Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Rapportage-voorbeeld DigiD-Assessment NAAM

advertisement 
Rapportage-voorbeeld DigiD-Assessment NAAM SERVICEPROVIDER
(versie 2016)
Kenmerk
:
TPM1-H001
Datum
:
12-03-2016
Van
:
NAAM AUDITOR
Aansluiting :
81001
Inhoudsopgave
1
Assurancerapport van de onafhankelijke auditor
2
1.1
Opdracht
2
1.2
Verantwoordelijkheden van de opdrachtgever
2
1.3
Verantwoordelijkheden van de opdrachtnemer (auditor)
2
1.4
Beperkingen
3
1.5
Oordelen
4
1.6
Beoogde gebruikers en doel
6
2
Criteria
8
3
Object van onderzoek
9
4
Verantwoordelijkheid gebruikersorganisatie
10
A
Bijlage A - Beschrijving van de testresultaten van de auditor
12
B
Bijlage B – Object van onderzoek
20
i
1
Assurancerapport van de onafhankelijke auditor
1.1
Opdracht
Ingevolge
de
opdracht
beveiligingsassessment
van
<OPDRACHTGEVER>
uitgevoerd
op
de
hebben
webomgeving
van
wij
een
DigiD-
DigiD-aansluiting
<AANSLUITNUMMER en AANSLUITNAAM> van <ORGANISATIE> zoals gespecificeerd in
hoofdstuk 3 Object van onderzoek. Het onderzoek wordt conform de ‘Handleiding
uitvoering ICT-beveiligingsassessment’ versie 2.1 van Logius uitgevoerd. De opdracht
omvatte het onderzoeken van de opzet en het bestaan van maatregelen en procedures
gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting
<AANSLUITNUMMER en AANSLUITNAAM>.
Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van
interne beheersingsmaatregelen van de betreffende DigiD-aansluiting en brengen
daarover geen oordeel tot uitdrukking.
[Hoofdstuk 4 ‘Verantwoordelijkheid gebruikersorganisatie’ verwijst naar de behoefte
aan aanvullende interne beheersingsmaatregelen van de gebruikersorganisaties. De
geschiktheid van de opzet, het bestaan of de werking van deze aanvullende interne
beheersingsmaatregelen van een gebruikersorganisatie hebben wij niet geëvalueerd.
Aan de beveiligingsrichtlijnen van de ‘Norm ICT-beveiligingsassessments DigiD’ wordt
alleen
voldaan,
indien
gebruikersorganisatie
aanvullende
samen
met
de
interne
beheersingsmaatregelen
interne
beheersingsmaatregelen
van
van
een
de
serviceorganisatie op afdoende wijze zijn opgezet en geïmplementeerd.
1.2
Verantwoordelijkheden van de opdrachtgever
<OPDRACHTGEVER> is verantwoordelijk voor de beschrijving van het object van
onderzoek,
het
verlenen
van
DigiD-diensten,
het
onderkennen
van
de
beveiligingsrisico’s van de DigiD-webomgeving en het opzetten en implementeren van
interne
beheersingsmaatregelen
om
te
voldoen
aan
de
‘Norm
ICT-
beveiligingsassessments’ DigiD van Logius.
1.3
Verantwoordelijkheden van de opdrachtnemer (auditor)
Onze
verantwoordelijkheid
is,
op
basis
van
onze
werkzaamheden,
per
beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius een
oordeel te geven over de opzet en het bestaan van de maatregelen gericht op de ICT
2
beveiliging van de webomgeving van DigiD aansluiting <AANSLUITNUMMER en
AANSLUITNAAM>.
We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, en de NOREA
Richtlijn 3000, ‘Richtlijn Assurance-opdrachten door IT-auditors’. Dit vereist dat wij
voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden
zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen
over de vraag of de interne beheersingsmaatregelen, in alle van materieel belang
zijnde aspecten, op afdoende wijze zijn opgezet en bestaan.
Een assurance-opdracht om te rapporteren over opzet en bestaan van interne
beheersingsmaatregelen bij een organisatie omvat het uitvoeren van werkzaamheden
ter verkrijging van assurance-informatie over de opzet en het bestaan van interne
beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de
door de auditor van de organisatie toegepaste oordeelsvorming, met inbegrip van het
inschatten van de risico’s dat de interne beheersingsmaatregelen niet op afdoende
wijze zijn opgezet of niet bestaan.
Zoals hierboven staat vermeld, hebben wij geen werkzaamheden uitgevoerd met
betrekking tot de werking van interne beheersingsmaatregelen die bij de beschrijving
waren inbegrepen; wij brengen derhalve daarover geen oordelen tot uitdrukking.
Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en
geschikt is om daarop een onderbouwing voor onze oordelen te bieden.
1.4
Beperkingen
Wij kunnen geen verantwoordelijkheid aanvaarden voor wijzigingen in de door ons
gehanteerde feiten en omstandigheden na de datum waarop wij de desbetreffende
werkzaamheden hebben afgerond, tenzij wij tijdig van de wijzigingen in de door ons
gehanteerde feiten en omstandigheden op de hoogte zijn gebracht.
De
‘Norm
ICT-beveiligingsassessments
DigiD’
is
een
selectie
van
beveiligingsrichtlijnen uit de ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het
Nationaal Cyber Security Centrum (NCSC). Daarom zijn we niet in staat om een overall
oordeel te verschaffen omtrent de beveiliging van de DigiD-aansluiting.
Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact
hebben op de veiligheid van DigiD-webapplicaties. Wij adviseren de organisatie om in
aanvulling op de richtlijnen in de ‘Norm ICT-beveiligingsassessments DigiD’, ook de
andere richtlijnen uit de ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het NCSC
te adopteren. Wij wijzen u erop dat, indien wij aanvullende beveiligingsrichtlijnen
3
zouden hebben onderzocht wellicht andere onderwerpen zouden zijn geconstateerd
die voor rapportering in aanmerking zouden zijn gekomen.
In de volgende paragraaf geven wij onze oordelen ten aanzien van de ‘Norm ICTbeveiligingsassessments DigiD’.
1.5
Oordelen
Onze oordelen zijn gevormd op basis van de werkzaamheden zoals ze zijn beschreven
in deze rapportage. Per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments
DigiD’ van Logius wordt een oordeel gegeven over de opzet en het bestaan per
<DATUM>. De criteria waarvan wij gebruik hebben gemaakt, zijn opgenomen in
onderstaande tabel en een toelichting is te vinden in hoofdstuk 2.
Per beveiligingsrichtlijn hebben wij hieronder vermeld of met redelijke mate van
zekerheid wordt voldaan aan de beveiligingsrichtlijn. Om de leesbaarheid van dit
rapport te vergroten zijn de conclusies in deze tabel weergegeven als “voldoet” of
“voldoet niet”, waarbij “voldoet” geïnterpreteerd dient te worden als “Wij zijn van
oordeel dat de interne beheersingsmaatregelen die verband houden met de op die
regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in
alle materiële opzichten effectief zijn” en “voldoet niet” geïnterpreteerd dient te worden
als “Wij zijn van oordeel dat de interne beheersingsmaatregelen die verband houden
met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in
hoofdstuk 2 niet in alle materiële opzichten effectief zijn”.
(Indien bij een beveiligingsrichtlijn wel voldaan is aan de opzet van de interne
beheersmaatregel, maar het bestaan niet vastgesteld kan worden omdat de relevante
gebeurtenis zich niet heeft voorgedaan in de onderzochte periode, dan wordt dit
weergegeven als “voldoet”. In een voetnoot wordt de volgende zin opgenomen: ‘‘Wij
hebben vastgesteld dat deze organisatie maatregelen heeft ontworpen en ingericht
met betrekking tot deze norm en hebben deze gevalideerd. Vanwege het feit dat zich
geen situatie heeft voorgedaan waarop deze maatregel betrekking heeft, hebben wij
het bestaan niet kunnen vaststellen. Wij zijn echter van oordeel dat de organisatie
voldoet aan deze norm.”)
[In onderstaande tabel worden alleen de oordelen per beveiligingsrichtlijn opgenomen
welke door de auditor op basis van eigen werkzaamheden zijn bepaald]
4
Nr
B0-5
Beschrijving van de beveiligingsrichtlijn
Oordeel
Alle wijzigingen worden altijd eerst getest voordat deze in
Voldoet/
productie worden genomen en worden via
Voldoet niet
wijzigingsbeheer doorgevoerd.
B0-6
B0-7
Maak gebruik van een hardeningsproces, zodat alle ICT-
Voldoet/
componenten zijn gehard tegen aanvallen.
Voldoet niet
De laatste (beveiligings)patches zijn geïnstalleerd en deze
Voldoet/
worden volgens een patchmanagement proces
Voldoet niet
doorgevoerd.
B0-9
B0-12
B1-1
Vulnerability assessments (security scans) worden
Voldoet/
periodiek uitgevoerd.
Voldoet niet
Ontwerp en richt maatregelen in met betrekking tot
Voldoet/
toegangsbeveiliging/toegangsbeheer.
Voldoet niet
Er moet gebruik worden gemaakt van een Demilitarised
Voldoet/
Zone (DMZ),
Voldoet niet
waarbij compartimentering wordt toegepast en de
verkeersstromen tussen deze compartimenten wordt
beperkt tot alleen de hoogst noodzakelijke.
B1-2
B1-3
Beheer- en productieverkeer zijn van elkaar gescheiden.
Voldoet/
Voldoet niet
Netwerktoegang tot de webapplicaties is voor alle
Voldoet/
gebruikersgroepen op een
Voldoet niet
zelfde wijze ingeregeld.
B2-1
Maak gebruik van veilige beheermechanismen.
5
Voldoet/
Voldoet niet
Nr
Beschrijving van de beveiligingsrichtlijn
B5-1
Oordeel
Voer sleutelbeheer in waarbij minimaal gegarandeerd
Voldoet/
wordt dat sleutels niet onversleuteld op de servers te
Voldoet niet
vinden zijn.
B5-2
Maak gebruik van versleutelde (HTTPS) verbindingen.
B5-3
Sla gevoelige gegevens versleuteld of gehashed op1.
B5-4
Versleutel cookies.
B7-1
Maak gebruik van Intrusion Detection Systemen (IDS).
B7-8
Voer actief controles uit op logging.
B7-9
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Voldoet/
Voldoet niet
Governance, organisatie, rollen en bevoegdheden inzake
Voldoet/
preventie, detectie en response inzake
Voldoet niet
informatiebeveiliging dienen adequaat te zijn vastgesteld.
1.6
Beoogde gebruikers en doel
De
minister
van
BZK
wil
een
structurele
en
forse
impuls
geven
aan
de
kwaliteitsverhoging van ICT-beveiliging bij overheidsorganisaties die gebruik maken
van DigiD. Deze organisaties moeten jaarlijks een ICT beveiligingsassessment laten
verrichten onder verantwoordelijkheid van een gekwalificeerde IT-auditor (RE),
teneinde de DigiD gebruikende organisaties en Logius inzicht te geven in de ICT
beveiliging van de webomgeving van DigiD aansluiting.
1
Voor zover betrekking hebbend op DigiD
6
Onze
schriftelijke
rapportage
met
bijlage
C
is
alleen
bestemd
voor
<OPDRACHTGEVER>, haar cliënten en hun auditors en Logius aangezien anderen, die
niet op de hoogte zijn van de precieze scope, aard en doel van de werkzaamheden, de
resultaten onjuist kunnen interpreteren. De rapportage (al dan niet met bijlagen),
onderdelen of samenvattingen daarvan mogen niet mondeling of schriftelijk aan
derden
beschikbaar
worden
gesteld
zonder
onze
voorafgaande
schriftelijke
toestemming. De bijlagen A en B zijn alleen bestemd voor <OPDRACHTGEVER>. Bijlage
C is bedoeld om Logius een totaaloverzicht te verschaffen (‘volledigheid van de scope’)
over de resultaten van verschillende assessments, indien gebruik is gemaakt van
rapporten inzake serviceorganisatie(s).
Voor zover het <OPDRACHTGEVER> en Logius is toegestaan het rapport aan derden
beschikbaar te stellen, zal het rapport origineel, volledig en ongewijzigd beschikbaar
worden gesteld. Indien de producten van onze werkzaamheden aan derden ter
beschikking worden gesteld, dient erop te worden gewezen dat zonder onze
uitdrukkelijke voorafgaande schriftelijke toestemming geen rechten aan het product
kunnen worden ontleend. Het verstrekken van deze toestemming kan omgeven zijn
met nadere voorwaarden.
<PLAATS EN DATUM, IDENTIEK AAN DATUM 1.5>
<NAAM AUDITOR/ AUDITORGANISATIE>
7
2
Criteria
Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact
hebben op de veiligheid van DigiD-webapplicaties. In dit onderzoek zullen wij ons
derhalve op de ‘Norm ICT-beveiligingsassessments DigiD’ richten. De criteria waarvan
gebruik wordt gemaakt bij het uitvoeren van de assurance-opdracht hielden in dat:
•
de
interne
beheersingsmaatregelen
die
verband
houden
met
de
beveiligingsrichtlijnen op afdoende wijze zijn opgezet en daadwerkelijk zijn
geïmplementeerd;
•
de risico’s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen en
daarmee de betrouwbaarheid van DigiD aantasten, werden onderkend;
•
de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals
beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico’s
het voldoen aan beveiligingsrichtlijnen niet zouden verhinderen.
8
3
Object van onderzoek
Het
object
van
onderzoek
was
de
webomgeving
van
DigiD
aansluiting
<<AANSLUITNUMMER en AANSLUITNAAM>.
<ORGANISATIE> biedt de volgende functionaliteit aan waarvoor DigiD aansluiting
<AANSLUITNUMMER en AANSLUITNAAM> ter authenticatie wordt gebruikt: <HIGH
LEVEL OPSOMMING VAN AANGEBODEN FUNCTIONALITEIT>. Deze functionaliteit wordt
geboden door de volgende webapplicatie(s):
•
<LIJST MET APPLICATIES>
Deze applicatie(s) betreft/betreffen <GEHEEL MAATWERK / EEN COMBINATIE VAN
MAATWERK EN STANDAARD SOFTWARE / GEHEEL STANDARD PAKKET> en worden
onderhouden door <<ORGANISATIE> / NAAM SERVICE PROVIDER 1>. De infrastructuur
waarop de applicaties draaien wordt beheerd door <<ORGANISATIE> / NAAM SERVICE
PROVIDER 2>.
Het onderzoek heeft zich gericht op de webapplicaties, de URLs waarmee deze
applicaties kunnen worden benaderd, de infrastructuur (binnen de DMZ waar
webapplicaties zich bevinden) en een aantal ondersteunende processen conform de
‘Norm ICT-beveiligingsassessments DigiD’ van Logius.
In bijlage B geven wij u een meer gedetailleerde beschrijving van het object van
onderzoek.
9
4
Verantwoordelijkheid gebruikersorganisatie
In het kader van de DigiD ICT-beveiligingsassessment zijn wij <ORGANISATIE> een
service-organisatie. Bij de opzet en implementatie van interne beheersingsmaatregelen
nemen
wij
voor
een
aantal
beveiligingsrichtlijnen
van
de
‘Norm
ICT-
beveiligingsassessments DigiD’ aan, dat enkele interne beheersingsmaatregelen door
de gebruikersorganisaties zullen worden geïmplementeerd om te voldoen aan deze
beveiligingsrichtlijnen.
In de onderstaande tabel wordt aangegeven voor welke beveiligingsrichtlijn(en) deze
aanname
is
gedaan
en
welke
gewenste
interne
beheersingsactiviteit
bij
de
gebruikersorganisaties kunnen worden geïmplementeerd om te voldoen aan de
desbetreffende beveiligingsrichtlijn van de 'Norm ICT-beveiligingsassessments DigiD'
van Logius.
Nr
B0-5
Beschrijving van de
Gewenste interne beheersingsactiviteit
beveiligingsrichtlijn
gebruikersorganisatie
Alle wijzigingen worden
Lorem ipsum dolor sit amet, consectetur
altijd eerst getest voordat
adipiscing elit, sed do eiusmod tempor
deze in productie worden
incididunt ut labore et dolore magna aliqua.
genomen en worden via
wijzigingsbeheer
doorgevoerd.
B0-12
Ontwerp en richt
Lorem ipsum dolor sit amet, consectetur
maatregelen in met
adipiscing elit, sed do eiusmod tempor
betrekking tot
incididunt ut labore et dolore magna aliqua.
toegangsbeveiliging/toega
ngsbeheer.
B0-13
Niet (meer) gebruikte
Lorem ipsum dolor sit amet, consectetur
websites en/of informatie
adipiscing elit, sed do eiusmod tempor
moet worden verwijderd.
incididunt ut labore et dolore magna aliqua.
10
Nr
B0-14
B5-3
B7-9
Beschrijving van de
Gewenste interne beheersingsactiviteit
beveiligingsrichtlijn
gebruikersorganisatie
Leg afspraken met
Lorem ipsum dolor sit amet, consectetur
leveranciers vast in een
adipiscing elit, sed do eiusmod tempor
overeenkomst
incididunt ut labore et dolore magna aliqua.
Sla gevoelige gegevens
Lorem ipsum dolor sit amet, consectetur
versleuteld of gehashed
adipiscing elit, sed do eiusmod tempor
op2.
incididunt ut labore et dolore magna aliqua.
Governance, organisatie,
Lorem ipsum dolor sit amet, consectetur
rollen en bevoegdheden
adipiscing elit, sed do eiusmod tempor
inzake preventie, detectie
incididunt ut labore et dolore magna aliqua.
en response inzake
informatiebeveiliging
dienen adequaat te zijn
vastgesteld.
2
Voor zover betrekking hebbend op DigiD
11
A
Bijlage A - Beschrijving van de testresultaten van de auditor
In het kader van deze assurance-opdracht hebben wij de volgende werkzaamheden uitgevoerd:
•
Het verkrijgen van inzicht in de relevante kenmerken van de DigiD-webomgeving.
•
Het vaststellen van de scope van de assessment, inclusief het vaststellen van de maatregelen die bij de service
organisatie moeten worden onderzocht.
•
Het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico’s en
het onderzoek in hoeverre deze risico’s worden afgedekt door maatregelen.
•
Het inventariseren van de opzet en het vaststellen van het bestaan van de relevante maatregelen. Dit door middel
van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles
en uitgevoerde pentesten, alsmede eigen waarnemingen.
•
Het analyseren van de uitkomsten van onze werkzaamheden met als doel het geven van oordelen per
beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius.
Hieronder treft u een korte beschrijving van de uitgevoerde werkzaamheden en onze oordelen ter verbetering van de
DigiD-webomgeving. Onze oordelen zijn verwoord als voldoet/voldoet niet (met reden) per beveiligingsrichtlijn. Om de
leesbaarheid van dit rapport te vergroten zijn de conclusies in deze tabel weergegeven als “voldoet” of “voldoet niet”,
waarbij “voldoet” geïnterpreteerd dient te worden als “Wij zijn van oordeel dat de interne beheersingsmaatregelen die
verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in alle
materiële opzichten effectief zijn” en “voldoet niet” geïnterpreteerd dient te worden als “Wij zijn van oordeel dat de
interne beheersingsmaatregelen die verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de
criteria genoemd in hoofdstuk 2 niet in alle materiële opzichten effectief zijn”.
12
Nr
B0-5
B0-6
B0-7
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Alle wijzigingen worden altijd eerst
Lorem ipsum dolor sit amet,
getest voordat deze in productie
consectetur adipiscing elit, sed do
worden genomen en worden via
eiusmod tempor incididunt ut labore
wijzigingsbeheer doorgevoerd.
et dolore magna aliqua.
Maak gebruik van een
Lorem ipsum dolor sit amet,
hardeningsproces, zodat alle ICT-
consectetur adipiscing elit, sed do
componenten zijn gehard tegen
eiusmod tempor incididunt ut labore
aanvallen.
et dolore magna aliqua.
De laatste (beveiligings)patches zijn
Lorem ipsum dolor sit amet,
geïnstalleerd en deze worden
consectetur adipiscing elit, sed do
volgens een patchmanagement
eiusmod tempor incididunt ut labore
proces doorgevoerd.
et dolore magna aliqua.
Vulnerability assessments (security
B0-9
scans) worden periodiek
uitgevoerd.
Lorem ipsum dolor sit amet,
consectetur adipiscing elit, sed do
eiusmod tempor incididunt ut labore
et dolore magna aliqua.
13
Oordeel en eventuele adviezen
Voldoet/Voldoet niet
Voldoet/Voldoet niet
Voldoet/Voldoet niet
Voldoet/Voldoet niet
Nr
B0-12
B1-1
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Ontwerp en richt maatregelen in
Lorem ipsum dolor sit amet,
met betrekking tot
consectetur adipiscing elit, sed do
toegangsbeveiliging/toegangsbehe
eiusmod tempor incididunt ut labore
er.
et dolore magna aliqua.
Er moet gebruik worden gemaakt
Lorem ipsum dolor sit amet,
van een Demilitarised Zone (DMZ),
consectetur adipiscing elit, sed do
waarbij compartimentering wordt
eiusmod tempor incididunt ut labore
toegepast en de verkeersstromen
et dolore magna aliqua.
Oordeel en eventuele adviezen
Voldoet/Voldoet niet
Voldoet/Voldoet niet
tussen deze compartimenten wordt
beperkt tot alleen de hoogst
noodzakelijke.
Lorem ipsum dolor sit amet,
B1-2
Beheer- en productieverkeer zijn
consectetur adipiscing elit, sed do
van elkaar gescheiden.
eiusmod tempor incididunt ut labore
et dolore magna aliqua.
14
Voldoet/Voldoet niet
Nr
B1-3
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Netwerktoegang tot de
Lorem ipsum dolor sit amet,
webapplicaties is voor alle
consectetur adipiscing elit, sed do
gebruikersgroepen op een
eiusmod tempor incididunt ut labore
zelfde wijze ingeregeld.
et dolore magna aliqua.
Lorem ipsum dolor sit amet,
B2-1
Maak gebruik van veilige
consectetur adipiscing elit, sed do
beheermechanismen.
eiusmod tempor incididunt ut labore
Oordeel en eventuele adviezen
Voldoet/Voldoet niet
Voldoet/Voldoet niet
et dolore magna aliqua.
B5-1
Voer sleutelbeheer in waarbij
Lorem ipsum dolor sit amet,
minimaal gegarandeerd wordt dat
consectetur adipiscing elit, sed do
sleutels niet onversleuteld op de
eiusmod tempor incididunt ut labore
servers te vinden zijn.
et dolore magna aliqua.
Lorem ipsum dolor sit amet,
B5-2
Maak gebruik van versleutelde
consectetur adipiscing elit, sed do
(HTTPS) verbindingen.
eiusmod tempor incididunt ut labore
et dolore magna aliqua.
15
Voldoet/Voldoet niet
Voldoet/Voldoet niet
Nr
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Lorem ipsum dolor sit amet,
B5-3
Sla gevoelige gegevens versleuteld
consectetur adipiscing elit, sed do
of gehashed op3.
eiusmod tempor incididunt ut labore
Oordeel en eventuele adviezen
Voldoet/Voldoet niet
et dolore magna aliqua.
Lorem ipsum dolor sit amet,
B5-4
Versleutel cookies.
Voldoet/Voldoet niet
consectetur adipiscing elit, sed do
eiusmod tempor incididunt ut labore
et dolore magna aliqua.
Lorem ipsum dolor sit amet,
B7-1
Maak gebruik van Intrusion
consectetur adipiscing elit, sed do
Detection Systemen (IDS).
eiusmod tempor incididunt ut labore
Voldoet/Voldoet niet
et dolore magna aliqua.
Lorem ipsum dolor sit amet,
B7-8
Voer actief controles uit op logging.
consectetur adipiscing elit, sed do
eiusmod tempor incididunt ut labore
et dolore magna aliqua.
3
Voor zover betrekking hebbend op DigiD
16
Voldoet/Voldoet niet
Nr
B7-9
Beschrijving van de
Korte beschrijving van de uitgevoerde
beveiligingsrichtlijn
werkzaamheden
Governance, organisatie, rollen en
Lorem ipsum dolor sit amet,
bevoegdheden inzake preventie,
consectetur adipiscing elit, sed do
detectie en response inzake
eiusmod tempor incididunt ut labore
informatiebeveiliging dienen
et dolore magna aliqua.
adequaat te zijn vastgesteld.
17
Oordeel en eventuele adviezen
Voldoet/Voldoet niet
B
Bijlage B – Object van onderzoek
Het object van onderzoek was de webomgeving van DigiD aansluiting <AANSLUITNUMMER en AANSLUITNAAM>
<ORGANISATIE> biedt de volgende functionaliteit aan waarvoor DigiD aansluiting <DIGID KOPPELING> voor authenticatie wordt
gebruikt: <HIGH LEVEL OPSOMMING VAN AANGEBODEN FUNCTIONALITEIT>. Deze functionaliteit wordt geboden door de volgende
webapplicatie(s):
•
<LIJST MET APPLICATIES>
Deze applicatie(s) betreft/betreffen <GEHEEL MAATWERK / EEN COMBINATIE VAN MAATWERK EN STANDAARD SOFTWARE / GEHEEL
STANDARD PAKKET> en worden onderhouden door <<ORGANISATIE> / NAAM SERVICE PROVIDER>.
Deze applicaties zijn extern benaderbaar via de volgende URL(s): <LIJST MET URLS> en bevinden zich in een DMZ met ip-reeks
<___.___.___.___-___>. De infrastructuur waar deze applicaties op draaien wordt beheerd door <<ORGANISATIE> / NAAM SERVICE
PROVIDER> in de vorm van <MANAGED SERVICES / FYSIEKE HOSTING / REMOTE SUPPORT / SAAS >.
Het object van onderzoek was de webomgeving van DigiD aansluiting <DIGID KOPPELING> (‘DigiD webomgeving’). Het onderzoek
heeft zich gericht op de webapplicaties, de URLs waarmee deze kunnen worden benaderd, de infrastructuur (binnen de DMZ waar
webapplicaties zich bevinden) en een aantal ondersteunende processen conform de “Norm ICT-beveiligingsassessments DigiD” van
Logius.
Het navolgde schema toont de webomgeving die is onderzocht door middel van een infrastructurele test.
<VERVANGEN DOOR SCHEMA SPECIFIEK VOOR DE ORGANISATIE, incl. vermelding systemen en evt. netwerktekeningen>
Related documents
Informatie voor ouders
Informatie voor ouders
Vanaf 1 Oktober 2013, heb ik een nieuwe massage-tafel!
Vanaf 1 Oktober 2013, heb ik een nieuwe massage-tafel!
Wijst, wat is dat? - Natuurcentrum De Maashorst
Wijst, wat is dat? - Natuurcentrum De Maashorst
PPS-overeenkomst
PPS-overeenkomst
radioactieve stoffen in het consumptiewater
radioactieve stoffen in het consumptiewater
Waarom zullen wij wachten?
Waarom zullen wij wachten?
Download
advertisement