11 September 2018

Wijziging Richtlijnen Testaanpak DigiD ICT Beveiligingsassessments

Onlangs heeft de NOREA bekend gemaakt enkele aanvullingen en uitbreidingen op te nemen in een herziening van de testaanpak zoals gehanteerd voor DigiD ICT Beveiligingsassessments op basis van de door Logius voorgeschreven Norm ICT Beveiligingsassessments 2.0.

In deze update is vanuit het perspectief van een gebruikersorganisatie (bijvoorbeeld een Gemeente of pensioenfonds) beschreven wat de impact hiervan is en welke aanvullende activiteiten er zullen moeten worden belegd om te blijven voldoen aan de Norm ICT Beveiligingsassessments 2.0. Het betreft (voor de gebruikersorganisatie) wijzigingen aan de volgende normen:

  • U/TV.01: De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.
  • U/WA.02: Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.
  • U/NW.04: De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van protectie- en detectiemechanisme.
  • U/WA.05: De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken.
  • U/NW.06: Voor het configureren van netwerken is een hardeningsrichtlijn beschikbaar.

Voorgestelde acties vanuit AuditConnect

Per norm is hieronder in het kort beschreven welke acties voor de gebruikersorganisatie vanuit AuditConnect voorgesteld worden.

  • U/TV.01: het autorisatiebeheerproces (in-, door- en uitstroom van medewerkers en externen) verschuift van U/WA.02 naar U/TV.01. Dit is een logische wijziging, gezien het autorisatiebeheer niet duidelijk werd afgebakend door de vorige testaanpak.

Actie: Als uw organisatie reeds voldeed aan U/WA.02 en U/TV.01 vereist dit geen actie. Mocht dit niet het geval zijn dient een autorisatiebeheerproces opgezet te worden.

  • U/WA.02: (security) Incidentenbeheer is toegevoegd aan de reikwijdte van de norm. Dit is een substantiële wijziging als gevolg van een omissie in de testaanpak.

Actie: Verzorg dat uw organisatie een incidentenbeheerproces heeft waarin onderscheid wordt gemaakt in beveiligings- en reguliere incidenten, Incidenten worden opgevolgd, hierover periodiek aan het management (of bestuur) gerapporteerd wordt en dat meldingen van externe instanties zoals het NCSC worden geregistreerd en beoordeeld als onderdeel van het incidentmanagementproces.

  • U/NW.04: Dit betreft een wijziging in de plaatsing van het Intrustion Prevention / Detection System. In lijn met best practices is toegevoegd dat deze pas na ontsleuteling van het netwerkverkeer geplaatst mag worden.

Actie: Verzorg, indien dit nog niet geïmplementeerd was, dat netwerkverkeer door de IDS / IPS loopt nadat het verkeert ontsleuteld is. Pas de netwerktekening aan zodat dit ook gereflecteerd wordt in de opzet.

  • U/WA.05: Specificaties ten aanzien van verbindingsversleuteling zijn gewijzigd. Op grond van het door de NCSC geschreven document ICT-beveiligingsrichtlijnen voor Transport Layer Security TLS uit 2014 dient minimaal de categorie ‘Voldoende’ of ‘Goed’ ingericht te zijn op de webserver.

Actie: In de praktijk voldoen PKI-Overheidscertificaten hier aan. Verzorg (in samenwerking met uw serviceorganisatie) dat er gebruik wordt gemaakt van veilige protocollen en versleutelingsalgoritmen. Indien uw certificaat hier niet aan voldoet, beoordeel dan in welke mate deze instellingen behaald kunnen worden.

  • U/NW.06: DNSSEC (Domain Name System Security Extensions) dient op het met DigID-authenticatie gekoppelde domein ingericht te zijn. Deze richtlijnen zijn ook een vereiste vanuit het Forum voor Standaardisatie, waardoor dit veelal al ingericht is.

Actie: neem contact op met uw domeinbeheerder en verifieer of DNSSEC ingericht is op het betreffende domein. Zo niet, verzorg dat DNSSEC ingericht wordt.

Verdere ontwikkelingen

NOREA heeft ook kenbaar gemaakt vanaf 2019 enkele normen op de werking te willen gaan onderzoeken. Dit houdt in dat bewijsvoering t.a.v. relevante normen inzichtelijk gemaakt moeten kunnen worden over het gehele verantwoordingsjaar alvorens een auditor conform de richtlijnen een ‘Voldoet’ kan afgeven.

Momenteel is nog niet duidelijk of de eis van NOREA t.a.v. de toetsing op werking voor of na mei 2019 in werking treedt. NOREA heeft aangegeven hierover nog met een separaat bericht te komen op hun website.

Interesse of vragen met betrekking tot het DigID-assessment of testaanpak?

AuditConnect kan ondersteunen in de voorbereiding, uitvoeren en borging van uw DigID-beveiligingssysteem. Mochten er naar aanleiding van de dit artikel vragen of ondersteuning gewenst zijn, neem dan contact op met AuditConnect via info@auditconnect.nl of bel ons op 055-3010100.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect