ICT-beveiligingsassessments

Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer  aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.

Op deze pagina vindt u meer informatie over de norm, het toetsingsproces en de procedures die organisaties moeten volgen.

Norm

De norm v1.0 (PDF | 201 kB) is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van NCSC. Deze richtlijn bestaat uit 2 documenten. Het eerste deel bevat de daadwerkelijke richtlijnen, het tweede deel de toelichting met aanbevelingen daarop.

In het kader van DigiD zijn de richtlijnen die de meeste impact hebben op de veiligheid van DigiD en de met DigiD ontsloten gegevens gekwalificeerd als de norm en onderdeel van de toetsing. Logius adviseert echter de hele set van richtlijnen van NCSC te adopteren.

Informatie over het nieuwe normenkader V2.0, dat voor 2017 geldig is.

Naar boven

Toetsing

Nadat organisaties hebben vastgesteld dat de noodzakelijke maatregelen zijn getroffen om aan de norm te voldoen, moeten zijn een toetsing (IT-audit) laten doen door een Register EDP-auditor. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

De in het register van de NOREA (Nederlandse Orde van Register EDP-Auditors) ingeschreven Register EDP-auditors zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de 'Code of Ethics' en de International Standards on Auditing (ISA's).

Neem in eerste instantie contact op met uw accountantskantoor voor het vinden van een RE-auditor.

Door NOREA is een handreiking gepubliceerd met een toelichting op enkele formele aspecten bij de opdrachten inzake de DigiD-assessments. Deze handreiking vindt u op de website van NOREA.

Let op: Het betreft een Guidance, geen één op één handhaving.

Naar boven

Penetratietesten

Door NOREA is, naast een handreiking met een toelichting op de DigiD-assessments, ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten.

Deze handreiking vindt u op de website van Norea.

Naar boven

Scope toetsing

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". 

Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst)bedoeld.

Naar boven

Stappen

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een RE-auditor.

Stap 6: bevindingen naar Logius sturen

  1. De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. De rapportage, die in overleg met de beroepsgroep van de auditors tot stand is gekomen, bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.
  2. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd. Het postadres is:
    Logius
    t.a.v. ICT-Beveiligingsassessments
    Antwoordnummer 16073
    2501 VE Den Haag

    Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.

    Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

Naar boven

Gemeenten en ENSIA

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.
Voor inhoudelijke vragen over deze methodiek kunt u contact opnemen met KING:

Contact

Logius

Voor vragen over de procedure en de toetsing kan men terecht bij Logius.

NCSC

Voor inhoudelijke vragen over de richtlijn beveiliging webapplicaties kan men terecht bij NCSC via 070 888 75 99 op werkdagen van 9.30 - 12.00 uur of richtlijnen@ncsc.nl.

NOREA

Register EDP-auditors kunnen voor vragen over het toetsingsproces terecht bij NOREA.

Naar boven