Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Rapportage-template DigiD-Assessment (versie 2016)

advertisement 
Rapportage-template DigiD-Assessment (versie 2016)
Kenmerk
:
[Rapporten moeten een uniek documentkenmerk bevatten. Dit
kenmerk dient aangepast te worden zodra er een nieuwe versie
formeel wordt aangeboden]
Datum
:
[de in paragraaf 1.5 vermelde rapportagedatum valt samen met
afronding assessment, d.w.z. constatering opzet/bestaan van de
maatregelen]
Van
:
Aansluiting :
[naam auditor/auditorganisatie]
[aansluitnummer DigiD en naam organisatie/opdrachtgever]
Inhoudsopgave
1
Assurancerapport van de onafhankelijke auditor
2
1.1
Opdracht
2
1.2
Verantwoordelijkheden van de opdrachtgever
3
1.3
Verantwoordelijkheden van de opdrachtnemer (auditor)
3
1.4
Beperkingen
4
1.5
Oordelen
4
1.6
Beoogde gebruikers en doel
6
2
Criteria
8
3
Object van onderzoek
9
A
Bijlage A - Beschrijving van de testresultaten van de auditor
10
B
Bijlage B – Object van onderzoek
20
C
Bijlage C – Totaaloverzicht getoetste normen ICTbeveiligingsassessment DiGiD-aansluiting van [gebruikersorganisatie].
i
22
1
Assurancerapport van de onafhankelijke auditor
1.1
Opdracht
Ingevolge
de
opdracht
beveiligingsassessment
van
<OPDRACHTGEVER>
uitgevoerd
op
de
hebben
webomgeving
van
wij
een
DigiD-
DigiD-aansluiting
<AANSLUITNUMMER en AANSLUITNAAM> van <ORGANISATIE> zoals gespecificeerd in
hoofdstuk 3 Object van onderzoek. Het onderzoek wordt conform de ‘Handleiding
uitvoering ICT-beveiligingsassessment’ versie 2.1 van Logius uitgevoerd. De opdracht
omvatte het onderzoeken van de opzet en het bestaan van maatregelen en procedures
gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting
<AANSLUITNUMMER en AANSLUITNAAM>.
Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van
interne beheersingsmaatregelen van de betreffende DigiD-aansluiting en brengen
daarover geen oordeel tot uitdrukking.
[optionele
tekst
indien
opdrachtgever
gebruik
maakt
van
serviceorganisatie, anders verwijderen]
<OPDRACHTGEVER> maakt gebruik van serviceorganisatie [naam service- organisatie]
voor [de aard van de activiteiten die door de serviceorganisatie worden uitgevoerd].
<ORGANISATIE> maakt voor haar beschrijving gebruik van de uitsluitingmethode
(‘carve-out method’). De beschrijving van de serviceorganisatie van haar systeem sluit
daarmee de interne beheersingsdoelstellingen en daarmee verband houdende interne
beheersingsmaatregelen van de subserviceorganisatie uit. Onze werkzaamheden
strekken zich dan ook niet uit tot de interne beheersingsmaatregelen van de
serviceorganisatie.]
[Hoofdstuk 4 ‘Verantwoordelijkheid gebruikersorganisatie’ verwijst naar de behoefte
aan aanvullende interne beheersingsmaatregelen van de gebruikersorganisaties. De
geschiktheid van de opzet, het bestaan of de werking van deze aanvullende interne
beheersingsmaatregelen van een gebruikersorganisatie hebben wij niet geëvalueerd.
Aan de beveiligingsrichtlijnen van de ‘Norm ICT-beveiligingsassessments DigiD’ wordt
alleen
voldaan,
indien
gebruikersorganisatie
aanvullende
samen
met
de
interne
interne
beheersingsmaatregelen
beheersingsmaatregelen
serviceorganisatie op afdoende wijze zijn opgezet en geïmplementeerd.
2
van
van
een
de
1.2
Verantwoordelijkheden van de opdrachtgever
<OPDRACHTGEVER> is verantwoordelijk voor de beschrijving van het object van
onderzoek,
het
verlenen
van
DigiD-diensten,
het
onderkennen
van
de
beveiligingsrisico’s van de DigiD-webomgeving en het opzetten en implementeren van
interne
beheersingsmaatregelen
om
te
voldoen
aan
de
‘Norm
ICT-
beveiligingsassessments’ DigiD van Logius.
1.3
Verantwoordelijkheden van de opdrachtnemer (auditor)
Onze
verantwoordelijkheid
is,
op
basis
van
onze
werkzaamheden,
per
beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius een
oordeel te geven over de opzet en het bestaan van de maatregelen gericht op de ICT
beveiliging van de webomgeving van DigiD aansluiting <AANSLUITNUMMER en
AANSLUITNAAM>.
We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, en de NOREA
Richtlijn 3000, ‘Richtlijn Assurance-opdrachten door IT-auditors’. Dit vereist dat wij
voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden
zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen
over de vraag of de interne beheersingsmaatregelen, in alle van materieel belang
zijnde aspecten, op afdoende wijze zijn opgezet en bestaan.
Een assurance-opdracht om te rapporteren over opzet en bestaan van interne
beheersingsmaatregelen bij een organisatie omvat het uitvoeren van werkzaamheden
ter verkrijging van assurance-informatie over de opzet en het bestaan van interne
beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de
door de auditor van de organisatie toegepaste oordeelsvorming, met inbegrip van het
inschatten van de risico’s dat de interne beheersingsmaatregelen niet op afdoende
wijze zijn opgezet of niet bestaan.
Zoals hierboven staat vermeld, hebben wij geen werkzaamheden uitgevoerd met
betrekking tot de werking van interne beheersingsmaatregelen die bij de beschrijving
waren inbegrepen; wij brengen derhalve daarover geen oordelen tot uitdrukking.
Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en
geschikt is om daarop een onderbouwing voor onze oordelen te bieden.
3
1.4
Beperkingen
Wij kunnen geen verantwoordelijkheid aanvaarden voor wijzigingen in de door ons
gehanteerde feiten en omstandigheden na de datum waarop wij de desbetreffende
werkzaamheden hebben afgerond, tenzij wij tijdig van de wijzigingen in de door ons
gehanteerde feiten en omstandigheden op de hoogte zijn gebracht.
De
‘Norm
ICT-beveiligingsassessments
DigiD’
is
een
selectie
van
beveiligingsrichtlijnen uit de ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het
Nationaal Cyber Security Centrum (NCSC). Daarom zijn we niet in staat om een overall
oordeel te verschaffen omtrent de beveiliging van de DigiD-aansluiting.
Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact
hebben op de veiligheid van DigiD-webapplicaties. Wij adviseren de organisatie om in
aanvulling op de richtlijnen in de ‘Norm ICT-beveiligingsassessments DigiD’, ook de
andere richtlijnen uit de ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het NCSC
te adopteren. Wij wijzen u erop dat, indien wij aanvullende beveiligingsrichtlijnen
zouden hebben onderzocht wellicht andere onderwerpen zouden zijn geconstateerd
die voor rapportering in aanmerking zouden zijn gekomen.
In de volgende paragraaf geven wij onze oordelen ten aanzien van de ‘Norm ICTbeveiligingsassessments DigiD’.
1.5
Oordelen
Onze oordelen zijn gevormd op basis van de werkzaamheden zoals ze zijn beschreven
in deze rapportage. Per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments
DigiD’ van Logius wordt een oordeel gegeven over de opzet en het bestaan per
<DATUM>. De criteria waarvan wij gebruik hebben gemaakt, zijn opgenomen in
onderstaande tabel en een toelichting is te vinden in hoofdstuk 2.
Per beveiligingsrichtlijn hebben wij hieronder vermeld of met redelijke mate van
zekerheid wordt voldaan aan de beveiligingsrichtlijn. Om de leesbaarheid van dit
rapport te vergroten zijn de conclusies in deze tabel weergegeven als “voldoet” of
“voldoet niet”, waarbij “voldoet” geïnterpreteerd dient te worden als “Wij zijn van
oordeel dat de interne beheersingsmaatregelen die verband houden met de op die
regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in
alle materiële opzichten effectief zijn” en “voldoet niet” geïnterpreteerd dient te worden
als “Wij zijn van oordeel dat de interne beheersingsmaatregelen die verband houden
met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in
hoofdstuk 2 niet in alle materiële opzichten effectief zijn”.
4
(Indien bij een beveiligingsrichtlijn wel voldaan is aan de opzet van de interne
beheersmaatregel, maar het bestaan niet vastgesteld kan worden omdat de relevante
gebeurtenis zich niet heeft voorgedaan in de onderzochte periode, dan wordt dit
weergegeven als “voldoet”. In een voetnoot wordt de volgende zin opgenomen: ‘‘Wij
hebben vastgesteld dat deze organisatie maatregelen heeft ontworpen en ingericht
met betrekking tot deze norm en hebben deze gevalideerd. Vanwege het feit dat zich
geen situatie heeft voorgedaan waarop deze maatregel betrekking heeft, hebben wij
het bestaan niet kunnen vaststellen. Wij zijn echter van oordeel dat de organisatie
voldoet aan deze norm.”)
[In onderstaande tabel worden alleen de oordelen per beveiligingsrichtlijn opgenomen
welke door de auditor op basis van eigen werkzaamheden zijn bepaald. Bijlage C
kunnen de resultaten van de het assessment bij de serviceprovider worden
opgenomen.]
Nr
B0-5
Beschrijving van de beveiligingsrichtlijn
Oordeel
Alle wijzigingen worden altijd eerst getest voordat deze in
Voldoet/
productie worden genomen en worden via
Voldoet niet
wijzigingsbeheer doorgevoerd.
B0-12
B0-13
Ontwerp en richt maatregelen in met betrekking tot
Voldoet/
toegangsbeveiliging/toegangsbeheer.
Voldoet niet
Niet (meer) gebruikte websites en/of informatie moet
Voldoet/
worden verwijderd.
Voldoet niet
B0-14
Leg afspraken met leveranciers vast in een overeenkomst
B2-1
Maak gebruik van veilige beheermechanismen.
B5-3
Sla gevoelige gegevens versleuteld of gehashed op1.
1
Voor zover betrekking hebbend op DigiD
5
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Nr
Beschrijving van de beveiligingsrichtlijn
B7-9
Oordeel
Governance, organisatie, rollen en bevoegdheden inzake
Voldoet/
preventie, detectie en response inzake
Voldoet niet
informatiebeveiliging dienen adequaat te zijn vastgesteld.
1.6
Beoogde gebruikers en doel
De
minister
van
BZK
wil
een
structurele
en
forse
impuls
geven
aan
de
kwaliteitsverhoging van ICT-beveiliging bij overheidsorganisaties die gebruik maken
van DigiD. Deze organisaties moeten jaarlijks een ICT beveiligingsassessment laten
verrichten onder verantwoordelijkheid van een gekwalificeerde IT-auditor (RE),
teneinde de DigiD gebruikende organisaties en Logius inzicht te geven in de ICT
beveiliging van de webomgeving van DigiD aansluiting.
Onze
schriftelijke
rapportage
met
bijlage
C
is
alleen
bestemd
voor
<OPDRACHTGEVER>, haar cliënten en hun auditors en Logius aangezien anderen, die
niet op de hoogte zijn van de precieze scope, aard en doel van de werkzaamheden, de
resultaten onjuist kunnen interpreteren. De rapportage (al dan niet met bijlagen),
onderdelen of samenvattingen daarvan mogen niet mondeling of schriftelijk aan
derden
beschikbaar
worden
gesteld
zonder
onze
voorafgaande
schriftelijke
toestemming. De bijlagen A en B zijn alleen bestemd voor <OPDRACHTGEVER>. Bijlage
C is bedoeld om Logius een totaaloverzicht te verschaffen (‘volledigheid van de scope’)
over de resultaten van verschillende assessments, indien gebruik is gemaakt van
rapporten inzake serviceorganisatie(s).
Voor zover het <OPDRACHTGEVER> en Logius is toegestaan het rapport aan derden
beschikbaar te stellen, zal het rapport origineel, volledig en ongewijzigd beschikbaar
worden gesteld. Indien de producten van onze werkzaamheden aan derden ter
beschikking worden gesteld, dient erop te worden gewezen dat zonder onze
uitdrukkelijke voorafgaande schriftelijke toestemming geen rechten aan het product
kunnen worden ontleend. Het verstrekken van deze toestemming kan omgeven zijn
met nadere voorwaarden.
<PLAATS EN DATUM, IDENTIEK AAN DATUM 1.5>
6
<NAAM AUDITOR/ AUDITORGANISATIE>
7
2
Criteria
Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact
hebben op de veiligheid van DigiD-webapplicaties. In dit onderzoek zullen wij ons
derhalve op de ‘Norm ICT-beveiligingsassessments DigiD’ richten. De criteria waarvan
gebruik wordt gemaakt bij het uitvoeren van de assurance-opdracht hielden in dat:
•
de
interne
beheersingsmaatregelen
die
verband
houden
met
de
beveiligingsrichtlijnen op afdoende wijze zijn opgezet en daadwerkelijk zijn
geïmplementeerd;
•
de risico’s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen en
daarmee de betrouwbaarheid van DigiD aantasten, werden onderkend;
•
de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals
beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico’s
het voldoen aan beveiligingsrichtlijnen niet zouden verhinderen.
8
3
Object van onderzoek
Het
object
van
onderzoek
was
de
webomgeving
van
DigiD
aansluiting
<<AANSLUITNUMMER en AANSLUITNAAM>.
<ORGANISATIE> biedt de volgende functionaliteit aan waarvoor DigiD aansluiting
<AANSLUITNUMMER en AANSLUITNAAM> ter authenticatie wordt gebruikt: <HIGH
LEVEL OPSOMMING VAN AANGEBODEN FUNCTIONALITEIT>. Deze functionaliteit wordt
geboden door de volgende webapplicatie(s):
•
<LIJST MET APPLICATIES>
Deze applicatie(s) betreft/betreffen <GEHEEL MAATWERK / EEN COMBINATIE VAN
MAATWERK EN STANDAARD SOFTWARE / GEHEEL STANDARD PAKKET> en worden
onderhouden door <<ORGANISATIE> / NAAM SERVICE PROVIDER 1>. De infrastructuur
waarop de applicaties draaien wordt beheerd door <<ORGANISATIE> / NAAM SERVICE
PROVIDER 2>.
Het onderzoek heeft zich gericht op de webapplicaties, de URLs waarmee deze
applicaties kunnen worden benaderd, de infrastructuur (binnen de DMZ waar
webapplicaties zich bevinden) en een aantal ondersteunende processen conform de
‘Norm ICT-beveiligingsassessments DigiD’ van Logius.
[optionele
tekst
indien
opdrachtgever
gebruik
maakt
van
serviceorganisatie, anders verwijderen]
<OPDRACHTGEVER> heeft een deel DigiD webomgeving uitbesteed aan <SERVICE
ORGANISATIE 1 en SERVICE ORGANISATIE 2>. Als gevolg hiervan zijn er een aantal
maatregelen belegd bij deze service organisatie. Het onderzoeken van deze
maatregelen
bij
deze
service
organisatie
is
dan
ook
uitgevoerd
door
een
gekwalificeerde IT auditor op basis van dezelfde beveiligingsrichtlijnen en met
hantering van het zelfde onderzoekprotocol als ons onderzoek. De richtlijnen waar
deze maatregelen betrekking op hebben zijn door ons dan ook niet onderzocht en niet
opgenomen in ons rapport. Waar relevant maken wij, per richtlijn, specifieke
verwijzingen naar het rapport van de IT auditor van de service organisatie.
In bijlage B geven wij u een meer gedetailleerde beschrijving van het object van
onderzoek.
9
A
Bijlage A - Beschrijving van de testresultaten van de auditor
In het kader van deze assurance-opdracht hebben wij de volgende werkzaamheden uitgevoerd:
•
Het verkrijgen van inzicht in de relevante kenmerken van de DigiD-webomgeving.
•
Het vaststellen van de scope van de assessment, inclusief het vaststellen van de maatregelen die bij de service
organisatie moeten worden onderzocht.
•
Het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico’s en
het onderzoek in hoeverre deze risico’s worden afgedekt door maatregelen.
•
Het inventariseren van de opzet en het vaststellen van het bestaan van de relevante maatregelen. Dit door middel
van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles
en uitgevoerde pentesten, alsmede eigen waarnemingen.
•
Het analyseren van de uitkomsten van onze werkzaamheden met als doel het geven van oordelen per
beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius.
Hieronder treft u een korte beschrijving van de uitgevoerde werkzaamheden en onze oordelen ter verbetering van de
DigiD-webomgeving. Onze oordelen zijn verwoord als voldoet/voldoet niet (met reden) per beveiligingsrichtlijn. Om de
leesbaarheid van dit rapport te vergroten zijn de conclusies in deze tabel weergegeven als “voldoet” of “voldoet niet”,
waarbij “voldoet” geïnterpreteerd dient te worden als “Wij zijn van oordeel dat de interne beheersingsmaatregelen die
verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in alle
materiële opzichten effectief zijn” en “voldoet niet” geïnterpreteerd dient te worden als “Wij zijn van oordeel dat de
interne beheersingsmaatregelen die verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de
criteria genoemd in hoofdstuk 2 niet in alle materiële opzichten effectief zijn”.
10
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Alle wijzigingen worden altijd eerst
B0-5
Voldoet/ Voldoet niet
getest voordat deze in productie
worden genomen en worden via
wijzigingsbeheer doorgevoerd.
Maak gebruik van een
B0-6
hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen
aanvallen.
De laatste (beveiligings)patches zijn
B0-7
geïnstalleerd en deze worden
volgens een patchmanagement
proces doorgevoerd.
B0-8
Penetratietests worden periodiek
uitgevoerd.
Vulnerability assessments (security
B0-9
Oordeel en eventuele adviezen
scans) worden periodiek
uitgevoerd.
11
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Ontwerp en richt maatregelen in
B0-12
Documenten ingezien en zie ook TPM
Oordeel en eventuele adviezen
Voldoet/ Voldoet niet
met betrekking tot
toegangsbeveiliging/toegangsbehe
er.
Niet (meer) gebruikte websites
B0-13
Documenten ingezien en zie ook TPM
en/of informatie moet worden
verwijderd.
B0-14
Leg afspraken met leveranciers vast
Documenten ingezien en zie ook TPM
in een overeenkomst
Er moet gebruik worden gemaakt
Zie TPM
van een Demilitarised Zone (DMZ),
waarbij compartimentering wordt
B1-1
toegepast en de verkeersstromen
tussen deze compartimenten wordt
beperkt tot alleen de hoogst
noodzakelijke.
B1-2
Beheer- en productieverkeer zijn
Zie TPM
van elkaar gescheiden.
12
Voldoet/ Voldoet niet
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Netwerktoegang tot de
B1-3
Oordeel en eventuele adviezen
Zie TPM
webapplicaties is voor alle
gebruikersgroepen op een
zelfde wijze ingeregeld.
B2-1
Maak gebruik van veilige
beheermechanismen.
De webapplicatie valideert de
B3-1
Documenten ingezien en zie ook TPM
Zie TPM
inhoud van een HTTP-request voor
die wordt gebruikt.
De webapplicatie controleert voor
B3-2
Zie TPM
elk HTTP verzoek of de initiator
geauthenticeerd is en de juiste
autorisaties heeft.
B3-3
De webapplicatie normaliseert
Zie TPM
invoerdata voor validatie.
13
Voldoet/ Voldoet niet
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
De webapplicatie codeert
B3-4
Zie TPM
dynamische onderdelen in de
uitvoer.
Voor het raadplegen en/of wijzigen
B3-5
Zie TPM
van gegevens in de database
gebruikt de webapplicatie alleen
geparametriseerde queries.
De webapplicatie valideert alle
B3-6
Zie TPM
invoer, gegevens die aan de
webapplicatie worden aangeboden,
aan de serverzijde.
De webapplicatie staat geen
B3-7
Zie TPM
dynamische file includes toe of
beperkt de keuze mogelijkheid
(whitelisting).
B3-15
Een (geautomatiseerde) blackbox
Zie TPM
scan wordt periodiek uitgevoerd.
14
Oordeel en eventuele adviezen
Nr
B3-16
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Zet de cookie attributen ‘HttpOnly’
Zie TPM
en ‘Secure’.
Voer sleutelbeheer in waarbij
B5-1
Oordeel en eventuele adviezen
Zie TPM
minimaal gegarandeerd wordt dat
sleutels niet onversleuteld op de
servers te vinden zijn.
B5-2
B5-3
B5-4
B7-1
B7-8
2
Maak gebruik van versleutelde
Zie TPM
(HTTPS) verbindingen.
Sla gevoelige gegevens versleuteld
Documenten ingezien en zie ook TPM
of gehashed op2.
Versleutel cookies.
Zie TPM
Maak gebruik van Intrusion
Zie TPM
Detection Systemen (IDS).
Voer actief controles uit op logging.
Zie TPM
Voor zover betrekking hebbend op DigiD
15
Voldoet/ Voldoet niet
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Governance, organisatie, rollen en
Documenten ingezien en zie ook TPM
bevoegdheden inzake preventie,
B7-9
detectie en response inzake
informatiebeveiliging dienen
adequaat te zijn vastgesteld.
16
Oordeel en eventuele adviezen
Voldoet/ Voldoet niet
B
Bijlage B – Object van onderzoek
Het object van onderzoek was de webomgeving van DigiD aansluiting <AANSLUITNUMMER en AANSLUITNAAM>
<ORGANISATIE> biedt de volgende functionaliteit aan waarvoor DigiD aansluiting <DIGID KOPPELING> voor authenticatie wordt
gebruikt: <HIGH LEVEL OPSOMMING VAN AANGEBODEN FUNCTIONALITEIT>. Deze functionaliteit wordt geboden door de volgende
webapplicatie(s):
•
<LIJST MET APPLICATIES>
Deze applicatie(s) betreft/betreffen <GEHEEL MAATWERK / EEN COMBINATIE VAN MAATWERK EN STANDAARD SOFTWARE / GEHEEL
STANDARD PAKKET> en worden onderhouden door <<ORGANISATIE> / NAAM SERVICE PROVIDER>.
Deze applicaties zijn extern benaderbaar via de volgende URL(s): <LIJST MET URLS> en bevinden zich in een DMZ met ip-reeks
<___.___.___.___-___>. De infrastructuur waar deze applicaties op draaien wordt beheerd door <<ORGANISATIE> / NAAM SERVICE
PROVIDER> in de vorm van <MANAGED SERVICES / FYSIEKE HOSTING / REMOTE SUPPORT / SAAS >.
Het object van onderzoek was de webomgeving van DigiD aansluiting <DIGID KOPPELING> (‘DigiD webomgeving’). Het onderzoek
heeft zich gericht op de webapplicaties, de URLs waarmee deze kunnen worden benaderd, de infrastructuur (binnen de DMZ waar
webapplicaties zich bevinden) en een aantal ondersteunende processen conform de “Norm ICT-beveiligingsassessments DigiD” van
Logius.
Het navolgde schema toont de webomgeving die is onderzocht door middel van een infrastructurele test.
<VERVANGEN DOOR SCHEMA SPECIFIEK VOOR DE ORGANISATIE, incl. vermelding systemen en evt. netwerktekeningen>
[optionele tekst indien opdrachtgever gebruik maakt van serviceorganisatie, anders verwijderen]
<OPDRACHTGEVER> heeft een deel DigiD webomgeving uitbesteed aan <SERVICE ORGANISATIE>. Als gevolg hiervan zijn er een aantal
maatregelen belegd bij deze service organisatie. Het onderzoeken van deze maatregelen is dan ook uitgevoerd door de IT auditor van
deze service organisatie. De richtlijnen waar deze maatregelen betrekking op hebben zijn door ons dan ook niet onderzocht. Waar
relevant
geven
wij,
per
richtlijn,
specifieke
verwijzingen
naar
het
rapport
van
de
service
organisatie.
C
Bijlage C – Totaaloverzicht getoetste normen ICT-beveiligingsassessment DiGiDaansluiting van [gebruikersorganisatie].
In deze bijlage brengen wij de oordelen samen, op basis van de diverse uitgevoerde werkzaamheden / uitgebrachte rapportages. Het
doel van deze samenvatting is om Logius een totaaloverzicht te verschaffen over de resultaten vanuit de verschillende assessments
t.a.v. de DigiD-aansluiting <AANSLUITNUMMER en AANSLUITNAAM>.
Volgens de NOREA-handreiking inzake de DigiD-assessments moeten de volgende normen bij de gebruikersorganisatie worden
getoetst: B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9. In afwijking hiervan is in de TPM een afwijkende lijst (User considerations
Governance) meegegeven. B0-5, B0-13, B0-14, B2-1, B5-3 en B7-9. Daarnaast hebben wij norm B0-12 aanvullend getoetst.
Als input voor de hierna vermelde samenvatting hebben wij, naast de voorliggende rapportage, gebruik gemaakt van de rapportage
van NAAM SERVICEORGANISATIE met kenmerk TPM1-H001 ondertekend door NAAM AUDITOR dd. DATUM ONDERTEKENING en van
NAAM AUDITORGANISATIE met kenmerk TPM1-S001 ondertekend door NAAM ONDERTEKENAAR Boer dd. DATUM ONDERTEKENING.
Wij hebben geen onderzoek uitgevoerd naar de juistheid van de oordelen die zijn vermeld in de rapportage van [TPM-rapportage van
de serviceorganisatie, referentie/rapportnummer]. Wij kunnen dan ook geen verantwoordelijkheid nemen m.b.t. de in die rapportage
vermelde oordelen.
De oordelen worden in deze tabel weergegeven als “voldoet” of “voldoet niet” [gebruik van symbolen of andere opmaak is vanwege de
leesbaarheid niet toegestaan]
Nr
B0-5
Beschrijving van de norm
Alle wijzigingen worden altijd eerst getest
voordat deze in productie worden genomen
Getoetst bij
Referentie /
leverancier
rapportnummer
Voldoet/
TPM1-H001
Voldoet niet
[naam TPM
Aanvullende
Getoetst bij
beheersmaatregelen
gebruikers-
gebruikersorganisatie3
organisatie
JA
hosting rapport]
en worden via wijzigingsbeheer
[naam TPM
software
rapport]
B0-6
Maak gebruik van een hardeningsproces,
Voldoet/
zodat alle ICT-componenten zijn gehard
Voldoet niet
TPM1-H001
NEE
TPM1-H001
NEE
TPM1-S001
NEE
TPM1-H001
NEE
tegen aanvallen.
B0-7
De laatste (beveiligings)patches zijn
Voldoet/
geïnstalleerd en deze worden volgens een
Voldoet niet
patchmanagement proces doorgevoerd.
B0-8
Penetratietests worden periodiek uitgevoerd.
Voldoet/
Voldoet niet
B0-9
3
Vulnerability assessments (security scans)
Voldoet/
worden periodiek uitgevoerd.
Voldoet niet
naar het oordeel van de auditor van de serviceorganisatie
rapportnummer
Voldoet/
Dit rapport of
Voldoet niet
[naam van dit
rapport]
TPM1-S001
doorgevoerd.
Referentie /
Nr
B012
Beschrijving van de norm
Getoetst bij
Referentie /
leverancier
rapportnummer
Ontwerp en richt maatregelen in met
Voldoet/
betrekking tot
Voldoet niet
TPM1-H001
Aanvullende
Getoetst bij
beheersmaatregelen
gebruikers-
gebruikersorganisatie3
organisatie
NEE
Voldoet/
Referentie /
rapportnummer
Dit rapport
Voldoet niet
toegangsbeveiliging/toegangsbeheer.
B0-
Niet (meer) gebruikte websites en/of
Voldoet/
13
informatie moet worden verwijderd.
Voldoet niet
B0-
Leg afspraken met leveranciers vast in een
Voldoet/
14
overeenkomst
Voldoet niet
B1-1
Er moet gebruik worden gemaakt van een
Voldoet/
Demilitarised Zone (DMZ), waarbij
Voldoet niet
TPM1-S001
JA
Voldoet/
Dit rapport
Voldoet niet
JA
Voldoet/
Dit rapport
Voldoet niet
TPM1-H001
NEE
TPM1-H001
NEE
TPM1-H001
NEE
TPM1-H001
JA
compartimentering wordt toegepast en de
verkeersstromen tussen deze
compartimenten wordt beperkt tot alleen de
hoogst noodzakelijke.
B1-2
B1-3
Beheer- en productieverkeer zijn van elkaar
Voldoet/
gescheiden.
Voldoet niet
Netwerktoegang tot de webapplicaties is
Voldoet/
voor alle gebruikersgroepen op een zelfde
Voldoet niet
wijze ingeregeld.
B2-1
B3-1
Maak gebruik van veilige
Voldoet/
beheermechanismen.
Voldoet niet
De webapplicatie valideert de inhoud van
Voldoet/
een HTTP-request voor die wordt gebruikt.
Voldoet niet
Voldoet/
Voldoet niet
TPM1-S001
NEE
Dit rapport
Nr
B3-2
Beschrijving van de norm
Getoetst bij
Referentie /
leverancier
rapportnummer
De webapplicatie controleert voor elk HTTP
Voldoet/
verzoek of de initiator geauthenticeerd is en
Voldoet niet
Aanvullende
Getoetst bij
beheersmaatregelen
gebruikers-
gebruikersorganisatie3
organisatie
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-S001
NEE
TPM1-H001
NEE
de juiste autorisaties heeft.
B3-3
B3-4
B3-5
De webapplicatie normaliseert invoerdata
Voldoet/
voor validatie.
Voldoet niet
De webapplicatie codeert dynamische
Voldoet/
onderdelen in de uitvoer.
Voldoet niet
Voor het raadplegen en/of wijzigen van
Voldoet/
gegevens in de database gebruikt de
Voldoet niet
webapplicatie alleen geparametriseerde
queries.
B3-6
De webapplicatie valideert alle invoer,
Voldoet/
gegevens die aan de webapplicatie worden
Voldoet niet
aangeboden, aan de serverzijde.
B3-7
De webapplicatie staat geen dynamische file
Voldoet/
includes toe of beperkt de keuze
Voldoet niet
mogelijkheid (whitelisting).
Een (geautomatiseerde) blackbox scan wordt
Voldoet/
15
periodiek uitgevoerd.
Voldoet niet
B3-
Zet de cookie attributen ‘HttpOnly’ en
Voldoet/
16
‘Secure’.
Voldoet niet
B5-1
Voer sleutelbeheer in waarbij minimaal
Voldoet/
gegarandeerd wordt dat sleutels niet
Voldoet niet
B3-
Referentie /
rapportnummer
Nr
Beschrijving van de norm
Getoetst bij
Referentie /
leverancier
rapportnummer
Aanvullende
Getoetst bij
beheersmaatregelen
gebruikers-
gebruikersorganisatie3
organisatie
Referentie /
rapportnummer
onversleuteld op de servers te vinden zijn.
B5-2
B5-3
B5-4
Maak gebruik van versleutelde (HTTPS)
Voldoet/
TPM1-H001
verbindingen.
Voldoet niet
TPM1-S001
Sla gevoelige gegevens versleuteld of
Voldoet/
TPM1-H001
gehashed op.
Voldoet niet
Versleutel cookies.
Voldoet/
NEE
JA
Voldoet/
Dit rapport
Voldoet niet
TPM1-H001
NEE
TPM1-H001
NEE
TPM1-H001
NEE
JA
Voldoet niet
B7-1
B7-8
Maak gebruik van Intrusion Detection
Voldoet/
Systemen (IDS).
Voldoet niet
Voer actief controles uit op logging.
Voldoet/
Voldoet niet
B7-9
Governance, organisatie, rollen en
Voldoet/
TPM1-S001
bevoegdheden inzake preventie, detectie en
Voldoet niet
TPM1-H001
response inzake informatiebeveiliging
dienen adequaat te zijn vastgesteld.
Voldoet/
Voldoet niet
Dit rapport
Related documents
Wij hebben geen onderzoek uitgevoerd naar de juistheid
Wij hebben geen onderzoek uitgevoerd naar de juistheid
Indien bij een beveiligingsrichtlijn wel voldaan is aan de
Indien bij een beveiligingsrichtlijn wel voldaan is aan de
Intake Klaas - Hart en Handen
Intake Klaas - Hart en Handen
Coördinator Logistiek
Coördinator Logistiek
VOORBEELDBRIEF - Koninklijke Horeca Nederland
VOORBEELDBRIEF - Koninklijke Horeca Nederland
Hoe kan ik het veiligheidsbesef van mijn
Hoe kan ik het veiligheidsbesef van mijn
Open vragen bij hfst.1 Roel Grit
Open vragen bij hfst.1 Roel Grit
Productiemedewerker 3 ploegen
Productiemedewerker 3 ploegen
De overheid gaat digitaal. U ook? Leer werken met de elektronische
De overheid gaat digitaal. U ook? Leer werken met de elektronische
Transformation Prayer Ministry
Transformation Prayer Ministry
Verkenning e•Herkenning een andere opzet voor DigiD
Verkenning e•Herkenning een andere opzet voor DigiD
Richtlijn 3402: Assurance-rapporten interne beheersing
Richtlijn 3402: Assurance-rapporten interne beheersing
Download
advertisement