proces vast voor het opstellen en/of actualiseren van het informatiebeveiligingsbeleid (denk aan de uitgevoerde risicoanalayse en de vastlegging van management overleg omtrent informatiebeveiliging).

1

3

0

0

Stel vast dat een recent informatiebeveiligingsplan (incl. planning en prioriteiten) is vastgesteld op het juiste niveau.

2

5

0

0

1

3

0

0

7

19

0 4.9

0 13.3

0 18.2

rood 0 0%

rood 0 0%

rood 0 0%

Een procedurebeschrijving is geaccordeerd op het juiste niveau. Aangepast van default score naar hoge score. Voor beveiligingsincidenten is het belangrijk dat er wordt beschreven hoe het proces verloopt als er beveiligingsincidenten optreden (op het gebied van preventie, detectie en response).