ICT-beveiligingsassessments

Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer  aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.

Op deze pagina vindt u meer informatie over de norm, het toetsingsproces en de procedures die organisaties moeten volgen.

Norm

De norm v2.0 (PDF | 86 kB) is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties.

Het NCSC heeft deze richtlijnen medio 2015 vernieuwd. Op basis daarvan heeft het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een nieuw normenkader vastgesteld. Voorafgaand hebben deelnemers aan het Afnemersoverleg DigiD hier input op kunnen geven. Sinds 1 juli 2017 geldt het nieuwe normenkader v2.0.

Naar boven

Toetsing

Nadat organisaties hebben vastgesteld dat de noodzakelijke maatregelen zijn getroffen om aan de norm te voldoen, moeten zijn een toetsing (IT-audit) laten doen door een Register EDP-auditor. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

De in het register van de NOREA (Nederlandse Orde van Register EDP-Auditors) ingeschreven Register EDP-auditors zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de 'Code of Ethics' en de International Standards on Auditing (ISA's).

Neem in eerste instantie contact op met uw accountantskantoor voor het vinden van een RE-auditor.

Door NOREA is een handreiking gepubliceerd met een toelichting op enkele formele aspecten bij de opdrachten inzake de DigiD-assessments. Deze handreiking vindt u op de website van NOREA.

Let op: Het betreft een Guidance, geen één op één handhaving.

Naar boven

Penetratietesten

Door NOREA is, naast een handreiking met een toelichting op de DigiD-assessments, ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten.

Deze handreiking vindt u op de website van Norea.

Naar boven

Scope toetsing

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". 

Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst)bedoeld.

Naar boven

Stappen

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een RE-auditor.

Stap 6: bevindingen naar Logius sturen

  1. De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. De rapportage, die in overleg met de beroepsgroep van de auditors tot stand is gekomen, bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.
  2. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd. Het postadres is:
    Logius
    t.a.v. ICT-Beveiligingsassessments
    Antwoordnummer 16073
    2501 VE Den Haag

    Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.

    Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

Naar boven

Digitaal aanleveren

U kunt de rapportages vanaf 1 januari 2018 ook digitaal versturen naar:

DigiDassessment@logius.nl

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er 1 PDF/A- bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie.

Indien u kiest voor het digitaal en versleuteld aanleveren, dient u de publieke sleutel van het PKI-overheid certificaat behorende bij het DigiDassessment@logius.nl e-mailadres te importeren in uw e-mailapplicatie. De publieke sleutel (digidbeveiligingsassessments.cer) is te vinden onder het kopje Documentatie. Sla deze op op uw computer.

Hieronder volgen instructies hoe deze te importeren in de meest gebruikte email programma’s. Als u de mail versleuteld wilt versturen, dan nemen we hem alleen in behandeling als u deze op de beschreven manier heeft versleuteld.

Outlook (2007 en nieuwer)

Door beperkingen die Microsoft in Outlook heeft ingebouwd is het versleuteld versturen van e-mail helaas niet mogelijk indien u zelf niet beschikt over een digitale ID (een eigen PKI-certificaat). Zie voor meer informatie versleutelen berichten outlook. Zodra u ook uw eigen certificaat heeft geïmporteerd kunt u de beveiligingsopties instellen met de volgende instructies.

U dient een contactpersoon aan te maken in Outlook waaraan u het PKIoverheid certificaat kunt koppelen. Dit kunt u doen door naar het scherm voor contactpersonen te gaan (over het algemeen staat de snelkoppeling hiervoor linksonder), en daar te kiezen voor “nieuwe contactpersoon”. U dient een naam in te vullen en het e-mailadres. Bovenin het scherm staan een aantal opties vermeld, waaronder de optie “certificaten”. Als u hierop klikt komt u in een nieuw scherm waar u kiest voor “importeren”. U navigeert naar de plaats waar u het certificaat heeft opgeslagen en opent deze.

Mozilla Thunderbird

In Thunderbird gaat u naar “Opties/Preferences” en vervolgens naar “Geavanceerd/Advanced” en het tabblad “Certificaten/Certificates”. Hier kiest u voor “Certificaten beheren/Manage Certificates”, kiest u voor het tabblad “People/Anderen” en kiest u voor “Import/Importeren”. Vervolgens navigeert u naar de locatie waar u het certificaat heeft opgeslagen.

Zodra u een versleuteld e-mailbericht wilt sturen naar Logius kiest u bij een nieuw bericht boven in de menubalk bij “Beveiliging/Security” voor “Versleutel dit bericht/Encrypt this Message”. U heeft hiervoor alleen het certificaat vanuit Logius nodig, niet een eigen certificaat (i.t.t. Outlook).

Gemeenten en ENSIA

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.
Voor inhoudelijke vragen over deze methodiek kunt u contact opnemen met KING:

Contact

Logius

Voor vragen over de procedure en de toetsing kan men terecht bij Logius.

NCSC

Voor inhoudelijke vragen over de richtlijn beveiliging webapplicaties kan men terecht bij NCSC via 070 888 75 99 op werkdagen van 9.30 - 12.00 uur of richtlijnen@ncsc.nl.

NOREA

Register EDP-auditors kunnen voor vragen over het toetsingsproces terecht bij NOREA.

Naar boven