2015 DigiD Hajjouji, M

I

OnderwegnaareeneenduidigereenconsistenteDigiDICT-beveiligingsassessment

Afstudeerscriptie Versie:0.9

Auteur: MouradHajjouji(2515129)

Datum: 10september2015

Opleiding: VrijeUniversiteitAmsterdam:PostGraduateITAudit

Scriptienummer: 2045

II

“DEHARDSTESTRIJDONTSTAATNIETDOORDATMENINGOPMENINGBOTST,MAARALSTWEEMENSENHETZELFDEZEGGENENEROVERDE

INTERPRETATIEVANDATZELFDEWORDTGEVOCHTEN.”

SÖRENKIERKEGAARD;DEENSFILOSOOF1813-1855

III

VOORWOORDDezescriptieishetresultaatvanmijnafstudeerprojectaandeVrijeUniversiteitteAmsterdam.Hetonderzoek isuitgevoerd inhetkadervanhet afrondenvandePostgraduateOpleiding ITAudit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen enBedrijfskunde.DoorveelbetrokkentezijngeweestbijDigiDassessmentskwamikinaanrakingmethetDigiDnormenkader.MijnervaringmetdeklantenwaarikDigiDassessmentsuitvoerdeleerdemijdater verschillende interpretaties bestonden rondom de richtlijnen uit het normenkader. Deklanten vonden dat ze voldeden aan bepaalde normen (door te vergelijken met anderegemeentendievoldedenaanderichtlijnen)enwijalscontrolerendeorganisatievondendatzenietvoldeden.Dediscussiesmetdeklantenresulteerdeuiteindelijk inontevredenklantendiehetnieteenswarenmetdegepubliceerderapportenendusvoordeeerstvolgendeassessmentgebruikzoudenmakenvaneenITauditorganisatiewaarbijhunopzetenbestaanwelvoldeedaan de richtlijn.Deze discussies zorgde ervoor dat ik een geschikt onderwerp vond ommijnstudieafteronden.GraagbedankikmijnbegeleiderPaulHarmzen,RERA(VrijeUniversiteit)voorzijnbegeleidingenondersteuningbijdeuitvoeringvanditonderzoekende totstandkomingvandezescriptie.TevensbedankikdeITauditorsdiedeelhebbengenomenaanditonderzoek.ZonderdemeningvandezeITauditorswasiknietinstaatgeweestomdeinformatieteverzamelendienodigwasvoorditonderzoek.MouradHajjoujiAmsterdam,september2015

IV

SAMENVATTINGDe introductie van internet heeft vele soorten van dienstverlening in de wereld veranderd.Onderanderedewijzewaaropweonskunnenlegitimerenbijdeoverheid.Menkanzichviahetinternet steeds meer elektronisch legitimeren. Sinds enkele jaren is DigiD in Nederlandgeïntroduceerd. DigiD is het digitale authenticatiemiddel voor overheidsinstanties enorganisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is eenpersoonlijkecombinatievaneengebruikersnaameneenwachtwoord(Rijksoverheid,2014).

De DigiD haalt helaas regelmatig op een negatieve wijze de landelijke media. Denk aan deDigiNotar affaire uit 2011waarbij het bedrijf dat de beveiligingscertificaten van ondermeerDigiD leverdegehacktwas.DeDigiDwebapplicatiekentvelekwetsbaarhedenenbedreigingen.Daarom heeft de voormalig minister Spies van het ministerie van Binnenlandse Zaken enKoninkrijksrelaties (BZK) in2012demaatregel afgekondigddat alleorganisatiesdie gebruikmaken van de DigiD hun ICT beveiliging moeten laten toetsen middels een ICT-beveiligingsassessment. Dit assessment is gebaseerd op 28 beveiligingsmaatregelen uit hetdocument ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber SecurityCenter.Ook isbeschrevendatdebeveiligingsrichtlijnendoorhunopzetbreedtoepasbaarzijn.Dit isalsrichtlijn fijnomvooreenbreedspectrumaandienstverlening toe tekunnenpassen,maar als toepassingvoordenormvanDigiD te generiek.De literatuurbeschrijfthoe jedezebrederichtlijnenoverhetalgemeenzoumoetenbeoordelen,maarbeschrijftnietvoldoendehoede norm voor DigiD geïnterpreteerd moet worden. Daarom ligt de aandacht van ditafstudeeronderzoek bij het opstellen van een eenduidigere en consistente DigiD ICT-beveiligingsassessment.

Deprobleemstellingvandeafstudeerscriptie luidtdaarom“Watzijnonderliggendemaatregelenvan het normenkader en welke wegingsfactoren worden toegekend aan de onderliggendemaatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van debeveiligingsrichtlijnenvanhetDigiDICT-beveiligingsassessmenttekomen?”

OmdeconsistentievandeoordeelsvormingvandeDigiDnormenkaderverderteverbeterenhebikhetdoorLogiusenhetNCSCgedefinieerdenormenkadergespecificeerd.Hetdocument ‘ICT-beveiligingsrichtlijnenvoorwebapplicaties’vanhetNationalCyberSecurityCenter isgebruiktvoor de selectie van de onderliggende maatregelen. Middels deze exercitie ben ik tot deconclusiegekomendaternietvoldoenderisico identificatieenspecificatietengrondslagheeftgelegenbijhetopstellenvanhetDigiDnormenkader.Ditheeftertoegeleiddat inconsistentiekanoptredenindeoordeelsvormingvandeDigiDnorm.

Aan de hand van de literatuurstudie en een dialoogmet eenDigiD expert heb ik zelfstandigonderliggendemaatregelengesplitstin‘musthave’en‘shouldhave’maatregelen.Daarnaasthebikde ‘musthave’maatregeleneenweginggegevenomeen totaaloordeel tekunnenvellenperrichtlijn.Ditnormenkaderendewegingenzijnvervolgensvoorgelegdaanexpertsdieveelvuldigmetinformatiebeveiligingtemakenhebben.Waarnodigzijnvervolgensaanpassingengemaakt.

Het resultaat van dit onderzoek is een gespecificeerd normenkader voor DigiD ICT-beveiligingsassessment,waarmeeeen IT-auditoreenconsistentoordeelkanvellen.Daarnaastzijnvoorde‘musthave’maatregelenwegingsfactorenopgestelddiealshulpmiddelingezetkanwordenomoverzichtelijkereentotaaloordeelpernormtevellen.

V

INHOUD1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEIT VAN ICT-BEVEILIGING ......................... 1

1.1 INTRODUCTIE ....................................................................................................................................... 11.2 ACHTERGROND..................................................................................................................................... 11.3 PROBLEEMSTELLING............................................................................................................................... 21.4 ONDERZOEKSDOELSTELLING ..................................................................................................................... 2

1.4.1 Hoofdvraag .................................................................................................................................. 31.4.2 Deelvragen................................................................................................................................... 3

1.5 SCOPE ................................................................................................................................................ 41.6 BEPERKINGEN ...................................................................................................................................... 41.7 ONDERZOEKSMETHODOLOGIE .................................................................................................................. 4

1.7.1 Onderzoeks methode.................................................................................................................... 51.7.2 Onderzoeksplan ........................................................................................................................... 5

1.8 RELEVANTIE VAN HET ONDERZOEK ............................................................................................................. 71.9 RAPPORTSTRUCTUUR ............................................................................................................................. 7

2 LITERATUURSTUDIE ................................................................................................................................. 8

2.1 DIGID ................................................................................................................................................ 82.1.1 Webapplicatie .............................................................................................................................. 92.1.2 Gebruik van DigiD ........................................................................................................................ 9

2.2 KWETSBAARHEDEN EN BEDREIGINGEN ...................................................................................................... 112.3 DIGID BEVEILIGINGSRISICO’S .................................................................................................................. 122.4 DIGID ICT-BEVEILIGINGSASSESSMENT ...................................................................................................... 16

2.4.1 Norm ICT-beveiligingsassessments DigiD .................................................................................... 162.4.1.1 Onderliggende maatregelen ............................................................................................................. 17

2.5 HANDREIKING NOREA .......................................................................................................................... 182.6 CONCLUSIE LITERATUURSTUDIE ............................................................................................................... 19

3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN VAN WEGINGSFACTOREN ........................... 20

3.1 SPLITSING ......................................................................................................................................... 203.1.1 Methodiek ................................................................................................................................. 203.1.2 Uitvoering .................................................................................................................................. 21

3.2 WEGINGSFACTOREN ............................................................................................................................ 233.2.1 Methodiek ................................................................................................................................. 243.2.2 Toekenning ................................................................................................................................ 24

4 BEVINDINGEN VAN HET PRAKTIJKONDERZOEK ...................................................................................... 27

4.1 INTERVIEW 1: .................................................................................................................................... 274.1.1 Bevindingen ............................................................................................................................... 27

4.2 INTERVIEW 2 ..................................................................................................................................... 284.2.1 Bevindingen ............................................................................................................................... 28

5 CONCLUSIE ............................................................................................................................................. 30

5.1 BEANTWOORDING DEELVRAGEN ............................................................................................................. 305.2 BEPERKINGEN EN VERVOLGONDERZOEK .................................................................................................... 325.3 REFLECTIE ......................................................................................................................................... 33

6 LITERATUURLIJST ................................................................................................................................... 34

Bijlage A. Norm ICT-beveiligingsassessments DigiD ............................................................................. 35Bijlage B. Maatregelen van de DigiD normen ...................................................................................... 37Bijlage C. Norea Handreiking voor DigiD assessments ......................................................................... 43Bijlage D. Initiële splitsing mede op basis van interview ...................................................................... 48

VI

Bijlage E. Initiële wegingsfactoren ..................................................................................................... 58Bijlage F. Finale Normenkader ........................................................................................................... 58Bijlage G. Rekenmodel ....................................................................................................................... 58

F I GU R E N L I JS T FIGUUR 1: ONDERZOEKSMODEL ................................................................................................................................ 4FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN ................................................................................................ 5FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES ........................................................................... 13

TABEL LEN LIJST TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014).................................................................... 8TABEL 2: RISICO’S PER BEVEILIGINGSRICHTLIJN............................................................................................................. 15TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN .............................................................. 17TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN .................................................................... 21TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN .................................................................... 22TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN .................................................................... 23TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN ...................................................................................... 24TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING ............................................................................................ 25TABEL 9: BEVEILIGINGSRICHTLIJN B-07 INCLUSIEF WEGING ............................................................................................ 26

GRAFIEKEN LIJST GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013) ................ 9GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT ............................................................................. 10GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT

TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE. ...................................................................................... 11

1

1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEITVANICT-BEVEILIGING

1.1 INTRODUCTIE

Indithoofdstukwordteenintroductiegegevenvandeonderzoekstudieomdelezereenglobaalbeeld te geven van de strekking van deze scriptie. Eerst introduceer ik hetonderzoeksonderwerp door een informatieve achtergrond te geven in paragraaf 1.2. Inparagraaf 1.3 geef ik de probleemstelling. Vervolgens geef ik in paragraaf 1.4 deonderzoeksdoelstellingendeonderzoeksvragen.Inparagraaf1.5en1.6geef ikdescopeendebeperkingenvanhetonderzoek. Inparagraaf 0beschrijf ikdeonderzoeksmethodologie en in1.9 geef ik aanwat de bijdrage van dit onderzoek is. Als laatste geef ik in paragraaf 1.9 destructuurvanditrapportaan.

1.2 ACHTERGROND

Cyber-security staat de laatste jaren veel in de belangstelling.Organisatiesdie veel verliezenlijden, inbraken op controlesystemen, aanvallen op kritische infrastructuur en vele andereonderwerpenbereiktendepubliciteitdeafgelopenperiode.In2011heeftdetechnologiewebsiteWebwerelddemaandoktoberuitgeroepentot“demaandvanhetprivacy lek”ookwelbekendals “Lektober”.Tijdensdezemaandheeftdewebsiteaangetoonddatde ICT-beveiligingbijdeoverheid niet altijd in orde was. Andere voorvallen, die wat meer recentelijk zijn, zijn deNederlandsebankenendeDigiD-voorzieningdie temakenhebbengehadmetcyberaanvallen.Hierdoorwerddedigitaledienstverleningvandezeorganisatiesstilgelegd.DeICT-beveiligingisindeeersteplaatseenverantwoordelijkheidvande individuele(overheids-)organisatieszelf.Maar dat alléén is niet voldoende met de huidige elektronische dienstverlening die doorverschillende partijen tot stand komt. Deze dienstverlening is vaak modulair en in ketensgeorganiseerd.De informatiebeveiliging indeketen als geheelmoetoporde zijn.De zwaksteschakelsindieketensbepalennamelijkdeveiligheidvandeketenalsgeheel.

Voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties(BZK)heeftop29oktober2012demaatregelafgekondigddatalleorganisaties (bijvoorbeeldalle403gemeenten)diegebruikmakenvandeDigiD(hetdigitaleauthenthicatiemiddelvoordeoverheidendienstverlenersmeteenpublieketaak)hunICTbeveiliging,voorzoverdezeDigiDraakt, laten toetsenmiddels een ICT-beveiligingsassessment1.Deze jaarlijkse verplichtstellingzou de veiligheid van de koppelingen met de DigiD moeten borgen. Via een ICT-beveiligingsassessmentmoetenzijditvervolgensdooreenRegisterEDP-auditorlatentoetsen.

DeICT-beveiligingsassessmentmoetdebeveiligingsnormtoetsen.Dezenormisgebaseerdopderichtlijnenuithetdocument“ICT-beveiligingsrichtlijnenvoorwebapplicaties”vanhetNationaalCyber Security Centrum (NCSC). Deze bestaat uit 59 richtlijnen. De norm voor de ICT-beveiligingsassessment is vastgesteld door het ministerie van Binnenlandse Zaken enKoninkrijksrelaties inoverlegmetLogius,RijksauditdienstenNCSC.DebeveiligingsrichtlijnenvanNCSCzijnbreedtoepasbaarvoorICT-oplossingendiegebruikmakenvanwebapplicaties.De

1 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2012/10/29/aanbiedingsbrief-bij-rapport-ict-beveiligingsassessments-digid.html

2

norm,28richtlijnen,bestaatuitderichtlijnenmetdehoogsteimpactopdeveiligheidvanDigiD.Logius2adviseertechterdehelesetvanrichtlijnenvanNCSCteadopteren.

1.3 PROBLEEMSTELLING

De beveiligingsrichtlijnen zijn breed opgezet zodat deze breed toepasbaar zijn voor ICT-oplossingen.Voorde IT-auditors ishetuitgangspuntdatperbeveiligingsrichtlijn eenoordeelwordt gevraagd. Nu leidt het breed opzetten van normen in de praktijk tot verschillendeinterpretatiesvanhetnormenkader.Dit resulteertvervolgens totverschillendebeoordelingenvandebeveiligingsrichtlijnendoordeITauditors.HierdoorwordthetvoorLogius,departijdieverantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments,moeilijkeromeeneenduidigenconsistenttotaaloordeeltegeven.DaarnaastheeftLogiuservoorgekozenomgeeninzichtindecriteriategevendiewordengehanteerdbijdeinterpretatievande rapportages. Logius doet dit om ‘gedragseffecten' te voorkomen. Ook beschrijft de ICT-Beveiligingsrichtlijnen voor webapplicaties dat de toepassing van de beveiligingsrichtlijnenkunnen worden verheven tot een normenkader. Afhankelijk van de aard en de specifiekekenmerken van de dienst zouden maatregelen kunnen worden weggelaten en/of wordenopgenomen enkunnenwegingsfactorenvande individuelemaatregelenworden aangepast inhetnormenkader.Eennormenkader isvoorDigiDopbeveiligingsrichtlijnniveauopgesteld.AlsikdaneenniveaulagerkijkdanzieikdatvoorhetnormenkadervandeDigiDgeeneenduidigeonderliggendespecificeringisopgesteld.

1.4 ONDERZOEKSDOELSTELLING

HetnormenkadervanhetDigiDICT-beveiligingsassessmentsismomenteelnietspecifiekgenoegom eenduidige en consistente beoordelingen per beveiligingsrichtlijn te krijgen van deverschillendeITauditorsbinnendeverschillendeorganisatiesdieactiefzijn.IedereorganisatiedieDigiDICT-beveiligingsassessmentsuitvoertkaneenandereinterpretatieenwegingsfactorenvan maatregelen van een beveiligingsrichtlijn hanteren. Onderliggende maatregelen zijn demaatregelen die een DigiD gebruikersorganisatie moet nemen om te voldoen aan éénbeveiligingsrichtlijn.Hierdoor bestaat demogelijkheid dat ermet verschillendematenwordtgemeten.DitresulteertvoorLogiusinnietconsistenteoordelenvanhetassessment.

In de volgende subparagrafen staan de onderzoeksvragen die ik met het onderzoek wilbeantwoorden.

2LogiusisonderdeelvanhetministerievanBinnenlandseZakenenKoninkrijksrelatiesenzorgtvooroverheidsbrede,samenhangendeICT-producten.LogiusverzorgthetbeheervanhetauthenticatiemiddelDigiDendebijbehorendegebruikersondersteuning.

HetdoelvandezescriptieisomhetnormenkadervanDigiDICT-beveiligingsassessmentverdertespecificerenominconsistenteoordeelsvormingdoormiddelvandiversiteitinde

interpretatiesenwegingsfactorenteminimaliseren.

3

1.4.1 HOOFDVRAAGIndevoorgaandeparagraafhebikvastgestelddathetonderzoeksprojecthetnormenkadervanDigiD ICT-beveiligingsassessmentmoet specificeren.Daarom isdehoofdonderzoeksvraag,diedefocuszalleggeninhetopbouwenvandetheorievandezescriptie,alsvolgt:

Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactorenwordentoegekendaandeonderliggendemaatregelenopbeveiligingsrichtlijnniveauomtoteen consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICT-beveiligingsassessmenttekomen?

Hierbijgaathetomde interpretatievanhetnormenkaderendegenomenmaatregelenwaarbijde weging als hulpmiddel zal dienen om overzichtelijk vast te stellen in hoe hoeverre debetreffendebeveiligingsrichtlijnadequaatisingevuld.

1.4.2 DEELVRAGEN

Om de hoofdvraag te beantwoorden begin ik eerst met het beantwoorden van een aantaldeelvragen.Daaromwordtdeonderzoeksvraagonderverdeeldineenaantaldeelvragenomhetonderzoekbetertestructureren.Dedeelvragenhebbeneenduidelijke logicaenzijngebaseerdop het onderzoeksmodel. Het onderzoek begint met het begrijpen van de onderzochteonderwerpendoorhetuitvoerenvaneen literatuuronderzoekomeenbeteregriptekrijgenopdeinterpretatievandebeveiligingsrichtlijnen.Daaromzullendeeerstedriedeelvragenalsvolgtzijn:

1. Welkeonderliggendemaatregelenzijnnodigomdebeveiligingsrichtlijnenaftedekken?

Methetresultaatvandezevraagbenikinstaatomdeverschillendeonderliggendemaatregelentedefiniërenperbeveiligingsrichtlijn.Devolgendestap inhetonderzoek isomvast testellenwelke set maatregelen minimaal getroffen moeten worden voor het DigiD ICT-beveiligingsassessment.Ditleidttotdevolgendedeelvraag:

2. Welkeonderliggendemaatregelenmoetenminimaalgetroffenworden(musthaves)enwelkeonderliggendemaatregelenzijnzeergewenst(shouldhaves)?

Elkebeveiligingsrichtlijnzalbestaanuitverschillendesetsmaatregelen.Omvervolgensaan tekunnengeven inhoeverredebetreffendebeveiligingsrichtlijnadequaat is ingevuld ishetvanbelang dat de maatregelen die minimaal getroffen moeten worden (“must haves”) eenwegingsfactormeekrijgenom tot een consistenteoordeelsvorming tekomen.Dit leidt totdevolgendedeelvraag:

3. Welkewegingsfactorenworden toegekend aandeonderliggendemaatregelenvan eenbeveiligingsrichtlijndieminimaal getroffenmoetenworden (must haves) ommiddelseenhulpmiddeltoteenconsistenteoordeelsvormingtekomen?

4

Een overzicht van het onderzoeksmodel is na het onderzoeken van de probleemstelling enhoofdvraagopgesteldenafgebeeldinFiguur1.

FIGUUR1:ONDERZOEKSMODEL

1.5 SCOPE

Het DigiD ICT-beveiligingsassessment is gebaseerd op de richtlijnen uit het document “ICT-beveiligingsrichtlijnenvoorwebapplicaties”vanhetNCSC.Ditonderzoekheeftzichuitsluitendgerichtophetnormenkaderdat isvastgestelddoorhetministerievanBinnenlandseZakenenKoninkrijksrelaties voor DigiD. Dit normenkader bestaat uit 28 beveiligingsrichtlijnen. Deoverigebeveiligingsrichtlijnenzijnbinnenditonderzoekbuitenbeschouwinggelaten.

1.6 BEPERKINGEN

Dit onderzoek heeft zich uitsluitend gericht op de interpretatie van het normenkader tenbehoeve van het auditen van DigiD koppelingen. Voor de interpretatie van debeveiligingsrichtlijnenword uitsluitend gebruik gemaakt van de richtlijnen uit het document“ICT-beveiligingsrichtlijnen voor webapplicaties” van het NCSC en expert judgement vandeskundigendieveelervaringhebbenininformatiebeveiliging.

1.7 ONDERZOEKSMETHODOLOGIE

In deze paragraaf zal ik de onderzoeksmethodologie beschrijven. Eerst beschrijf ik deonderzoeksmethodeendanhetonderzoeksplan.

Huidige normenkaderRichtlijn1:…Richtlijn2:…Richtlijn3:…

Richtlijn27:…Richtlijn28:…

SpecificerenRichtlijn1:…Maatregel 1:..Maatregel 2:..

Richtlijn2:…Maatregel 1:…Maatregel 2:..Maatregel 3:..

SplitsenMust have: Should have:Richtlijn1:… Richtlijn1..Maatregel 1:.. Maatregel

2:..Richtlijn2:… Richtlijn2:…Maatregel 1:… Maatregel

2:…Maatregel 3:..

WegenMust have:

Richtlijn1:…Maatregel 1:.. (10)

Richtlijn2:…Maatregel 1:… (2)

Maatregel 3:.. (8)

5

1.7.1 ONDERZOEKSMETHODE

Volgens Yin (Yin, 2008) zijn er verschillende onderzoeksmethoden om wetenschappelijkonderzoek te doen, namelijk experimenten, enquêtes, literatuurstudie, interviews, en hetverrichten van observaties of case studies. Een literatuurstudie en interviews zijn goedemethodenvoorditonderzoek,omdatdeliteratuurvoldoendederisico’svaneenwebapplicatieendetenemenmaatregelenomditrisicogrotendeelstemitigerenbeschrijft.DeDigiDapplicatieisookeenwebapplicatie.Daarnaast ishetonderzoeksobjectvandezescriptiede interpretatievandeDigiD ICT-beveiligingsnorm.Omeenonderzoekrondom interpretatieuittevoerenzijninterviewsmetdeskundigendeidealemethode.

1.7.2 ONDERZOEKSPLAN

Hetonderzoeksplaniseenplanvanhoedeinformatieverzameldgaatwordenomvervolgensdeonderzoeksvraagtebeantwoorden.Hetonderzoekiskwalitatiefvanaardeninfasesuitgevoerdengebaseerdopde aanpakvancasestudymethodologievanYin.De aanpak isgebaseerdopbasisvaneen literatuuronderzoekendoormiddelvan interviewsmetpraktijkbeoefenaarsdiemet het onderwerp DigiD ICT-beveiligingsassessments veelvuldig in aanraking komen.Hierondergeefikkortaanwatikmiddelsbeidemethodenwilverzamelen.

1. Literatuurstudie

Over de interpretatie van DigiD ICT-beveiligingsnorm is weinig literatuur beschikbaar. Deliteratuurbeschrijftwelindetailshoemenderisico’svanwebapplicatieskanmitigerenmiddelsmaatregelen. Aangezien de DigiD applicatie tevens een web applicatie is, zal het in deliteratuuronderzoek gaan om de theoretische verdieping van de beveiligingsrichtlijnen en deonderliggendemaatregelen.Vanhieruithebikeeneersteversievandescriptiegeschrevenmetdaarineeninitiëlebeantwoordingvandeonderzoeksvraag.

2. Interviews

Bijdeinterviewsgaathetominzichtkrijgeninhoedeverschillendebetrokkenenvanuithunrolomgaan met het fenomeen DigiD ICT-beveiligingsrichtlijnen, of er aanvullingen zijn op demaatregelen,hoedescheidingin“musthave”en“shouldhave”maatregelenvolgenshenisendemeegegevenwegingsfactoren.Hiervoorzalikeensemigestructureerdinterviewhouden.

HieronderisdeopbouwconcreteruitgewerktinfasesdiedoorYinzijnopgesteld:

FIGUUR 2ONDERZOEKSMETHODESTAPPENVOLGENSYIN

6

PlanDeze fase bevat de formulering en verdieping van het onderzoeksgebied, probleemstelling,onderzoeksvragen,onderzoeksaanpak.

DesignDeze fase bevat het verzamelen, bestuderen en beschrijven van literatuur op het gebied vanDigiD (theoretische verdieping), hierbij zal de literatuurstudie een invulling geven aan de tehanteren definitie voor DigiD, de risico’s van de DigiD koppeling en de onderliggendemaatregelen van het DigiD normenkader die centraal staan in dit onderzoek. Dit resulteertvervolgens in een ontwerp van een gespecificeerd normenkader en een rekenmodel metwegingenalshulpmiddelomconsistenteoordelen tevellen.Voorafgaanddesplitsingzal ik ineen interviewmeteenDigiDdeskundigedeopzetvandesplitsingenenwegingenbespreken.Hiernaga ikaandehandvanexpert judgementvaststellenwelkeonderliggendemaatregelenminimaalgetroffenmoetenwordenenwelkeonderliggendemaatregelenzeergewenstzijn.Ookga ikdoormiddelvanexpert judgementvaststellenwelkewegingsfactoren toegekendmoetenworden aan de maatregelen die minimaal getroffen moeten worden om een gedegen enconsistenteoordeelsvormingteverkrijgen.Hiernaga ikdezeonderexperts inhetveldtoetsenmetbehulpvansemigestructureerdeinterviews.

PrepareDeze fase bestaat uit het voorbereiden van de semigestructureerde interviews. Eensemigestructureerdinterviewisalsmengeenvastevragenlijstwilgebruiken.Inplaatsdaarvangebruikt men diverse onderwerpen voor het interview. Hierbij is het belangrijk dat deonderzoekervaardigisinhetstellenvangoedeopenvragenoverdeonderwerpen,goedluistert,deantwoordengoedinterpreteert,zichzelfgoedkanaanpassenenflexibelis.

CollectDeze fase bestaat uit het voeren van de interviews met de praktijkbeoefenaars middelssemigestructureerde interviews. De volgende onderwerpen zullen als uitgangspunt voor dediscussiesdienen:· De gemaakte splitsing in ‘must have’ en ‘should have’ maatregelen voor de DigiD ICT-

beveiligingsassessment;· Aanvullingenopdeonderliggendemaatregelenperbeveiligingsrichtlijn;· Zwaarste/belangrijksteonderliggendemaatregelenvande‘musthave’maatregelendieook

dehoogstewegingsfactortoegekendmoetenkrijgen.Omgoednaardegeïnterviewdepersoon te luisterenen tekunnendoorvragenzal ikgebruikmakenvaneennotitieblokomdebelangrijksteaantekeningenalvastoppapier tezettenmaarookhetgesprek - inovereenstemmingmetdegeïnterviewdepersoon–opnemenomachterafnogterugtebeluisterenterverificatie.AnalyzeDezefasebevathetanalyserenvandeverkregen inputuitde interviews.Dezeanalysegebeurtperrichtlijnophetniveauvandegemaaktesplitsingendegemaakteweging.Afhankelijkvandeverkregenresponsezullenaanpassingengemaaktworden.

ShareDe‘Share’fasegaatoverhetafstemmenvandevastleggingvandegevoerdeinterviewsmetdeexpertsenhetverspreidenvandescriptieaandiversegeïnteresseerden.

7

1.8 RELEVANTIEVAN HETONDERZOEK

Theoretischerelevantie

Detheoretischedoelstellingvandezescriptie isomeensignificantebijdragete leverenaandeliteratuur van het normenkader van DigiD ICT-beveiligingsassessments in termen vaninterpretatie van de beveiligingsrichtlijnen, en daartoe behorende wegingsfactoren alshulpmiddel om consistente beoordelingen uit te voeren. Organisaties die het assessmentuitvoerengebruikenhetnormenkaderdatisafgegevendoorLogiuswelkegebaseerdisopbrederichtlijnenvanhetNCSC.Hetbreedopzettenvanbeveiligingsrichtlijnen leidt indepraktijktotverschillende interpretaties van het normenkader met verschillende beoordelingen perbeveiligingsrichtlijn. Dit leidt vervolgens tot implicaties voor Logius, de partij dieverantwoordelijk isvoorde interpretatievande conclusiesop grondvande assessmentsdieconsistentzijn.

ITauditorsrelevantie

IT auditorsvoelendenoodzaakomnaar een eenduidige en consistente interpretatievanhetnormenkader te gaan. IT auditorswillen vaststellenwat deminimale getroffenmaatregelenmoetenzijnomtevoldoenaaneenbeveiligingsrichtlijnenhetmitigerenvanderisico’sdieDigiDkoppelingenmetzichmeebrengen.Metde resultatenvandezestudiekunnen ITauditorseenbetere dienstverlening bieden om organisaties die gebruik maken van DigiD koppelingen teondersteunenbijhetopzettenvanmaatregelen.Ookkunnenzehiermeebeteraansluitenbijdeeisenvanklantenderhalveassessmentsvaneenbeterekwaliteituitvoeren.

1.9 RAPPORTSTRUCTUUR

Dezescriptiezalbeginnenmethoofdstuk 1waarinuitlegwordtgegevenoverdeachtergrondvanhetonderzoek,deprobleemstelling,dehoofd-endeelvraag,onderzoeksmethodologieenderelevantie. Hoofdstuk 2 zal de literatuurstudie beschrijven, zoals achtergrondinformatie vanDigiD,hetnormenkader ende risico´s.Hoofdstuk 3zaleenbeschrijvinggevenvande initiëleonderverdeling in “must have” en “should have” maatregelen en de initiëlewegingsfactoren.Hoofdstuk4beschrijftdeanalyseeninhoofdstuk5wordtdeconclusiebeschreven.Totslotzijndenormenkadersenspecificeringenindebijlagenopgenomen.

8

2 LITERATUURSTUDIE

In dit hoofdstuk wordt nader ingegaan op de achtergronden, de kwetsbaarheden enbedreigingen,debeveiligingsrisico’s,debeveiligingsnormenhettoetsingsproces.

2.1 DIGID

DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die eenoverheidstaakuitvoeren.DigiDstaatvoorDigitale Identiteiten iseenpersoonlijkecombinatievaneengebruikersnaameneenwachtwoord(Rijksoverheid,2014).DoormeteenpersoonlijkeDigiD in te loggen kan een persoon zich digitaal legitimeren bij de organisatiewaarbijmeninlogt. Zoweten organisatiesmetwie ze temaken hebben.Na het inloggen, krijgt technischgeziendeorganisatiewaarmeecontactgezochtwordthetBurgerservicenummervandepersoondievandedigitaledienstenvandeorganisatiegebruikwilmakenteruggekoppeld.Hiermeeweetdeontvangende instantiemetwiezetemakenheeftenoverwelke informatiezijreedsvandebetrokken persoon beschikt of kan beschikken (bijv. informatie uit de Gemeentelijk BasisAdministratie(GBA)ofindeeigenopgeslagenadministratie).Hierdoorkunneninmiddelsruim11miljoenpersoneninNederland,metbehulpvan1inlogcodedigitaalzakendoen(117miljoenkeer)met617overheidsorganisaties(Logius,Jaarrekening,2014).

DevoordelenvanDigiDzijnalsvolgtoptesommen:

► minderadministratievelasten;

► meerefficiëntie;

► eenbeteredienstverlening.

Een digitaal authenticatiemiddel voorziet de gebruikersorganisaties van DigiD in een aantalvoordelen die veelvoorkomende problemen oplossen/lasten minimaliseren. Helaas leidt hetgebruik van DigiD ook tot een aantal risico’s die uiteindelijk door middel van maatregelenbeheerstmoetenworden.

Logius is de organisatie in Nederland die verantwoordelijk is voor de digitale overheid. Zijbeheren en verbeteren de overheidsbrede en samenhangende ICT-producten en diensten,waaronderdeDigiD-koppelingendebijbehorendegebruikersondersteuning.Hierondergeef ikkortdestatistiekenrondomhetgebruikvandeDigiD.

DigiDstatistieken Aantalin2012 Aantalin2013ActieveDigiD’s(persoonlijkeaccounts) 9.800.000 11.011.509DigiDaansluitingenbijdeorganisaties 972 1.068OrganisatiesdiegebruikmakenvanDigiD 590 617AantalDigiDauthenticaties 75.500.00 117.032.632TABEL1:DIGIDSTATISTIEKENVANUIT LOGIUS(LOGIUS,JAARREKENING,2014)

DoordathetgebruikvanDigiDnoggroeitendevelecyberaanvallenishetbelangrijkdatdeICT-beveiliginginordeisbijdehoudervaneenDigiDkoppeling.

9

2.1.1 WEBAPPLICATIE

DeDigiDapplicatiewordtgekenmerktalseenwebapplicatie.Eenwebapplicatieofwebapp isgedefinieerd als applicatie software die bereikbaar is via eenwebbrowser of via een anderecliëntdieondersteuningbiedtvoorhetHypertextTransferProtocol(http)(Nations,2014).Eendergelijk cliënt wordt ‘http user agent’ genoemd. De applicatie software is gemaakt in eenbrowserenondersteuntprogrammeertaal(zoalsdecombinatievanJavascript,HTMLenCSS)enbaseertzichopeengemeenschappelijkewebbrowseromdeapplicatieweertegeven.Dekernvan deze definitie is dat een webapplicatie altijd bereikbaar is op basis van HTTP of deversleuteldevormhiervan:HTTPS(HTPPSecure).Defunctionaliteitdieeenwebapplicatiebiedtis onbeperkt, alleen de techniek is altijd gebaseerd op de HTPP-protocolstandaard (zoalsgedefinieerdin‘RequestsforComments’(RFC)1945,2068,2616,2617en2965).

2.1.2 GEBRUIKVANDIGID

Omdedigitaledienstverleningaanburgersenondernemersteverbeterenheeftdeoverheidin2011eenimplementatieagendatot2015opgesteld(i-NUP).Devisievandeoverheidis:

“Bedrijven en burgers kunnen uiterlijk in 2017 zaken die ze met de overheid doen, zoals hetaanvragenvaneenvergunning,digitaalafhandelen.”(Plasterk,2013).

Uit een benchmark onderzoek van een Big4 naar de digitale dienstverlening in 2013 ondergemeentenblijktereenbeperktestijginginhetgebruikvanDigiD(zieGrafiek1).Maarzienweweldatveelproductenalbijveelgemeentendigitaalaangebodenworden.

GRAFIEK1: PERCENTAGEGEMEENTENDAT PRODUCTEN INTERACTIEFAANBIEDTMETGEBRUIKVANDIGID(2011-2013)

HiernaastblijktookuithetonderzoekdaternogsteedsproductenvolledigdigitaalaangebodenwordenwaarbijdegebruikerszichniethoeventeauthentiserenmetDigiD.Diversegemeentengebruiken een alternatieve methode, zoals het inloggen met BSN of een eigenauthenticatiemethode.Devraagisinhoeverredeexclusiviteitvandegegevensendeprivacyvande burgers is gewaarborgd enwaaromDigiD niet gebruiktwordt bij de aangeboden digitaleproducten.Indekomendejarenzalditmoetenstijgennaar100%.

10

Indebenchmarkdigitaledienstverlening2013heeftdeonderzoekervoorallevolledigdigitaalafte nemen producten de ondersteunde authenticatiemechanisme(n) onderzocht. Hierinonderkennenzijdevolgendemethoden:

► DigiDisverplicht;

► DigiDwordtondersteundmaarisnietverplicht;

► Geenofanderauthenticatiemechanisme.

Inhetrapportwordtgeconstateerddathetvoordeburger,bijhetmerendeel(60,1%)vandeinteractiefaftenemenproducten,verplichtisomzichteauthentiserenmetDigiD(zieGrafiek2).VoordeproductenwaardeonderzoekerDigiDauthenticatiealsvereistziet,constaterenzijdat85%DigiDwordtverplicht.

GRAFIEK2:ONDERSTEUNDEAUTHENTICATIEMETHODEN PERPRODUCT

Naast gemeenten, wordt DigiD als authenticatiemiddel ook gebruikt door andereoverheidsinstellingenenbedrijven.Hieronderbelicht ik inhetkorteenaantalvoorbeeldenuitdepraktijk:

► Donorregister(https://www.donorregister.nl):eenpersoonkanzichdigitaallegitimerenbijhetdonorregisteromeenkeuzetemakenofzijnorganenenweefselsnahetoverlijdenwelofnietbeschikbaarvoortransplantatiewilstellen.

► CWI (https://digid.werk.nl): een persoon kan zich digitaal legitimeren om zich bij hetCentrum voor Werk en Inkomen in te schrijven en hulp te krijgen om aan werk eninkomentekomen.

► Belastingdienst(https://mijn.toeslagen.nl):eenpersoonkanzichdigitaallegitimerenbijdebelastingdienstomeenbelastingaangiftedigitaalteondertekenenofomtoeslagenonlineaantevragenoftewijzigen.

11

► Kadaster(https://mijn.overheid.nl):eenpersoonkanzichdigitaallegitimerenomintezienwatdeperceel-eneigendomsgegevenszijnvaneeneigenperceel.

► CBR(https://mijn.cbr.nl):eenpersoonkanzichdigitaallegitimerenbijhetCBRomtheorie-examens te reserveren, rijscholen temachtigen om een praktijkexamen aan te vragen,beroepsexamen reserveren/wijzigen, eigen verklaringen in te vullen en resultaten tebekijken.

► Studielink (https://app.studielink.nl): een persoon kan zich digitaal legitimeren bijstudielink om zich in te schrijven voor een opleiding op een school en eventueelstudiefinancieringaantevragen.

2.2 KWETSBAARHEDENEN BEDREIGINGEN

DeDigiDwebapplicatiekentvelekwetsbaarheden enbedreigingen.Dezekwetsbaarheden enbedreigingen zijn van verschillende niveaus; denk aan kwetsbaarheden en bedreigingen opauthenticatieniveau (bijvoorbeeld het omzeilen van authenticatiemechanismen), opnetwerkniveau (bijvoorbeeld Denial of Services (DOS)) of op applicatieniveau (bijvoorbeeldCross-SiteScripting(XSS)).

In Grafiek 3 worden de resultaten van een onderzoek van Whitehat Security naarveelvoorkomendelekken(top15)inwebapplicatiesgetoond(Whitehat,2013).

GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DEWAARSCHIJNLIJKHEIDAANDATTENMINSTEÉÉNKWETSBAARHEIDVOORKOMTOPEENWEBSITE.

Hiermeekanikvaststellendathetlekkenvaninformatie(54%)enCross-SiteScripting(52%)demeest voorkomende kwetsbaarheden zijn op webapplicaties. Het lekken van informatie

54% 52%

32%26% 25% 22% 21%

14% 13% 11% 11% 9% 8% 7% 4%

0%

10%

20%

30%

40%

50%

60%

12

(information leakage3) isoverhetalgemeeneenkwetsbaarheidwaarbijeenwebsitegevoeligegegevens openbaart, zoals de technische details van de webapplicatie, de omgeving ofgebruikersspecifiekegegevens.Gevoeligegegevenskunnenwordengebruiktdooreenaanvalleromdeapplicatie,dehosting-netwerk,ofgebruikersuittebuiten.Bekendevoorbeeldenzijnhetvergeten van HTML/Script commentaar met gevoelige informatie te verwijderen (databasewachtwoorden) of onjuiste applicatie/server configuraties. De op twee na veelvoorkomendekwetsbaarheid, ‘Cross-SiteScripting’4, iseen fout indebeveiligingvaneenwebapplicatie.Hetprobleemwordtveroorzaaktdoordatdeinvoerdiedewebapplicatieontvangt(zoalscookie,url,requestparameters)niet juistwordtverwerktenhierdoor indeuitvoer terechtkomtnaardeeindgebruiker. Via deze bug in de website kan er kwaadaardige code (Javascript, VBScript,ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookiesworden bekeken, sessies van een gebruiker worden overgenomen, functionaliteit van eenwebsitewordenverrijktofonbedoeldeactiesvooreengebruikerwordenuitgevoerd.Aldezekwetsbaarhedenleidentotrisico’svoordewebapplicatievanDigiD.

2.3 DIGIDBEVEILIGINGSRISICO’S

Digitaleinformatie-uitwisselingisvancruciaalbelangvoorhetfunctionerenvandeNederlandsemaatschappij. Er zijn weinig digitale processen te bedenken die kunnen worden uitgevoerdzonderenigeuitwisselingvan informatie.Besturingvanprocessengaat immersaltijdopbasisvan (management)informatie (Hintzbergen, Smulders, & Baars, 2008). De beschikbaarheid,integriteitenvertrouwelijkheidervankunnenvanessentieelbelangzijnvoorhetbehoudvandeconcurrentiepositie, winstgevendheid, cashflow, naleving van de wet en het imago van deorganisatie.Dezedigitaleservicesstaandaaromvaakindebelangstellingvanmensendiekwaadwillenendiemetverschillendebedoelingeneenbedreigingkunnenvormenvoordeaangebodenservice.Daaromwordensteedsmeerorganisatiesmethuninformatiesystemengeconfronteerdmet beveiligingsrisico’s. Denk aan risico’s zoals spionage, computerfraude, vandalisme ensabotage.Virussen,hackingenhetverhinderenvandienstverleningkomensteedsvakervoorenworden steeds groter en steeds innovatiever. De definitie van risico wordt als volgtgeformuleerd:

Risico ishetproductvandekansopoptredenvaneendreigingendemogelijkeschadealsgevolgvandezedreiging(risico=kansxschade)(Janssen,2007).Eenbeveiligingsrisicoisdanhetproductvandekansopoptredenvaneenbeveiligingsdreigingendemogelijkeschadealsgevolgevandezebeveiligingsdreiging.

Debelangrijkstegevolgenvandebeveiligingsrisico’sdieikzoukunnennoemenzijn1)datDigiDmisbruiktkanwordenomfraudeteplegenmetbijvoorbeeldtoeslagenof2)datdeprivacynietgewaarborgdkanworden.Fraudeurskunnenbijvoorbeeldzorg-enhuurtoeslagenaanvragenopbankrekeningnummerswaarzetoegangtoehebben.Recentzijnertweewebsitesofflinegehaaldomdatzijeropuitzoudenzijnom inloggegevensvoorDigiDteverzamelenomwellichtfraudemeeteplegen(Moerman,2014).Ookwaserinhetbeginvanhetjaarin2014eengevalwaarbijdeDigiDgegevensopnieuwzijnaangevraagdvaneengroepGroningsestudentenenwaarmeetoeslagenzijnaangevraagdenuitgekeerdoprekeningnummersvandefraudeurs.IntotaalzijnongeveervijfduizendDigiD-accountsbuitgemaaktdoorfraudeurs.SlachtoffersvanDigiDfraudezijnwel door de instanties schadeloos gesteld. Alle vijfduizend getroffenDigiD-accounts zijn

3https://www.owasp.org/index.php/Information_Leakage

4https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw

13

inmiddels helemaal verwijderd. Het is namelijk belangrijk dat digitale communicatiebetrouwbaarisenvoortdurendzorgkrijgt.Daaromkanikstellendatoverheidsorganisatiesdiegebruikmaken van DigiD en hun ICT-beveiliging onvoldoende op orde hebben, een risicovormen. Gegevens kunnenworden onderschept enmisbruikt.Dat kan afbreuk doen aan hetvertrouwendatgebruikershebbeninhetsysteemvanDigiD.

Inparagraaf2.1.2zagenwedatorganisaties in toenemendematediensten(moetenofzullen)aanbiedenviaDigiD.Ditwordtaangebodenviawebsitesenwebservices.De informatiediedeorganisatieskunnenaanbiedenendemogelijkhedendiedesystemenbiedennemenooksteedsmeer toe. Afhankelijkheid van een dergelijk informatiesysteem en bijbehorende dienstenbetekentdatorganisatiessteedskwetsbaarderwordenvoorbedreigingenviadebeveiliging.Deverbinding tussen de openbare en private netwerken en het delen van gegevens, deketenafhankelijke digitale dienstverlening, maakt het steeds moeilijker om deinformatiebeveiligingvoldoendeoporde tehouden.Debeveiligingvande geheleketenmoetdaaromopordezijn.Dezwaksteschakelsindieketensbepalenuiteindelijkdeveiligheidvandegehele keten.HetNCSC beschrijft daarom ook dat het van belang is dat de aandacht bij debeveiliging van dewebapplicatie niet alleen uitgaat naar deDigiDwebapplicatie, doordat deDigiDwebapplicatieonderdeel isvaneenketenvan ICT-diensten (NCSCD.1.,2012).Ookallecomponenten om de webapplicatie heen, zoals fileservers, webservers, databaseservers,besturingssystemen, netwerken, etc., waarvan de webapplicatie afhankelijk is, hebben eenbelangrijkerolinhetfunctionerenvandewebapplicatie(NCSCD.2.,2012).Bedreigingenindeintegriteitvan,enhetvertrouwen in,deDigiDwebapplicatievereistdaaromactievandiversepartijen (denk aan de softwareleverancier, de hosting-partij en de houder van de DigiDaansluiting)omtewaarborgendatdedigitalecommunicatiebetrouwbaaris.

Door het treffenvanbeveiligingsmaatregelenopverschillendeniveaus ishetmogelijkomdegelopenrisico’steverkleinen.Ominzichttekrijgenindeaardendegroottevanrisico’s,alsmedeindekostenendeeffectiviteitvanbeveiligingsmaatregelenkunnenorganisatiesgebruikmakenvaneenrisicoanalyse(Overbeek,Lindgreen,&Spruit,2005).HetNCSCheeftintegraaleenrisicoanalyse met betrekking totmisbruik vanwebapplicaties uitgevoerd en beschrijft daarin allelagenwaarontwikkelaars,beheerdersenarchitectenbijhetbeveiligenvaneenwebapplicatieaandachtaanmoetenschenken.Omderisico’sopeenhelderemanierinkaarttebrengen,ishetbelangrijkdeverschillende lagenteonderscheiden.HetNCSCbaseertdaaromderichtlijnvoorwebapplicatiesophetRaamwerkBeveiligingwebapplicaties(RBW)(GOVCERT.NL,2010).Inditraamwerkbeschrijftmendeverschillendebeveiligings-lagen(zieFiguur3)dievan toepassingkunnenzijnopwebapplicaties.

FIGUUR 3:RAAMWERKMETBEVEILIGINGSLAGENVOORWEBAPPLICATIES

14

Zoals invoorgaand raamwerk tezien is,onderkentmen 7aandachtsgebieden.Als ikspecifieknaarde“NormICT-beveiligingsassessmentsDigiD”kijk(opgestelddoorLogius,hetNCSCendeAuditdienstRijk)danraaktmennietalleaandachtsgebiedendiegedefinieerdzijndoorhetNCSC.Denormonderkentnamelijkalleenmaatregelendiegewaardeerdzijnmetdeclassificatie‘hoog’,oftewel de sterkste mate van gewenstheid. Het is onduidelijk waarom de Norea en Logiusgekozenhebbenvoorde richtlijnenmetdehoogste impactopdeveiligheidvanDigiD.Logiusadviseertechterwelophunwebsitedatalleorganisaties,buitenderichtlijnenuitdenorm,ookdeandererichtlijnenvoordewebapplicatieadopteren.Hassing(Hassing,2015)suggereertdatdepartijenhiervoorhebbengekozenomdatdeDigiDauditopdezemanierheelpraktischisensneluittevoereniswaarbijdekostenvoordeinstellingmetDigiD-aansluitingbeperktblijven.DeDigiDnormraaktdevolgendelagen:

1. Algemene beveiligingsrichtlijnen: laag met generieke maatregelen die niet tot eenspecifieke laagbehorenzoals inhetRBWbeschreven,maarhebbenbetrekkingophetgeheel van de ICT-infrastructuur of zijn generiek voor ICT-componenten die gebruiktwordenvoordeDigiDwebapplicatie.

2. Netwerkbeveiliging: laag omtrent het beveiligen van de infrastructuur om de DigiDwebapplicatiebereikbaar temakenenomdewebserver resourcesop tekunnen latenvragenviafirewalls,routersenswitches.

3. Platformbeveiliging: laag omtrent het beveiligen van de besturingssystemen waaropDigiDwebservers,databaseserversetc.draaien.

4. Applicatiebeveiliging:laagomtrenthetbeveiligenvandeDigiDwebapplicatie.

5. Vertrouwelijkheidenonweerlegbaarheid:laagmetbeschermingvandataenhetbewijzendatbepaaldetransactiesdaadwerkelijkhebbenplaatsgevonden.

6. Monitoring,auditingenalerting:laagominzichttebehoudeninhetfunctionerenvandewebomgevingenaanvallenhierop.

InTabel2zijndebelangrijkstedoorLogiuserkenderisico’sperbeveiligingsrichtlijnopgenomen.

Laag0-Algemenebeveiligingsrichtlijnen

Risico

B0-5 - Erkunnenongeautoriseerdeactieswordendoorgevoerdofactieszijnonvoldoendeopelkaarafgestemd,waardoordebetrouwbaarheidvandeIT-voorzieninginhetgedingkankomen.

B0-6 - BedoeldofonbedoeldnegatiefbeïnvloedenvandeICT-componenten/platform/netwerkverkeer,waardoorvertrouwelijkheid,integriteiten/ofbeschikbaarheidvandeICT-componentennietgegarandeerdis.

B0-7 - Technischeensoftwarekwetsbaarhedenbrengenstabiliteitenbetrouwbaarheidvansystemeningevaar.

B0-8 - Onbekendheidmetbestaandekwetsbaarhedenenzwakheden,waardoorhiertegengeenactieondernomenwordt.

B0-9 - OnvoldoendezichtopaanwezigekwetsbaarhedenenzwakhedenvanICT-componenten,onvoldoendezichtopdeeffectiviteitvanreedsgetroffenmaatregelenenonvoldoendemogelijkhedenomtekunnenanticiperenopdenieuwedreigingen.

B0-12 - Doorhetontbrekenvantoegangsvoorzieningbeleidkaneronduidelijkheidontstaanbijhettoekennenvanrechtenaangebruikers.Hierdoorkunnenniet-geautoriseerdegebruikersmogelijktoegangkrijgentotinformatiewaaropzijgeenrechthorentehebben.

- Onvoldoendebeheersingvandetoegangtot(eendeelvan)defunctiesinhetICT-landschap,waardoormisbruiken/ofrechten-escalatiemogelijkis.

- Gegevenswordeningezien,gewijzigdofverwijderddoorindividuendiehiervoorvanuitorganisatiegeentoestemming,rechtofopdrachthebben.

- Onvoldoendebeheersingvandewebapplicatie-omgeving,waardoorgebruikershetvertrouwenindedienstverleningverliezenenmogelijkhedenvoormisbruikontstaan.

B0-13 - Oudewebsiteskunnenenerzijdsdedienstverleningaandeklantennegatiefbeïnvloedenenkunnenanderzijdsmisbruiktworden.

B0-14 - Een(web)dienstwaarvandeeigenschappenonduidelijkofonberekenbaarzijn,waardoorhet

15

gewenstebeveiligingsniveaunietgehaaldwordten/ofgebruikersonvoldoendevertrouwenindedienstverleninghebben.

Laag1–Netwerkbeveiligingsrichtlijnen

- Risico

B1-1 - Eenaanvallerkrijgtongelimiteerdtoegangtothetinternenetwerkendedaaropaangeslotensystemen.

B1-2 - Eenaanvallerkrijgtongelimiteerdtoegangtothetinternenetwerkendedaaropaangeslotensystemen.

- Doorhetontbrekenvanafdoendeafschermingkunnengewonegebruikersbeheerdersautorisatiesverwerven.

B1-3 - Eenaanvallerkrijgtmogelijkhedenomdetoegangsbeveiligingvoorexternegebruikersteomzeilen.Laag2–Platformbeveiliging

- Risico

B2-1 - Eenaanvallerkandecontroleoverhetplatformofdewebserverovernemen.Laag3–Applicatiebeveiligingsrichtlijnen

- Risico

B3-1 - Inzage,wijziging,verlies,ofmisbruikvangegevensdoorbijvoorbeeldmanipulatievandewebapplicatielogica.

- Dewerkingvandewebserverofwebapplicatiewordtgemanipuleerd,waardoordezeondercontrolekomtvaneenaanvaller.

B3-2 - Dewerkingvandewebserverofwebapplicatiewordtgemanipuleerd,waardoordezeondercontrolekomtvaneenaanvaller.


B3-4 - Viauitvoervandewebapplicatiedewerkingvanofinformatieophetsysteemvananderenmanipuleren.

B3-5 - Viamanipulatie(bijvoorbeeldcommando-ofSQL-injectie)kennisnemenvandeinhoudvandeonder-enachterliggendesystemenofdezekunnenmanipuleren.



B3-15 - GeeninzichtindestatusvandeoperationeleimplementatieenbeveiligingvanICT-componenten.B3-16 - Lekkenvaninformatiedieopzichzelfwaardeheeftofdievoorverdereaanvallengebruiktkan

worden.Laag3–Vertrouwelijkheidenonweerlegbaarheid

- Risico

B5-1 - Hetbeheervandecryptografischesleutelssluitnietaanbijhetbeschermingsbelangvandebeschermdegegevens,waardoorhetbeheervandecryptografischesleutelsnietdoelmatigis.

B5-2 - Aansprakelijkgehoudenwordenvooronterechtemutatiesofgegevensleveringen,terwijleenanderepartijverantwoordelijkis.

- Onbevoegdennemenkennisvangegevensdiezijnopgeslagenofwordengecommuniceerdenzijnmogelijkinstaatdezeteverminken.

B5-3 - Aansprakelijkgehoudenwordenvooronterechtemutatiesofgegevensleveringen,terwijleenanderepartijverantwoordelijkis.

- Onbevoegdennemenkennisvangegevensdiezijnopgeslagenofwordengecommuniceerdenzijnmogelijkinstaatdezeteverminken.

B5-4 - Onbevoegdennemenkennisvangegevensdiezijnopgeslagenofwordengecommuniceerdenzijnmogelijkinstaatdezeteverminken.

Laag3–Monitoring,auditingenalerting

- Risico

B7-1 - Vianetwerkcomponentenofnetwerkverkeerwordtvertrouwelijkheid,integriteiten/ofbeschikbaarheidaangetast,zonderdatdit(tijdig)gedetecteerdwordtenzonderdathieropgeacteerdkanworden.

- Tekortkomingenenzwakhedenindegeleverdeproducten/dienstenkunnennietgesignaleerdwordenenherstelactieskunnenniettijdigwordengenomen.

B7-8 - Onvoldoendemogelijkhedenomtijdigbijtesturenomorganisatorischentechnischte(blijven)voldoenaandedoelstellingen.

B7-9 - Hetinformatiebeveiligingsbeleidkomtnieteffectieftotuitvoering.- Onvoldoendemogelijkhedenomtijdigbijtesturenomorganisatorischentechnischte(blijven)

voldoenaandedoelstellingen.TABEL2:RISICO’S PERBEVEILIGINGSRICHTLIJN

16

2.4 DIGIDICT-BEVEILIGINGSASSESSMENT

Omdegenoemdebeveiligingsrisico’stemitigerenheeftdeministervanBinnenlandseZakenenKoninkrijksrelaties demaatregel getroffen dat organisaties die gebruikmaken vanDigiD hunICT-beveiliging,voorzoverdezeDigiD raakt, jaarlijksdienen te toetsenopbasisvaneen ICT-beveiligingsassessment.ElkeorganisatieiszelfverantwoordelijkvoorhetjaarlijksuitvoerenvaneenICT-beveiligingsassessmentDigiD.Deorganisatiedientzelfvroegtijdiginactietekomenomde juiste voorbereidende maatregelen te treffen ter voorbereiding op de uitvoering van hetassessment. Om uniformiteit in de uitvoering van de DigiD ICT-beveiligingsassessments tewaarborgenmoetdezewordenuitgevoerddooreenRegisterEDP-auditor.Op21februari2012heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, hetNCSCendeAuditdienstRijkde“NormICT-beveiligingsassessmentsDigiD”voordeinrichtingenuitvoering van de DigiD ICT-beveiligingsassessments vastgesteld. Sinds 2013 geldt dezeverplichtingvooralleafnemers.

Op9juli2014heeftdeministervanBinnenlandseZakenenKoninkrijksrelatieseenkamerbriefgestuurdmetdeontwikkelingentenaanzienvanDigiD.Inhetbijzonderoverdevoortgangvande uitvoering van de ICT-BeveiligingsassessmentsDigiD en de stappendieworden gezet omDigiDteversterken 5.Kortsamengevatgeeftdeministeraandat:

► Hetveiligheidsbewustzijnvanpubliekedienstverlenersflinkistoegenomen;► Vandebijna500organisatiesdiezijnaangeslotenopDigiDheeftnietéénorganisatieeen

rapportwaarbijersprakewasvaneenacuutbeveiligingsrisico;► In5%vandegevallenwaser,opbasisvandeauditresultaten,sprakevaneenhoogrisico

waarbijdeorganisatiesditzosnelmogelijkmoestenoplossen;► Logiusheeftnoggeenaanleidingomhetnormenkadertewijzigen;► Deuitersteinleverdatumvoorhetassessmentrapportisinhetvervolgvóór1mei.Daarbij

geldttevensdathetassessmentrapportnieteerderdan1januarimagwordeningediend;► DaarnaastisbepaalddatnieuweafnemersvanDigiDbinnen2maandennaaansluitingop

DigiDeenassessmentdienenuittevoeren.

2.4.1 NORMICT-BEVEILIGINGSASSESSMENTSDIGID

De ‘Norm ICT-beveiligingsassessmentsDigiD’ is gebaseerdopbeveiligingsmaatregelenuithetdocument ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber SecurityCenter 6 (hierna NCSC). Het document bestaat uit twee delen. Het document ‘ICT-beveiligingsrichtlijnen deel 1’ bevat een beschrijving van de beveiligingsrichtlijnen ophoofdlijnen.Indeel2wordendemaatregelenverderuitgewerktengedetailleerd.Hetdocumentbestaatuit59beveiligingsrichtlijnen(zieBijlageA)verdeeldover 7deelgebiedendieallemaalgewaardeerdzijnvolgenseenclassificatieHoog,MiddenenLaag.Debeveiligingsrichtlijnenzijnop de drie kenmerkingsaspecten van informatiebeveiliging gericht,namelijk beschikbaarheid,integriteitenvertrouwelijkheid.Hiernaastzijndebeveiligingsrichtlijnenzoopgestelddatzealsnormgebruiktkunnenworden.

5 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/07/10/kamerbrief-over-versterking-en-beveiliging-digid.html

6HetNCSC draagt via samenwerking tussen bedrijfsleven, overheid enwetenschap bij aan het vergroten van deweerbaarbaarheidvandeNederlandsesamenlevinginhetdigitaledomein.

17

Ookisbeschrevendatdebeveiligingsrichtlijnendoorhunopzetbreedtoepasbaarzijn.Ditisalsrichtlijn fijnomvooreenbreedspectrumaandienstverlening toe tekunnenpassen,maaralstoepassingvoordenormvanDigiDtegeneriek.

De norm voor deDigiD ICT-beveiligingsassessment bestaat uitde richtlijnenmet de hoogsteimpactopdeveiligheidvanDigiD(oftewelgeclassificeerdalshoog).Ditzijn28richtlijnendievervolgensverplichtzijngesteldvoordeDigiDassessment.Op9 juli2014heeftdeminister ineenbrief7aangekondigddathetBeveiligingsnormenkaderDigiDvooralsnogongewijzigdblijft.Gelet op het verloop van de eerste assessmentronde over het jaar 2013, hoeven deassessmentrapporten niet meer voor het einde van het jaar ingediend te worden. Concreetbetekentditdatmenhet rapportover2014pasna 1 januari2015 envoor 1mei2015moetindienen.Ditkomtmededoorhetfeitdatinhet jaar2014veelorganisatiesbezigzijngeweestmethetoplossenvandebevindingenuitheteersteassessmentvan2013.

2.4.1.1 ONDERLIGGENDEMAATREGELEN

Indeel2vandeNCSCrichtlijnvindiknaasteenbeschrijvingvandebeveiligingsrichtlijnookdeonderliggendemaatregelenvaneenbeveiligingsrichtlijnofteweleenbeschrijvingvanhoemenaan de beveiligingsrichtlijnen kan voldoen. Per beveiligingsrichtlijn is beschreven wat deonderliggendemaatregelen zijn.Deel 2 beschrijft verder dat voor een geldige verklaring vanconformiteit met de Richtlijn, de webapplicaties moeten voldoen aan alle onderliggendemaatregelen voor alle beveiligingsrichtlijnen. De webapplicatie moet dus voldoen aan alleonderliggendemaatregelenvooralle28verplichtgestelderichtlijnen.IndevolgendetabelgeefikeenvoorbeeldvandeonderliggendemaatregelenvaneenwillekeurigeDigiDnormvolgensdeel2.

Beveiligings-richtlijn

Beveiligingslaag Beschrijvingvanbeveiligingsrichtlijn

Onderliggendemaatregelen

B7-9 Monitoring,auditingenalerting

Governance,organisatie,rollenenbevoegdhedeninzakepreventie,detectieenresponseinzakeinformatiebeveiligingdienenadequaattezijnvastgesteld

Functiesenverantwoordelijkhedenvoordeinformatiebeveiligingmoetenzijntoegekend.Ermoetovereenstemmingoverdebenodigdemethodologieënenprocessenwordenbereikt.Denkhierbijaanrisicoanalyseenhetclassificatiesysteem.Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

TABEL3:ONDERLIGGENDEMAATREGELENVANEENDIGIDBEVEILIGINGSRICHTLIJN

DebovengenoemdeonderliggendemaatregelenzoueenITauditormoetenbeoordelenomeentotaaloordeelvooreenbeveiligingsrichtlijntevellen.AangeziendebeveiligingsrichtlijnenbreedtoepasbaarzijnzullenookdeonderliggendemaatregelenbreedtoepasbaarzijnentegeneriekzijnvoorDigiD.InBijlageBiseentabelopgenomenmetalleonderliggendemaatregelenvaneenbeveiligingsrichtlijnvoordeverplichterichtlijnenvanDigiD.

Middels de bovengenoemde onderliggende maatregelen kan ik een antwoord geven op devolgendedeelvraag:

7https://zoek.officielebekendmakingen.nl/dossier/26643/kst-26643-323?resultIndex=49&sorttype=1&sortorder=4

18

Hoofdvraag1. Welkeonderliggendemaatregelenzijnnodigomdebeveiligingsrichtlijnenaftedekken?

In hoofdstuk 3 zal ik dieper op deze vraag ingaan om te beschrijven welke onderliggendemaatregelenmeertoepasbaarzijnvoordeDigiDassessments.

2.5 HANDREIKING NOREA

Om de organisaties te ondersteunen bij de ICT-beveiligingsassessment voor DigiD, heeft deNoreaeenhandreikinggepubliceerd(Norea,Handreiking,2012).IndezehandreikingwordteentoelichtinggegevenopenkeleformeleaspectenbijdeopdrachteninzakedeDigiD-assessments.Ookwordenindehandreikingenkeleaanbevelingenensuggestiesvoordeuitvoeringvandezeopdrachtenopgenomen,dieookzijnbedoeldombijtedragenaaneeneenduidigeenconsistenteinterpretatievandebeveiligingsrichtlijnen.Als ikdezehandreikinganalyseerdanzie ikdatdeNorea een handreiking heeft verstrekt ten aanzien van het toepassingsgebied, de scope, eennaderetoelichtingeneentestaanpak(zieBijlageC).DenaderetoelichtingendetestaanpakvanNorea geven niet voldoende specificatiemee om tot eenduidige en consistente oordelen perbeveiligingsrichtlijntekomen.

Norea heeft ook een rapportageformat toegevoegd. De RE’s (Register EDP-Auditor) die deopdrachten uitvoeren en daarover moeten rapporteren aan het management van de DigiDhouder dienen deze toe te passen. De beveiligingsassessments moeten op basis van eenAssurance-opdracht conform Raamwerk en Richtlijn 3000 worden uitgevoerd (Norea,Handreiking, 2012). Als ik het modelrapport bekijk dan stel ik vast dat de Norea bij deverantwoordelijkheidvandeauditorbeschrijftdatdewerkzaamhedengerichtzijnophetgevenvan oordelen per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ vanLogius,overdeopzetenhetbestaanvandemaatregelengerichtopde ICTbeveiligingvandewebomgeving van deDigiD aansluiting (Norea,DigiD-assessment template assurancerapport,2013).AlsbeperkinggeeftdeNoreaaandatde‘NormICT-beveiligingsassessmentsDigiD’maareenselectieisvanbeveiligingsrichtlijnenuitde“ICT-beveiligingsrichtlijnenvoorwebapplicaties”vanNationaal Cyber Security Centrum (NCSC).Daarom zijn de auditors niet in staat om eentotaaloordeelteverschaffenomtrentdebeveiligingvandeDigiD-aansluiting.OokbeschrijftdeNoreadatdebeoogdegebruikerenhetdoelvanhetrapportuitsluitendverstrektistenbehoevevandebetreffendeorganisatieenLogius.Ditomdatanderen,dienietopdehoogtezijnvandeprecieze scope, aard en het doel van de werkzaamheden, de resultaten onjuist kunneninterpreteren.

Eind 2014 heeft de Norea een bijeenkomst gehouden rondom DigiD ICT-beveiligingsassessments 8 . Tijdens deze bijeenkomst zijn de actualiteiten rondom DigiDbeveiligingsassessmentsbesproken.Tevenszijnbepaaldeonduidelijkhedeninhetnormenkaderuitgebreidtoegelicht.DitheeftertoegeleiddatdeNoreabegin2015inoverlegmetLogiusenopverzoek van VNG en VIAG de toelichting voor de IT-auditors bij de interpretatie van debeveiligingsrichtlijnen op enkele punten heeft aangepast,waarmee de eenduidigheid van deoordeelsvorming door RE’s is verbeterd. Bij enkele beveiligingsrichtlijnen zijn teksten

8 http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042185_Bijeenkomst%20DigiD-assessments%202%20dec2014%20def.pdf

19

toegevoegdofaangepast(inroodgemarkeerd)9.Ookhetmodelrapportisbegin2015aangepast.Belangrijksteaanpassingeninderapportagetemplatezijn:

► Vermeldingvanaansluitnummerenaansluitnaam.► Een nieuwe bijlage Cmet een totaaloverzicht van de conclusies (inclusief Third Party

Mededelingen).► Standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie moeten

worden getoetst zijn B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9. En een verplichtetoelichtingindienwordtafgeweken.

► Onderscheid tussendebasistekstendeoptionele tekstenvoorgebruik inverbandmetTPM/Serviceorganisatie(s)isduidelijkeraangebracht,d.m.v.grijzemarkering.

► De applicaties en de versie waarvoor een assessment geldt, moet duidelijk wordenvermeld.

► Deoordelenperbeveiligingsrichtlijnzijn ‘voldoet’of ‘voldoetniet’(zondertoevoegingenzoals:voldoetdeels).Bij‘nietvoldaan’moetweleentoelichtingwordengegevenwaaromnietisvoldaan.

► Indiengeenoordeelwordtgegevenovereenbeveiligingsrichtlijndie(redelijkerwijs) inscopeverwachtmagwordendientditduidelijktewordengemotiveerd.

► Op de voorpagina en in paragraaf 1.6 (bij ondertekening door RE) dient de datumaanbieding rapport opgenomen te worden. In paragraaf 1.4 en 1.5 de datum van hetoordeeloveropzetenbestaan.

► HetrapportmetbijlageC isvooropdrachtgeverenLogius.Hetrapportmetallebijlagen(A,BenC)isalleenvoordeopdrachtgever.

2.6 CONCLUSIELITERATUURSTUDIE

De literatuurstudie heeft een beter begrip gegeven van het te bestuderen onderwerp. Inparagraaf2.1heb ikvastgestelddatDigiD in toenemendematedooroverheidsorganisatieseninstanties in gebruik wordt genomen. Dat de DigiD applicatie gekenmerkt wordt als eenwebapplicatieendatdezevelekwetsbaarhedenenbedreigingenkent.Ookhebikvastgestelddatbeveiligingsrisico’s leidentotDigiDmisbruikomfraudeteplegenendathetafbreukkandoenaanhetvertrouwendat gebruikershebben inhet systeemvanDigiD. Inparagraaf2.4heb ikvastgesteld dat de minister van Binnenlandse Zaken en Koninkrijksrelaties een jaarlijksetoetsing van de ICT-beveiliging als maatregel heeft getroffen om de genoemdebeveiligingsrisico’s temitigeren. Ikhebvastgestelddatde ‘Norm ICT-beveiligingsassessmentsDigiD’isgebaseerdop28beveiligingsmaatregelenuithetdocument‘ICT-beveiligingsrichtlijnenvoor webapplicaties’ van het National Cyber Security Center. Ook beschrijft het NCSC deonderliggende maatregelen die nodig zijn om de risico’s van de beveiligingsrichtlijnen af tedekken.Debeveiligingsrichtlijnen zijndoorhunopzetbreed toepasbaar,maar als toepassingvoordenormvanDigiDtegeneriek.Inparagraaf2.5heeftde literatuurstudieookaangetoonddat de Norea een handreiking heeft gepubliceerd om organisaties te ondersteunen bij deinterpretatie van de ICT-beveiligingsassessment. Dit hebben ze gedaan door perbeveiligingsrichtlijnhettoepassingsgebied,descope,eennaderetoelichtingeneentestaanpaktebeschrijven. Tot slot is vastgesteld dat de Norea periodiek bijeenkomsten organiseert omonduidelijkhedeninhetnormenkadertoetelichtenenaantepassenindehandreiking.

9 http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042366_Bijlage%201%20HandreikingDigiD%20ICT-beveiligingsassessment%20voor%20RE%27s%202015.pdf

20

3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNENVANWEGINGSFACTOREN

In dit hoofdstuk beschrijf ik de splitsing van welke onderliggende maatregelen minimaalgetroffenmoetenworden(musthaves)enwelkeonderliggendemaatregelenzeergewenstzijn(shouldhaves).Ookbeschrijfikwelkewegingsfactorenwordentoegekendaandeonderliggendemaatregelenvaneenbeveiligingsrichtlijndieminimaalgetroffenmoetenworden(musthaves)ommiddelseenhulpmiddeltoteenconsistenteoordeelsvormingtekomen.

3.1 SPLITSING

In de literatuurstudie heb ik vastgesteld wat de onderliggende maatregelen perbeveiligingsrichtlijnzijnvoorde28verplichtebeveiligingsrichtlijnenvoorDigiD(zieparagraaf2.4.1.1enBijlageD).Omvervolgenseengoedesplitsingtemakentussende ‘musthaves’(MH)en‘shouldhaves’(SH)hanteerikdevolgendedefinities:

► MHmaatregelenzijndeonderliggendemaatregelendieminimaalgetroffenmoetenwordenom de doelstelling van de beveiligingsrichtlijn voorDigiD te behalen en het risico afdoende tedekken.Alsmenvoldoetaandezemaatregelendankandezebeoordeeldwordenals‘Voldoet’.

► SHmaatregelenzijndeonderliggendemaatregelendiezeergewenstzijn,maarnietmeerheelveel toevoegenomdedoelstelling tebehalenenomhet risicoafdoende tedekken.AlsmennaastdeMHmaatregelenookvoldoetaandezemaatregelendankanderichtlijnookbeoordeeldwordenals ‘Voldoet’.Het verschilmetMHmaatregelen isdatde richtlijndan inplaats van eenrapportcijfer6eenhogerrapportcijferzoukunnenkrijgen.

3.1.1 METHODIEK

Doorgebruik temakenvanmeerderebronnenheb ikgeprobeerdomdesubjectiviteitvandeonderzoekerteminimaliseren.Deinitiëlesplitsingvandemaatregelenendetoekenningvandewegingen is daarom gebaseerd op een literatuurstudie, een interview en ‘professionaljudgement’.1) Middels de literatuurstudie heb ik vastgesteld welke onderliggende maatregelen ten

grondslagliggenaanderichtlijnen.2) TerverificatiehebikmiddelseeninterviewmeteenDigiDdeskundigederandvoorwaarden

omde initiëlesplitsingop temakenbesproken.Het interview isuitgevoerdmeteenDigiDdeskundigedieal8jaarwerkzaamisalsITAuditorenmomenteelwerkzaamisalsDirectorbij een Big4 kantoor. Onder de advisory tak voert het bedrijf DigiD assessments uit. Devolgenderandvoorwaardenzijnaandehandhiervanopgesteld:

► Dezogenoemde ‘practicebased’auditaanpakwordtgehanteerd.Ditbetekentdat ikmericht op de maatregelen die minimaal getroffen moeten worden om het risico van debeveiligingsrichtlijntemitigeren.Eeninventarisatievanderisico’sperbeveiligingsrichtlijnzijnalbeschrevenindeliteratuurstudie.► Deinitiëlesplitsingzalgemaaktwordenaandehandvandeprofessionelejudgementvandeonderzoeker.► Uitsluitend de onderliggende maatregelen die gedefinieerd zijn in de literatuurstudiezullengebruiktwordenvoordeinitiëlesplitsinginMHenSHmaatregelen.

21

3) Hieronderisdeuitvoeringvandeinitiëlesplitsingbeschrevendiedoordeonderzoekerzelfstandigisopgesteld.

3.1.2 UITVOERING

DoordatdeDigiDbeveiligingsassessment28beveiligingsrichtlijnenbevat,zalikvaneendrietalbeveiligingsrichtlijnenaangevenhoedesplitsingtotstandisgekomen.

Inonderstaandetabellenisperbeveiligingsrichtlijnbepaaldofhetmaatregeleen‘musthave’of‘shouldhave’maatregelzoumoetenzijn.Middelsdekolomrationaleiseentoelichtinggegevenwaaromeenmaatregelineenbepaaldecategorieisgeplaatst.

Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijnB-06 Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn

gehard tegen aanvallen.DoelstellingHet tot een minimum beperken van de kans dat onnodige faciliteiten op een systeem worden misbruikt.RisicoBedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten / platform / netwerkverkeer, waardoorvertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet gegarandeerd is.Maatregel beschrijving MH SH RationaleZorg voor een beschrijving van hethardeningsproces en dat dit proceseffectief is geïmplementeerd.

x Door het beschrijven van een hardeningsproces is deopzet vastgelegd van hoe de ICT-componenten vanDigiD beveiligd moeten worden met de meestrecente, relevante patches.

Zorg voor een actueel overzicht van dehoogst noodzakelijkenetwerkprotocollen en dat dit overzichtcontinue wordt onderhouden.

x Met deze inrichting heeft men een recent en compleetoverzicht van de protocollen van het DigiD systeemom die tot een minimum te beperken.

Zorg voor een actueel overzicht van dehoogst noodzakelijk services.

x Met deze inrichting heeft men een recent en compleetoverzicht van de services van het DigiD systeem omdie tot een minimum te beperken.

Zorg dat dit overzicht onderdeel is vanhet proces wijzigingsbeheer.

x Met deze inrichting kan men wijzigingsvoorstel-len en de eventuele doorvoering van wijzigingen opoverzichten controleren en beheren.

Zorg dat periodiek wordt getoetst of hetsysteem voldoet aan het overzicht vanhoogstnoodzakelijke netwerkprotocollen.

x Met deze inrichting kan men een statusopnameuitvoeren; toetsen of de in productie zijnde ICT-componenten niet meer dan vanuit hetontwerp functies bieden.

Afwijkingen moeten wordengedocumenteerd en geaccepteerd doorde eigenaar van de webapplicatie enbeveiligingsfunctionaris.

x Met deze inrichting kan men afwijkingen efficiënterbeheren.

TABEL4:BEVEILIGINGSRICHTLIJNB-06SPLITISINGMHENSHMAATREGELEN

Voor de beveiligingsrichtlijn rondom het hardeningsproces van ICT-componenten kan ikconcluderendaterdrieMHmaatregelenzijnendrieSHmaatregelen.DitbetekentdatvoordezebeveiligingsrichtlijnminimaaldeMHmaatregeleninopzetenbestaaningerichtmoetenzijnomtevoldoenaandebeveiligingsrichtlijn.

22

Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijnB-07 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een

patchmanagement proces doorgevoerd.DoelstellingAlle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting vankwetsbaarheden voor te zijn.Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren.RisicoTechnische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in gevaar.Maatregel beschrijving MH SH RationaleZorg voor een beschrijving van hetpatchmanagementproces en dat ditproces effectief is geïmplementeerd.

x Door het beschrijven van eenpatchmanagementproces is de opzet vastgelegd vanhoe software van DigiD (componenten) tijdigvoorzien moeten worden van de laatsteversies/patches.

Er moet een procedure zijn ingerichtwaarin staat beschreven hoe deorganisatie omgaat met updates.

x Met deze inrichting beschrijft men: hoe snelimplementeert de organisatie een kritieke patch,welke stadia moet de patch doorlopen, wie draagt deverantwoordelijkheid, et cetera?

Zorg dat configuratiebeheer is ingericht. x Met deze inrichting heeft men inzicht inconfiguratiegegevens van de kritieke systemen enapplicaties.

Zorg voor een technische implementatievan een updatemechanisme.

x Met deze implementatie zou men efficiënter updateskunnen uitvoeren.


Voor de beveiligingsrichtlijn rondom het patchmanagementproces kan ik concluderen dat ertwee MH maatregelen zijn en twee SH maatregelen. Dit betekent dat voor dezebeveiligingsrichtlijnminimaaldeMHmaatregeleninopzetenbestaaningerichtmoetenzijnomtevoldoenaandebeveiligingsrichtlijn.

Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijnB0-8 Penetratietests worden periodiek uitgevoerd.DoelstellingInzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het tecompromitteren (binnendringen of misbruiken van webapplicatie).RisicoOnbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie ondernomen wordt.Maatregel beschrijving MH SH RationalePentests worden niet alleen bijnieuwbouw en bij grote wijzigingenuitgevoerd, maar moeten periodiekworden herhaald.

x Een pentest dient bij significante wijzigingen op deDigiD applicatie uitgevoerd te worden om te testenop nieuwe inbraaktechnieken.

Zorg voor een opdrachtomschrijving,scopedefinitie, planning enkwaliteitseisen.

x De opdrachtomschrijving, scopedefinitie, planning enkwaliteitseisen zijn essentieel omdat hierin:

- een heldere onderzoeksvraag moet staan;- het object van het onderzoek moet staan;- aangegeven wordt dat er rekening gehouden

moet worden met periode en kwaliteitsaspecten.

23

De resultaten van de pentest wordenvastgelegd in een rapportage. Waarbijduidelijk is aangegeven welkeinformatie de rapportage moet bevatten.

x Het is van belang dat de resultaten van een pentestworden vastgelegd, zodat een IT auditor de resultatenkan inzien.

Er moet aantoonbaar follow-up wordengegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerdemaatregelen niet voldoen aan degestelde eisen en/of verwachtingen oftekortkomingen opleveren.

x Een pentest rapportage bevat verbetervoorstellen endeze worden gecommuniceerd metverantwoordelijken / eigenaren van de systemenwaarin kwetsbaarheden en zwakheden gevonden zijn.Er dienen daarom implementatie-acties ensysteemdocumenten aanwezig te zijn waaruit blijktdat de verbetervoorstellen opgevolgd zijn.


Voor de beveiligingsrichtlijn rondom de penetratietest kan ik concluderen dat er vier MHmaatregelen zijn en nul SHmaatregelen.Dit betekent dat voor deze beveiligingsrichtlijn allemaatregelen in opzet en bestaan ingericht moeten zijn om te voldoen aan debeveiligingsrichtlijn.

DevolledigetabelmetdetoegepastesplitsingisopgenomeninBijlageD.

Middelsdebovengenoemdesplitsingkanikeenantwoordgevenopdevolgendedeelvraag:

Hoofdvraag2. Welke onderliggende maatregelen moeten minimaal getroffen worden (musthaves)enwelkeonderliggendemaatregelenzijnzeergewenst(shouldhaves)?

3.2 WEGINGSFACTOREN

Inde literatuurstudieheb ikvastgestelddathetuitgangspuntvoorde ITauditorsalsvolgt is;“perbeveiligingsrichtlijnvande‘NormICT-beveiligingsassessmentsDigiD’vanLogiuswordteenoordeelgevraagd”.Doordatervoorelkebeveiligingsrichtlijneenanderaantalmaatregelentengrondslag ligt (bijvoorbeeld voor B-06 zijn er drie MH maatregelen, B-07 zijn er twee MHmaatregelenenvoorB-08viermaatregelen)dientmeneengoedeafwegingtemakenvanwelkemaatregeleneengrotere impacthebbenomhetrisico temitigerenenwelke inminderemate.DaaromgeefikdeMHmaatregeleneenwegingmeeomeenITauditoreenhulpmiddeltegevenin de vorm van een rekenmodel om een gedegen, onderbouwd en consistent oordeel perbeveiligingsrichtlijnvande‘NormICT-beveiligingsassessmentsDigiD’tekunnengeven.

“Eenweging iseenrekenkundigemanieromvanverschillendegroepen(indezescriptiespreek ikover onderliggende maatregelen) uit een populatie (op beveiligingsrichtlijn niveau) die nietevenredigvertegenwoordigdzijn,tocheenalgemeengemiddeldeteberekenen.”

Erbestaatnamelijkeenmogelijkheiddatnietalleofdelenvanonderliggendemaatregelenofinopzetofinbestaanaanwezigzullenzijn,maardathetrisicotochvoldoendegemitigeerdwordt.Inzulkegevallenheeftmendemogelijkheidomdebeoordeling tecorrigerenmetbehulpvaneen wegingscoëfficiënt door de meest belangrijkste onderliggende maatregelen een hogereweging tegeven.Hierbij ishetwelbelangrijkom tebenoemendatdeweging alshulpmiddelingezetdient tewordendooreen ITauditorendezeniet leidendmoetzijn inheteindoordeelvandenorm.

24

3.2.1 METHODIEK

OmdatdetoegekendewegingenmeeralshandvattenvoordeITauditordienenenikdewegingniettecomplexwilmaken,zalikdewegingenonderverdelenintweegroepen.

1. Hoogimpactomhetrisicotemitigeren2. Laagimpactomhetrisicotemitigeren

DeITauditorsrichtenzichophetgevenvanoordelenperbeveiligingsrichtlijnoverdeopzetenhetbestaanvandeonderliggendemaatregelen.Doordatikopzetenbestaangabeoordelenzalikindeweginghierookrekeningmeemoetenhouden.Hetbestaanvaneenmaatregelheeftmeerimpactophetmitigerenvanhetrisicodanhethebbenvaneenopzet.Daaromzalbestaaneenhogerescorekrijgenalsopzet.Ditleidttotdevolgendewegingstabel:

Impact Opzetscore BestaanscoreHoogimpact 2 5Laagimpact 1 3TABEL7:WEGINGENVOORDEONDERLIGGENDEMAATREGELEN

Deonderliggendemaatregelenmeteenhogeimpactomhetrisicotemitigerenzulleneenscore2krijgenvooropzeteneenscore 5voorbestaanalszevoldoen.Deonderliggendemaatregelenmeteenlageimpactomhetrisicotemitigerenzulleneenscore1vooropzeteneenscore3voorbestaankrijgen als zevoldoen.Onderliggendemaatregelendienietvoldoen inopzet/bestaankrijgendescore0.

Doorgebruik temakenvanmeerderebronnenheb ikgeprobeerdomdesubjectiviteitvandeonderzoeker teminimaliseren.De initiële toekenning van of eenmaatregel een hoge of lageimpact heeft op het risico van de beveiligingsrichtlijn is gebaseerd op een interview en‘professionaljudgement’.1) Middelshetzelfde interviewalsvoordesplitsingheb ikterverificatiederandvoorwaarden

om de initiële splitsing op te maken besprokenmet een DigiD deskundige. De volgenderandvoorwaardenzijnhierdooropgesteld:

► Dezogenoemde ‘practicebased’auditaanpakwordtgehanteerd.Ditbetekentdat ikmericht op de maatregelen die minimaal getroffen moeten worden om het risico van debeveiligingsrichtlijntemitigeren.IkzaldaaromalleendeMHmaatregeleneenweginggeven.► Deinitiëlesplitsingzalgemaaktwordenaandehandvandeprofessionelejudgementvandeonderzoeker.► De onderliggende maatregelen zijn opgesplitst in opzet en bestaan voorafgaand detoekenning van of een maatregel een hoge of lage impact heeft op de beveiligingsrichtlijn.Mochtenopzetenbestaanmaatregelennietgoedofvoldoendezijngeformuleerddanzijndezetijdensdezestapgecorrigeerd.

2) Middels professional judgement is hieronder de toekenning van de initiële weging

beschrevendiedoordeonderzoekerzelfstandigzijntoegekend.

3.2.2 TOEKENNING

DoordatdeDigiDbeveiligingsassessment28beveiligingsrichtlijnenbevat,zalikvaneentweetalbeveiligingsrichtlijnenaangevenhoedetoekenningvandewegingtotstandisgekomen.

25

Inonderstaande tabellen isperbeveiligingsrichtlijnbepaaldofhetmaatregeleenhogeof lageimpact heeft om het risico van de beveiligingsrichtlijn te mitigeren. Hierna geven we eentoelichtingmetwaaromeenmaatregelineenbepaaldcategorievalt.

B-06Maakgebruikvaneenhardeningsproces,zodatalleICT-componentenzijngehardtegenaanvallen

Opzet Bestaan Impact ScoreOpzet

ScoreBestaan

Zorgvooreenbeschrijvingvanhethardeningsprocesendatditproceseffectiefisgeïmplementeerdendatdezeeeneigenaarheeft,eendatumenversienummerheeft,eenhistoriebevat,actueelisengeaccordeerdophetjuisteniveau.

Procesbeschrijvingtenaanzienvanhardeningsproces.

Procesbeschrijvingisgeaccordeerdophetjuisteniveau.StelvastdathethardeningsprocesvoorallerelevanteICT-componentengeldt.StelvastdatvooréénICT-componenthetprocesisuitgevoerdconformdeopgesteldeprocedurebeschrijving.

Hoog 2 5

Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkenetwerkprotocollenendatditoverzichtcontinuewordtonderhouden.

Procesbeschrijvingtenaanzienvanhetactualiserenvanhetoverzichtvandehoogstnoodzakelijkenetwerkprotocollen.

Procesbeschrijvingisgeaccordeerdophetjuisteniveau.Periodiekactualiserenvanhetoverzichtvandehoogstnoodzakelijkenetwerkprotocollen.

Laag 1 3

Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkservices.

Procesbeschrijvingtenaanzienvanhetactualiserenvanhetoverzichtvandehoogstnoodzakelijkservices.

Procesbeschrijvingisgeaccordeerdophetjuisteniveau.Periodiekactualiserenvanhetoverzichtvandehoogstnoodzakelijkservices.

Laag 1 3

Totaalscore 4 11

TABEL8:BEVEILIGINGSRICHTLIJNB-06INCLUSIEFWEGING

Inde initiëlesplitsingheb ikvastgestelddaterdrieMHmaatregelenzijngedefinieerdvoordebeveiligingsrichtlijnB-06.Debeveiligingsrichtlijnbetrefthetgebruikvaneenhardeningsproceszodat alle ICT-componenten gehard zijn tegen aanvallen.Als iknaardedriemaatregelenvandeze beveiligingsrichtlijn kijk dan zie ik dat de eerste maatregel vereist dat eenhardeningsprocedureopgesteldmoetzijnmeteenaantalcriteriaendatdezeinbestaangetoetstmoetworden.DetweedeenderdeMHmaatregelengaanoverhetprocesvanactualiserenvanoverzichtenvandehoogstnoodzakelijkenetwerkprotocollenenservices.Alsiknaardedefinitiesvandemaatregelenkijk ennaarhet risicovandenormdan isde eerstemaatregeldemeestbelangrijkstemaatregel van de drie.Daarom kwalificeer ik dezemaatregel als ‘hoog’ om hetrisicotemitigeren.Deeerstemaatregelkrijgtdaneenwegingvantweevooropzetenvijfvoorbestaan. De overige maatregelen worden gekwalificeerd als ‘laag’. Deze krijgen daarom eenwegingvanéénvooropzetendrievoorbestaan.

B-07Delaatste(beveiligings)patcheszijngeïnstalleerdendezewordenvolgenseenpatchmanagementprocesdoorgevoerd

Opzet Bestaan Impact ScoreOpzet

ScoreBestaan

Zorgvooreenbeschrijvingvanhetpatchmanagementprocesendatditproceseffectiefisgeïmplementeerd.

Procesbeschrijvingtenaanzienvanpatchmanagementisopgesteldvoorservers,

Deprocesbeschrijvingisgeaccordeerdophetjuisteniveau.Stelvastdatéénpatchhet

Hoog 2 5

26

databases,applicatiesenfirewalls.

procesisuitgevoerdconformdeopgesteldeprocedurebeschrijving.

Ermoeteenprocedurezijningerichtwaarinstaatbeschrevenhoedeorganisatieomgaatmetupdates:hoesnelimplementeertdeorganisatieeenkritiekepatch,welkestadiamoetdepatchdoorlopen,wiedraagtdeverantwoordelijkheid,etcetera?

Procesbeschrijvingbevateenomschrijvingvanhoedeorganisatieomgaatmetupdates:hoesnelimplementeertdeorganisatieeenkritiekepatch,welkestadiamoetdepatchdoorlopen,wiedraagtdeverantwoordelijkheid,etcetera?

Deprocesbeschrijvingisgeaccordeerdophetjuisteniveau.

Laag 1 3

Totaalscore 3 8

TABEL9:BEVEILIGINGSRICHTLIJNB-07INCLUSIEFWEGING

DetweedebeveiligingsrichtlijndieikalsvoorbeeldbeschrijfbetreftB-07.Voordezerichtlijnzijntwee MH maatregelen gedefinieerd. De beveiligingsrichtlijn betreft dat de laatste(beveiligings)patches zijn geïnstalleerd en dat deze volgens een patchmanagement proceswordendoorgevoerd.Alsiknaardetweemaatregelenvandezebeveiligingsrichtlijnkijkdanzieikdatdeeerstemaatregelvereistdateenpatchmanagementprocedureopgesteldmoetzijnendatdezeeffectief is.DetweedeMHmaatregelvereisteendetaillering indeprocedurevanhoemenomgaatmetupdates.Alsiknaardedefinitiesvandemaatregelenkijkennaarhetrisicovande richtlijn dan is de eerste maatregel de belangrijkste maatregel van de twee. Daaromkwalificeerikdezemaatregelals‘hoog’omhetrisicotemitigeren.Deeerstemaatregelkrijgtdaneenwegingvantweevooropzetenvijfvoorbestaan.Detweedemaatregelwordtgekwalificeerdals‘laag’.Dezekrijgtdaaromeenwegingvanéénvooropzetendrievoorbestaan.

DevolledigetabelmetdetoegekendewegingenisopgenomeninBijlageE.

Middelsdebovengenoemdewegingenkanikeenantwoordgevenopdevolgendedeelvraag:

Hoofdvraag3. Welkewegingsfactorenworden toegekend aan deonderliggendemaatregelenvan een beveiligingsrichtlijn die minimaal getroffen moeten worden (musthaves) om middels een hulpmiddel tot een consistente oordeelsvorming tekomen?

27

4 BEVINDINGENVAN HETPRAKTIJKONDERZOEK

Dithoofdstukbeschrijfthetpraktijkonderzoekvandezescriptie.Hetdoelvandithoofdstuk ishet toetsen van de resultaten uit de voorgaande hoofdstukken. In de literatuurstudie is erantwoordgegevenopdeelvraag1.Ikhebdaarinvastgesteldwatdeonderliggendemaatregelenper beveiligingsrichtlijn zijn. In de specificering van het normenkader en toekennen van dewegingsfactoren heb ik antwoord gegeven op deelvragen 2 en 3. Daarin heb ik inzichtelijkgemaakt welke maatregelen minimaal getroffen moeten worden per beveiligingsrichtlijn enwelke wegingsfactoren deze onderliggende maatregelen moeten hebben. Deze laatstedeelvragenzijn inhetpraktijkonderzoeknaderuitgewerktomtotonderbouwingenconclusiestekomen.Daarnaastishetdoelvanhetpraktijkonderzoekhetopdoenvannieuweinzichten.

Omdevolledigheiden juistheidvande initiëlesplitsingvandeonderliggendemaatregelen tevaliderenhebikdeinitiëlesplitsingenweginglatenbeoordelendoorinterviewstehoudenmetdeskundigenophetgebiedvanDigiDbeveiligingsassessments.

4.1 INTERVIEW 1:

HeteersteinterviewisgehoudenmetdeNorea.DeNederlandseOrdevanRegisterEDP-Auditors(NOREA) is de beroepsorganisatie van IT-auditors in Nederland. De organisatie is nauwbetrokken bijDigiD-beveiligingsassessments en heeft daarom eenDigiD-werkgroep opgerichtdieinoverlegmetLogiuseenhandreikingenrapportageformatheeftopgesteld.Dezewerkgroepbestaat uit DigiD deskundigen diewerkzaam zijn bij de Rijksauditdienst, Duijnborgh, EY enDeloitte. Ik heb een director bijDeloitte en een senior auditor bij deAuditdienstRijk bereidgevondenomhundeskundigemeningoverdesplitsingenwegingtegeven.Beidenhebbenveelervaringophetgebiedvaninformatiebeveiliging.

4.1.1 BEVINDINGEN

Dedirectorendeseniorauditoradviseerdenomhetnormenkaderwelteverduidelijken,maarniet volledig te specificeren.DigiD-assessments zijn namelijk volgens beide heren een goedeoefening in ‘rule based’ auditing. Logius en Norea hebben tijdens een van deinformatiebijeenkomsten,medio2013,aangegevendatdetekstvanderichtlijnhetuitgangspuntvaneenoordeeldienttezijn(Norea,BijeenkomstIT-auditorsoverDigiD-assessments,2013).Ditbetekent dat als de auditor niet aantreftwat er in de richtlijnwordt gevraagd, dan luidt hetoordeelbijdierichtlijneen ‘voldoetniet’.VolgenshengaatdezeaanpaktegendeNederlandsetraditiein,omdatereigenlijkmeer‘principlebased’wordtgewerktendusvooralwordtgekekenofrisico’safdoendezijnafgedekt.Doorderichtlijnentespecificerenmiddelsdeonderliggendemaatregelen en hier wegingsfactoren aan toe te kennen is de aanpak definitief ‘rule based’aanpak.Vooreengoedbeeldvandefeitelijkerisico’s iseen ‘rulebased’aanpakechtermindergeschikt.

Daarnaast geven ze aan dat deDigiD normenkaders over het algemeen niet geschikt is voorwegingsfactoren. Bij de ene richtlijn definieer je twee onderliggende maatregelen en bij deandere richtlijn definieer je acht onderliggende maatregelen. Om vervolgens goedewegingsfactorentoetekennenzalditleidentotveelcomplexiteit.Ookwakenzeervoordateenauditoraltijdmoetblijvennadenkenoverofrisico’svaneenrichtlijnafdoendeafgedektzijnaande hand van de getroffenmaatregelen.Wegingsfactoren toepassen om een totaaloordeel perrichtlijnop temaken zal leiden totvinkwerk enniet zozeer tothet afdekkenvande risico’s.

28

Daaromadviserenbeideherenomgeenspecificatievanderichtlijnenoptestellen,maarmeereenonderzoeknaaronduidelijkhedeninderichtlijnenuittevoerenendezeteverhelderen.

4.2 INTERVIEW 2

HettweedeinterviewisgehoudenmeteenervarenIT-auditorbijeenITAuditorganisatie.Sinds1994 beheert hij netwerken,Windows systemen,Unix systemen en doceert hij aan de VrijeUniversiteit. Van origine gestart binnen de informatica, maar momenteel ligt zijn primaireinteressebijhetverbeterenvandebeveiligingbinnendeIT-infrastructuur.DaarnaastishijeenQualified Security Assessor (QSA) voor de betaalkaarten industrie.De organisatie is in 2006opgericht en een IT-Audit- en consultancybureau en heeft zich gespecialiseerd incertificeringtrajectenenhetbehandelenvancomplexeIT-gerelateerdevraagstukken.

4.2.1 BEVINDINGEN

Metgeïnterviewdepersoonhebikineensessieuitgebreidgediscussieerdoverdeonderliggendemaatregelenperbeveiligingsrichtlijndieikinhetdefinitieveconceptvanonsnormenkaderhebopgenomen.HetresultaatvandezesessieisdatikeenaantalwijzigingenhebdoorgevoerdindesplitsingvandeMHenSHmaatregelen,eenaantalmaatregelenhebtoegevoegddienognietinhetnormenkaderzatenenalslaatsteeenaantalwijzigingenaangebrachtindewegingsfactorenvandeMHmaatregelen.

DoordatdeDigiDbeveiligingsassessment28beveiligingsrichtlijnenbevat,zalikvaneentweetalbeveiligingsrichtlijnen aangeven welke wijzigingen zijn doorgevoerd. De overige wijzigingenzullentevindenzijninBijlageF.

B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens eenpatchmanagementprocesdoorgevoerd.

Voordezenormisheteenvereistedatalleaanwezigesoftwaretijdigisvoorzienvandelaatsteversiesenpatchesomdeuitbuitingvankwetsbaarhedenvoortezijn.Deinitiëlesplitsingindezenormisbesprokenenhierwarenverdergeenop-ofaanmerkingenover.Demeestsignificantetoevoegingtothetnormenkaderuithet interview isdatpatchmanagementonderdeeldienttezijn van het wijzigingsbeheerproces. Dit is een efficiëntie slag omdat patch managementüberhauptonderdeelisvanwijzigingsbeheerprocessen.Hetisefficiëntomniettweeprocessennaast elkaar in te richten. Inhet rekenmodelheb ikdezemaatregel toegevoegd aandepatchmanagement beschrijving. Hierdoor is een specifieke weging voor deze maatregel niet vantoepassing.

B0-8Penetratietestswordenperiodiekuitgevoerd.

Het is van belangdat de houder van deDigiD aansluiting inzicht krijgt en houdt indematewaarineenwebapplicatieweerstandkanbiedentegenhetbinnendringenofmisbruikenvandewebapplicatie. De onderliggende maatregel “Pentests worden niet alleen bij nieuwbouw enwijzigingenuitgevoerd,maarmoetenperiodiekwordenherhaald.”isverplaatstvanSHnaarMH.Er duiken namelijk elke keer nieuwe kwetsbaarheden op die wellicht toegang tot de DigiDwebapplicatie geven of tot misbruik leiden. Daarom moet een periodieke pentest een MHmaatregel worden, omdat deze penetratietesten continu geupdate worden om te testen opnieuwe kwetsbaarheden. Pentesten zijn echter wel kostbaar en daarom zou een jaarlijksecontrolevoldoendezijn.Doordattijdigheidookeenbelangrijkonderdeelvanderichtlijnis,heeft

29

dezeookeenhoge impactophetmitigerenvanhet risico.Dezemaatregelkrijgtdanookeenwegingvantweevooropzetenvijfvoorbestaan.

Indeinitiëleopzetvandezenormwordtalleenbeschrevendaternavolgingwordtgegevenbijhetvindenvansignificantekwetsbaarhedenofbedreigingen.Daarom ishetvanbelangdatbijpenetratietestendiealsresultaatdehoogstmogelijkescorekrijgendatmenookachterafnahetoplossenvandeproblemennogeenpentestdraaitomvasttestellenofdegenomenmaatregeleffectiefisgeweest.Doetmenditnietdankanhetzijndatdeoplossingnieteffectiefisgeweesten vervolgens pas bij de eerstvolgende pentest opgemerkt zou worden. Daarom is dezeonderliggendemaatregel als eennieuwemaatregel aanhetnormenkader toegevoegd alsMH.Dezemaatregel is inminderemate belangrijk als de tweemaatregelen die al als ‘hoog’ zijngekwalificeerd.Daaromzaldezemaatregelgekwalificeerdwordenals‘laag’.Dezekrijgtdaaromeenwegingvanéénvooropzetendrievoorbestaan.

Daarnaast is in de initiële richtlijn opgenomen dat een opdrachtomschrijving, scopedefinitie,planning en kwaliteitseisen gedefinieerd moeten worden door de houder van de DigiDaansluitingomeengoedeenkwalitatievepentest te latenuitvoerendooreenspecialist.Dooralleen deze elementen te beschrijven heb je als organisatie na kunnen denken over wat jeverwacht van een pentest. Het zou alleen beter zijn om gebruik te maken van een pentestmethodologiewaarspecialistenbinnenhetvakgebiedaloverhebbennagedachtenookhebbenbeschreven van hoe organisaties hun penetratietesten het beste kunnen (laten) uitvoeren,testen,beoordelen,plannenetc.Daaromishetgebruikenenbeschrijvenvaneenpenetratietestals onderliggende maatregel een goede aanvulling op de norm B0-8. Aangezien het eenaanvullingisopeenbestaandeMHmaatregelhebikhemopgenomenalsSH.DoordatditeenSHmaatregeliskrijgthijgeenwegingmee.

30

5 CONCLUSIE

Hetonderzoeksobjectvandezescriptie isde interpretatievandeDigiD ICT-beveiligingsnorm.Om tekomen tot een gespecificeerdnormenkaderomniet consistenteoordeelsvormingdoormiddel van diversiteit in de interpretaties en wegingsfactoren te minimaliseren zijn er eenaantaldeelvragenbeantwoord. Indithoofdstukaggregeer ikdeantwoordenopdedeelvragenom zo tot de conclusie te komen op de hoofdvraag van het onderzoek. Daarnaast wordenmogelijkheden beschreven tot vervolgonderzoek. Tot slot wordt een korte reflectie van hetonderzoekbeschreven.

5.1 BEANTWOORDING DEELVRAGEN

Indezeparagraafzijndeantwoordenopgenomenopdedeelvragenzoalsdezezijngeformuleerdinparagraaf1.4.2.Ditmetalsdoelomdesamenhang tussendeantwoordenopdedeelvragenmethetantwoordopdehoofdvraaginzichtelijktemaken.

Deeerstetweedeelvragenhebbeneendirecterelatiemetdespecificeringvanhetnormenkader.DederdeenlaatstevraagisbedoeldomwegingsfactorenmeetegevendieeenITauditorhelpenomeenjuistoordeelaftegeven.

Deelvraag1. Welkeonderliggendemaatregelenzijnnodigomdebeveiligingsrichtlijnenaftedekken?

DeonderliggendemaatregelenzoueenITauditormoetenbeoordelenomeentotaaloordeelperbeveiligingsrichtlijn te vellen.Middels de literatuurstudie heb ik vastgesteld hoemen aan deverplichterichtlijneninhetnormenkaderkanvoldoen.IkhebgeziendatdehandreikingvandeNoreaendeel2vandeNCSCrichtlijnenspecificatiesbevattenomdeonderliggendemaatregelenperrichtlijntedefiniëren.

In de theorie beschrijft het NCSC dat voor een geldige verklaring van conformiteit met derichtlijn, de webapplicaties moeten voldoen aan alle onderliggende maatregelen voor allebeveiligingsrichtlijnendie indeel2gedefinieerdzijn.EchtergevenLogiusenNoreaaandatdetekstvanderichtlijninhetDigiDnormenkaderhetuitgangspuntvoorhetoordeeldienttezijn.Als de auditor niet aantreftwat er in de richtlijnwordt gevraagd, dan is het oordeel bij dierichtlijn negatief. Hieruit kan ik suggereren dat Logius en de Norea 1) de onderliggendemaatregelen van het NCSC te breed van toepassing vonden voor de DigiD ICT-beveiligingsassessment of 2) dat er niet voldoende tijd en budgetwas om een goed opgezetnormenkaderop te stellendatvrij isvan subjectiviteitof3)hetnormenkaderhebbenwillenbeschermen tegen ’rule based’ auditen (oftewel alleen kijken naarwat erwordt gevraagd inrichtlijnennietnaarhetrisico).Eenbelangrijkenevenconclusiedieikhiermeewiltrekkenis:

Dat er niet voldoende risico identificatie en specificatie ten grondslag heeft gelegen aan hetopstellenvanhetDigiDbeveiligingsassessment-normenkaderomderisico’safdoendetedekken.Wanneererbijhetopstellengeengoede risico identificatieplaatsvindt,kanmenookmoeilijkmaatregeleninhetnormenkaderspecificeren,watweerleidttotnieteenduidigerichtlijnen.

Deelvraag2. Welkeonderliggendemaatregelenmoetenminimaalgetroffenworden(musthaves)enwelkeonderliggendemaatregelenzijnzeergewenst(shouldhaves)?

Specificaties van de Norea luiden vrij algemeen en de NCSC richtlijnen zijn daarentegenspecifieker.TijdenshetinterviewmetdeNoreaisgeadviseerdomderichtlijnenniettespecifiekte maken om het DigiD ICT-beveiligingsassessment niet middels de ‘rule based’ aanpak te

31

auditen.Ditterwijlhetassessmentzichhierwelgoedvoor leentdoordeopzet.De ‘rulebased’benaderingheeftvoordelen,maarooknadelen.Hetbelangrijkstevoordeelisdatdemaatregelenconcreetwordengemaakt.Hetbelangrijkstenadeel isdat risico’sopdeachtergrond rakenenmenalleenmaaroogheeftvoordemaatregelenzoalsaf te leiden isvanderichtlijn(Tewarie,2006).Het advieswasdan ook om het normenkadermeer ‘principle based’ te houden en teredeneren vanuit de risico’s om efficiënte en effectieve beveiligingsmaatregelen teimplementeren. Hieruit kan ik concluderen dat het belangrijk is om bij de splitsing van deonderliggendemaatregelenrekeningtehoudenmethetrisicoendedoelstellingvanderichtlijn.Daarom is indezescriptiegekozenvoordeNCSCrichtlijnen,risicobeoordelingenspecificatiesomdetweededeelvraagtebeantwoorden.

Middels de uitgevoerde analyse en validatieslagmet externe deskundigen heb ik vastgesteldwelkemaatregelenminimaalgetroffenmoetenwordenenwelkemaatregelenzeergewenstzijnvoordeDigiDassessment,rekeninghoudendmethetrisicoendedoelstelling. Ikhebvoor11richtlijnen ‘musthave’en ‘shouldhave’maatregelengedefinieerdenvoor17richtlijnenzijndeonderliggendemaatregelenalleenals‘musthave’maatregelengedefinieerd.Ditbetekentdat11richtlijnenvolgensdeNCSCrichtlijnentebreedzijnvoorDigiD.Hierdoorkansubjectiviteiteenrolspelendoordatvoordeze richtlijnenonvoldoendeconcreet isgemaaktwelkeactieswelofnietvoorDigiDgetoetstdienen teworden.Debijbehorendehandreiking(Norea,Handreiking,2012)draagtdeelswelbij aanhetverminderenvan inconsistenteoordeelsvormingdoor eentoelichtingentestaanpaktegeven,echterhethanterenvandezehandreikingisgeenvereisteenderhalve blijft subjectiviteitmogelijk.De overige richtlijnen zijn daarentegen eenduidiger enomvattenalleenonderliggende‘musthave’maatregelen.

Het resultaat van deze deelvraag is een gespecificeerd normenkader waarin een splitsing isgemaaktinde‘musthave’en‘shouldhave’maatregelen

Deelvraag3. Welkewegingsfactorenwordentoegekendaandeonderliggendemaatregelenvan een beveiligingsrichtlijn die minimaal getroffen moeten worden (musthaves) ommiddels een hulpmiddel tot een consistente oordeelsvorming tekomen?

Omaan tekunnengeven inhoeverredebetreffendebeveiligingsrichtlijnadequaat is ingevuldoftewelhetrisicoisgemitigeerdishetvanbelangdateenITauditoropeengestructureerdeenoverzichtelijke manier het totaal oordeel kan vellen. Daarom heb ik een rekenmodelgeïntroduceerdwaarindemaatregelendieminimaalgetroffenmoetenworden(“musthaves”)eenwegingsfactorhebbengekregenomtoteenconsistenteoordeelsvormingtekomen.

Opbasisvandeopgesteldewegingsfactorenvoor ‘musthave’maatregelenendevalidatieslagmet externe deskundigen constateer ik dat alle richtlijnen 1 á 2 onderliggendemaatregelenhebbendiealsmeestbelangrijkzijngeïdentificeerdomhetrisicotemitigerenendedoelstellingvanderichtlijntebehalen.

Op dezewijze heb ik onderliggendemaatregelen gespecificeerd, gesplitst inmaatregelen dieminimaalgetroffenmoetenwordenenmaatregelendiezeergewenstzijnenals laatsteheb ikmaatregelen die minimaal getroffen moeten worden een wegingsfactor meegegeven. Alseindproductlevertditperrichtlijneenspecificatieenrekenmodelop,diealshulpmiddelingezetkunnenwordendoordeITauditorbijeenDigiDICT-beveiligingsassessment(ziebijlageBijlageF).

Hoofdvraag1. Wat zijn onderliggende maatregelen van het normenkader en welkewegingsfactor wordt toegekend aan de onderliggende maatregelen op

32

beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van debeveiligingsrichtlijnenvanhetDigiDICT-beveiligingsassessmenttekomen?

Samenvattendkangeconcludeerdwordendatereennormenkader isgecreëerduitgaandevande antwoorden op de deelvragen, waarmee antwoord wordt gegeven op de centraleonderzoeksvraag.Opbasisvanhetnormenkaderwaarperrichtlijnonderliggendemaatregelenzijngespecificeerdenmiddelshet rekenmodelwaarwegingsfactorenaandemaatregelenzijngehangenalshulpmiddelkaneen ITauditoreenconsistenteoordeelvellenwaarsubjectiviteitgeengroterolmeerkanspelen.Hetraamwerk isgeverifieerddoorexternedeskundigen.Dezedeskundigenbeschikkenoveruitgebreideervaringophetgebiedvan informatiebeveiligingenhetauditenvanDigiD-koppelingen.Doordezeverificatie isdekwaliteitvanhetnormenkadergewaarborgd.

Omdathetnormenkaderzichgoedleentvoorde‘rulebased’auditaanpakenhetopstellenvande aanvullende specificeringmet een rekenmodel indeze scriptie ishetvoorde auditornogsteedsbelangrijkomdeaftedekkenrisico’saltijdcentraal tehoudenbijhetuitvoerenvandeDigiDaudit.HetrekenmodeldientalshulpmiddelvoordeITauditorenmoetnietleidendzijninhet geven van het eindoordeel. Dit betekent dat een IT auditor ervoor kan kiezen dat eenrichtlijnvoldoetbijhetbehalenvan70%inplaatsvan100%inhetrekenmodel.Ditkanzichmetnamevoordoeningevallendatdeimpactvaneenbepaalderisicohoogisdoordateenmaatregelniet isgenomen,maardathetonwaarschijnlijk isdathetzichvoorzaldoen,omdathet risicomiddelseenanderemaatregelwordtgemitigeerd.Daaromishetbelangrijkdatnaasthetgebruikvan het rekenmodel de IT auditor voor het eindoordeel zijn professional judgement blijftgebruiken.

5.2 BEPERKINGENENVERVOLGONDERZOEK

Een eerste beperking van de studie is dat het onderzoek zich alleen maar richt op de 28richtlijnendieverplichtzijngesteldvoordeDigiDbeveiligingsassessment.Logiusdaarentegenadviseertomdehelesetvanrichtlijnen(59beveiligingsrichtlijnen)vanNCSCteadopterenvoorde DigiD beveiligingsassessment. Een vervolgonderzoek waarbij er voor de overige set vanrichtlijneneenspecificeringenwegingwordtopgesteldisdaninteressant.

Een tweede beperking van deze studie is dat het onderzoek is uitgevoerd op debeveiligingsrichtlijnen van het NCSC die dateert van 2012. Het is denkbaar dat debeveiligingsrichtlijnenvoorwebapplicatiesvanhetNCSC,waaropdeDigiD-norm isgebaseerd,naar aanleiding van een evaluatie zullen worden herijkt. Dit zou kunnen betekenen dat hetnormenkadervervangenzoukunnenwordenendeopgesteldespecificeringmetdewegingennietmeeropgaanmethetnieuwenormenkader.Maarzolangdeherijkingnietisgebeurd,isergeen aanleiding om het normenkader te wijzigen. Mocht dit wel gebeuren dan zou eenvervolgonderzoekinteressantzijnomnogmaalsnaardespecificeringennormeringtekijken.

Eenderdebeperking isdatdeopgesteldewegingenvandemaatregelenalshandvattendienenomtotgoedonderbouwdeoordelenperrichtlijntekomen.DitbetekentdatdeITauditorsperrichtlijngoedderesultatenmoetenbeoordeleningevallenwaarhettwijfelachtigisofervoldaanisaandenorm.Hetisinteressantomdaaromverderonderzoekuittevoerenophetobjectvanhetonderzoekwaarbijereenkwantitatiefonderzoekwordtgedaannaardewegingen.

Een andere beperking van dit onderzoek is dat er geen input is geweest vanuit eengebruikersorganisatie of een hostingpartij voor DigiD systemen. Vervolgonderzoek op despecificeringvanhetnormenkaderzouookuitgevoerdkunnenwordenmetdefocusvanuiteen

33

gebruikersorganisatiezoalseengemeente.VooreendergelijkonderzoekzoumeneencasestudykunnenuitvoerenbijeengrotegemeentewaarbijdeDigiDaansluitinginternwordtbeheerdofeengrotehostingpartijwaarbijveleorganisatieshunsoftware/DigiDICT-componentenhebbenuitbesteed.OpdezemanierkrijgtdeITauditorinzichtindemaatregelendieminimaalgetroffenmoetenwordenvanuiteenandereinvalshoek.IkhebgeprobeerdomcontactteleggenmeteengrotehostingpartijvoorDigiDsystemen,maardiewasnietbereidomeen interview tegeven.Ook isgeprobeerdomeeninterviewtekrijgenbijLogiuseneengroteBig4,maartevergeefs isditnietgelukt.

Ookeenbeperkingvanditonderzoekisdateralleenisgekekennaardeindividueleoordelenengeen oordeel over de informatiebeveiliging als geheel. Momenteel wordt deze door Logiusuitgevoerdzonderdatdetailsvandeauditbeschikbaarvoorhenzijn.DaarentegenheefteenIT-auditor wel de details en weet hij ook wat er bij de DigiD houder op het gebied vaninformatiebeveiligingafspeelt. InhetvervolgzouonderzoekgedaankunnenwordennaarhoeeentotaaloordeelafgegevenkanwordendooreenITauditor.

5.3 REFLECTIE

Bijhet uitvoerenvanditonderzoek enhet schrijvenvande bijbehorende scriptieheb ikmegerichtophetspecificerenvanhetDigiDnormenkader.Ditheefterechtergaandewegtoegeleiddat ik indezescriptiesteedsmeerbengaanrichtenophetontwikkelenvaneennormenkadermetmaatregelen dieminimaal getroffenmoetenworden om te voldoen aan de norm en hetdefiniëren vanwegingsfactoren. Dit om te voorkomen dat er inconsistente oordeelsvormingplaatsvindt door diversiteit in de interpretaties. Persoonlijk ben ik zeer tevreden met dezeontwikkelingenmetheteindresultaataangezienhetontwikkeldenormenkaderook toegepastzou kunnen worden bij DigiD assessments en daarom een mooie toevoeging is aan hetvakgebied.Detoepassingvanhetnormenkaderkanalleenechtgoedwordeningezetalserdoormeerdere experts een toetsing wordt gedaan op basis van dit ontwikkelde normenkader.Desondanks zullen er meningsverschillen ontstaan. Volgens mij is dit onvermijdelijk bij eendergelijkonderzoek.Quaprocesben ikal ineenvroegstadiumaandescriptiebegonnenmaargedurendehetdrukkerewerkseizoen,zakendieinmijnprivésituatiehebbenafgespeeldenhetvrij lastigwas om deskundigen op het gebied vanDigiD te interviewen heeft het iets langergeduurdalsverwacht.Totslothebikpersoonlijkveelgeleerdvanditonderzoek.Voornamelijkheb ik geleerd om nog kritischer te kijken naar gehanteerde normenkaders. Binnen hetvakgebied wordt er regelmatig te weinig aandacht besteed aan de interpretatie vannormenkadersenmetditonderzoekheb ikmeer inzichtgekregen inhetbelangvaneengoednormenkaderdieookgoedgeïnterpreteerdzoumoetenwordendoorbelanghebbenden.

34

6 LITERATUURLIJST

GOVCERT.NL.(2010).WhitepaperRaamwerkBeveiligingWebapplicaties.DenHaag.

Hassing,A.(2015,3).VeelkritiekopwerkwijzeDigiD.InformatieScriptieprijs,pp.10-13.

Hintzbergen, K., Smulders, A., & Baars, H. (2008). Basiskennisbeveiligen van informatie. VanHaren.

Janssen, P. (2007). ICT-Reeks -Projectmanagement volgensPrince2,2/e. Amsterdam: PearsonEducation.

Logius. (2014, mei 23). Jaarrekening. Opgeroepen op 5 23, 2014, van Logius:http://publicaties.logius.nl/nl/magazine/6604/749035/logius_de_hoogtepunten.html

Moerman, N. (2014, 6 11). Overheid haalt websites offline om misbruik Digid-gegevens.Opgeroepenop627,2014,vanNu.nl:http://www.nu.nl/tech/3799085/overheid-haalt-websites-offline-misbruik-digid-gegevens.html

Nations, D. (2014, 6 17). Web Applications. Opgeroepen op 7 11, 2014, van About.com:http://webtrends.about.com/od/webapplications/a/web_application.htm

NCSC,D.1.(2012).ICT-BeveiligingsrichtlijnenDeel1.DenHaag.

NCSC,D.2.(2012,Januari).ICT-BeveiligingsrichtlijnenDeel2.DenHaag.

Norea. (2012, 12 19). Handreiking. Opgeroepen op 6 16, 2014, van Norea.nl:http://www.norea.nl/Norea/Actueel/Nieuws/Handreiking+DigiD.aspx

Norea. (2013, 04 19). Bijeenkomst IT-auditorsoverDigiD-assessments. Opgeroepen op 04 29,2015, van NOREA:http://www.norea.nl/Norea/Actueel/Nieuws/Bijeenkomst+DigiD.aspx

Norea.(2013).DigiD-assessmenttemplateassurancerapport.Norea.

Overbeek, P., Lindgreen, E. R., & Spruit, M. (2005). Informatiebeveiliging onder controle.Amsterdam:Pearson.

Plasterk, R. (2013, 5 23). Visiebrief digitale overheid 2017. Opgeroepen op 6 27, 2014, vanRijksoverheid: http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2013/05/23/visiebrief-digitale-overheid-2017.html

Rijksoverheid. (2014). Digitale Overheid. Opgeroepen op mei 23, 2014, van Rijksoverheid:http://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/wat-is-digid.html

Tewarie,W.(2006,1114).PrinciplebasedAuditApproach.Amsterdam,Nederland.

Whitehat.(2013).WhitehatSecurityWebsiteStatisticsReport.SantaClara:WhitehatSecurity.

Yin,R.K.(2008).CaseStudyResearchDesignandMethods.SAGEPublications,Inc;4eeditie.

35

BIJLAGEA. NORMICT-BEVEILIGINGSASSESSMENTSDIGID

Nr. Norm DoelstellingB0-5 Allewijzigingenworden altijd eerst getest voordat deze in productieworden

genomenenwordenviawijzigingsbeheerdoorgevoerd.HetgaranderenvaneencorrecteenveiligewerkingvanICT-voorzieningendoorhetopeengecontroleerdemanierdoorvoerenvanwijzigingen.

B0-6 Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijngehardtegenaanvallen.

Het tot een minimum beperken van de kans dat onnodige faciliteiten op een systeemwordenmisbruikt.

B0-7 De laatste(beveiligings)patcheszijngeïnstalleerdendezewordenvolgenseenpatchmanagementprocesdoorgevoerd.

Alle aanwezige software is tijdig voorzien van de laatste versies/patches ommogelijkeuitbuitingvankwetsbaarhedenvoortezijn.Opeenzoefficiëntmogelijkwijzemetzominmogelijkverstoringeneenstabiel(veilig)systeemtecreëren.

B0-8 Penetratietestswordenperiodiekuitgevoerd. Inzichtkrijgenenhoudenindematewaarineenwebapplicatieweerstandkanbiedenaanpogingenomhettecompromitteren(binnendringenofmisbruikenvanwebapplicatie).

B0-9 Vulnerabilityassessments(securityscans)wordenperiodiekuitgevoerd. Inzicht hebben in de mate waarin de ICT-omgeving bekende kwetsbaarheden enZwakhedenbevat,zodatdezewaarmogelijkweggenomenkunnenworden.

B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer.

Voorkom ongeautoriseerde toegang tot netwerken, besturingssystemen, informatie eninformatiesystemenen-diensten,zodatschadebijmisbruikzobeperktmogelijkis.

B0-13 Niet(meer)gebruiktewebsitesen/ofinformatiemoetwordenverwijderd. Voorkommisbruikvan‘oude’ennietmeergebruiktewebsitesen/ofinformatie.

B0-14 Legafsprakenmetleveranciersvastineenovereenkomst. Het handhaven van het beveiligingsniveau, wanneer de verantwoordelijkheid voor deontwikkelingvan dewebapplicatie en/ofbeheervan dewebapplicatie is uitbesteedaaneenandereorganisatie.

B1-1 Ermoet gebruikwordengemaaktvaneenDemilitarisedZone (DMZ),waarbijcompartimentering wordt toegepast en de verkeersstromen tussen dezecompartimentenwordtbeperkttotalleendehoogstnoodzakelijke.

Voorkom of beperk de risico’s van een aanval door het scheiden van componentenwaaraanverschillendebeveiligingsniveaus(betrouwbaarheidseisen)wordengesteld.Voorkom rechtstreekse toegang tot het interne netwerk vanaf het internet door hettoepassenvancompartimenteringenhetcontrolerenvandeverkeersstromentussendezecompartimenten.

B1-2 Beheer-enproductieverkeerzijnvanelkaargescheiden. Voorkom dat misbruik kan worden gemaakt van de beheervoorzieningen vanaf hetinternet.

B1-3 Netwerktoegang tot dewebapplicaties is voor alle gebruikersgroepen op eenzelfdewijzeingeregeld.

Voorkom (nieuwe) beveiligingsrisico’s omdat dewebapplicaties ook bereikbaarmoetenzijnvanafhetinternenetwerkvoorgebruikersbinnendeorganisaties.

B2-1 Maakgebruikvanveiligebeheermechanismen. Voorkommisbruikvanbeheervoorzieningen.

B3-1 Dewebapplicatie valideert de inhoud van eenHTTP-request voor diewordtgebruikt.

Voorkomhetverlies,wijzigingofmisbruikvangegevensdooronbetrouwbare(malafide)invoer.Voorkomdatdeapplicatielogicawordtbeïnvloed.

B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiatorgeauthentiseerdisendejuisteautorisatiesheeft.

Valideerde initiatorvan eenHTTP-request teneinde tevoorkomen dat kwaadwillendentransactiesuitnaamvaneenvalidegebruikeruitvoeren.

B3-3 Dewebapplicatienormaliseertinvoerdatavoorvalidatie. Normaliseer alle invoerdata voor deze te valideren om te voorkomen datfilteringmechanismenongewenstepatronennietherkennen.

B3-4 Dewebapplicatiecodeertdynamischeonderdelenindeuitvoer. Codeer dynamische onderdelen van de uitvoer zodat er geen ongewenste tekens in deuitvoerterechtkomen.

B3-5 Voor het raadplegen en/ofwijzigen van gegevens in de database gebruikt dewebapplicatiealleengeparametriseerdequeries.

VerkleindekansopSQL-injectieaanvallen.

36

B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatiewordenaangeboden,aandeserverzijde.

Voorkomdatcontroleskunnenwordenomzeild.

B3-7 Dewebapplicatie staatgeendynamische file includes toeofbeperkt de keuzemogelijkheid(whitelisting).

Voorkomdatongewenstebestandenwordengeïncorporeerdineenwebapplicatie.

B3-15 Een(geautomatiseerde)blackboxscanwordtperiodiekuitgevoerd. Testenoferkwetsbaarhedenindewebapplicatiebestaan.

B3-16 Zetdecookieattributen‘HttpOnly’en‘Secure’. Voorkomdatcookiecommunicatiekanwordenafgeluisterd.Voorkomdatcookiesgestolenkunnenwordenviacrosssitescripting.

B5-1 Voer sleutelbeheer inwaarbijminimaal gegarandeerdwordt dat sleutels nietonversleuteldopdeserverstevindenzijn.

Doelmatiggebruikvancryptografische techniekendoorhetbeherenvancryptografischesleutels.

B5-2 Maakgebruikvanversleutelde(HTTPS)verbindingen. Voorkommisbruikvan(vertrouwelijke)gegevensdietijdenstransportzijnonderschept.

B5-3 Slagevoeligegegevensversleuteldofgehashedop. Voorkommisbruikvanopgeslagenvertrouwelijkegegevens.

B5-4 Versleutelcookies. Voorkomdatkwaadwillendedeinhoudvancookieskunneninzienen/ofaanpassen,zodatdevertrouwelijkheidenintegriteitvandeinhoudvanhetcookiewordtgewaarborgd.

B7-1 MaakgebruikvanIntrusionDetectionSystemen(IDS). Detecterenvanaanvallenopwebapplicaties.

B7-8 Voeractiefcontrolesuitoplogging. Hetdetecterenvanmisbruikeninbraakpogingen.

B7-9 Governance,organisatie,rollenenbevoegdheden inzakepreventie,detectieenresponseinzakeinformatiebeveiligingdienenadequaattezijnvastgesteld.

Hetmanagenvandeinformatiebeveiligingbinnendeorganisatie

37

BIJLAGEB. MAATREGELENVANDEDIGIDNORMENRichtlijnnr. Maatregelen

B0-5 Wijzigingsbeheer:•Zorgvooreenprocesbeschrijvingvanwijzigingsbeheerendatditproceseffectiefisgeïmplementeerd.•Zorgdatconfiguratiebeheerisingericht.•Allewijzigingenwordenopeengestructureerdewijzegeregistreerd.•Erisvastgelegdwelkefunctionarissenwijzigingenmogenaanvragen.•Erwordenalleengeautoriseerdewijzigingsverzoeken(RequestforChange(RFC))inbehandelinggenomen.•Erbestaateenactueelenvolledigoverzichtvanwijzigingenmetbetrekkingtotde(beveiligings)instellingenvandeICT-infrastructuur.•Vanallewijzigingenwordtdeimpactmetbetrekkingtotinformatiebeveiligingvastgesteld.•Erisvastgelegdwiedeprioriteitvanwijzigingenbepaaltenwietoestemmingverleent.Bijvoorbeeldeenbeslissingsforum(ChangeAdvisoryBoard(CAB))•Devoortgangvandeafhandelingvanwijzigingenwordtbewaakt.•Realisatieenimplementatievanwijzigingenwordengeplandendezeplanningsgegevenswordengepubliceerd(changekalender).•Gerealiseerdewijzigingenwordenvoorimplementatiegetest.•Wijzigingenwordengeëvalueerd,waarbijinelkgevalvastgesteldwordtofdewijzigingniettotincidentenheeftgeleid.•Voorelkewijzigingiseenterugvalscenario(fallback)opgesteld,denkhierbijaanbeheersproceduresenverantwoordelijkhedenbijuitvoeringvanhetterugvalscenario.Deproductieomgevingwordtgeauditopongeautoriseerdewijzigingen:•Zorgvooreenactueelsnapshotvandeverschillendesystemen.•Zorgdatsystemencontinuewordengeaudittegendeactuelesnapshot(detecterenvanwijzigingen).•Zorgdathetoverzichtmetauditregels(policy)endesnapshotsonderdeelzijnvanhetproceswijzigingsbeheer.Webapplicatieswordengetestvoordatdezeindeproductiewordengenomen:•Voornieuwesystemen,upgradesennieuweversiesmoetenacceptatiecriteriazijnvastgesteld.•Wijzigingenwordengetestvoordatdezeinproductiewordengenomen.•Erzijnproceduresopgesteldvoordeomvangendiepgangvandetests.Alsdewijzigingimpactheeftopdeinformatiebeveiliging,isbepaaldoferspecifiekebeveiligingstestsuitgevoerdmoetenworden(bijvoorbeeldpenetratietests(ziemaatregelB0-8),codereviews(ziemaatregelB3-14)etcetera).•Penetratietestenmakenonderdeeluitvandetesten(ziemaatregelB0-8).•Alshetgaatomstandaardsoftware,Software-as-a-Service(SaaS)kanwordengedachtaandevolgendeaandachtspunten:--Externecertificeringvandeexternontwikkeldesoftware.--Afsprakeninhetcontractvastleggenomdesoftwaretemogenauditen.--Uitvoerenvananderetests,bijvoorbeeldpenetratietest(ziemaatregelB0-8)ofblackboxscan(ziemaatregelB3-15),ommogelijkekwetsbaarhedenoptesporen.Ontwikkel,test,acceptatieenproductieomgeving(OTAP):•Zorgvooreengescheidenontwikkel-,test-(,acceptatie-)enproductie-omgeving(OTAP).•Zorgdatprocedureszijngedocumenteerdenvastgesteldvoorhetoverdragenvandeenenaardeandereomgeving(vanontwikkelnaartest,vantestnaaracceptatieenvanacceptatienaarproductie).

38

B0-6 •Zorgvooreenbeschrijvingvanhethardeningsprocesendatditproceseffectiefisgeïmplementeerd.•Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkenetwerkprotocollenendatditoverzichtcontinuewordtonderhouden.•Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkservices.•Zorgdatditoverzichtonderdeelisvanhetproceswijzigingsbeheer.•Zorgdatperiodiekwordtgetoetstofhetsysteemvoldoetaanhetoverzichtvanhoogstnoodzakelijkenetwerkprotocollen.•Afwijkingenmoetenwordengedocumenteerdengeaccepteerddoordeeigenaarvandewebapplicatieenbeveiligingsfunctionaris.

B0-7 •Zorgvooreenbeschrijvingvanhetpatchmanagementprocesendatditproceseffectiefisgeïmplementeerd.•Zorgdatconfiguratiebeheerisingericht.•Zorgvooreentechnischeimplementatievaneenupdatemechanisme.•Ermoeteenprocedurezijningerichtwaarinstaatbeschrevenhoedeorganisatieomgaatmetupdates:hoesnelimplementeertdeorganisatieeenkritiekepatch,welkestadiamoetdepatchdoorlopen,wiedraagtdeverantwoordelijkheid,etcetera?

B0-8 •Pentestswordennietalleenbijnieuwbouwenwijzigingenuitgevoerd,maarmoetenperiodiekwordenherhaald.•Zorgvooreenopdrachtomschrijving,scopedefinitie,planningenkwaliteitseisen.•Deresultatenvandepentestwordenvastgelegdineenrapportage.Waarbijduidelijkisaangegevenwelkeinformatiederapportagemoetbevatten.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B0-9 •Zorgdatvulnerabilityassessmentperiodiekwordenherhaald.•Zorgvooreenscopedefinitie(denkhierbijaanhost-ofnetwerkgebaseerdeVA,teonderzoekenIP-adressenen/oftypebesturingssysteem),planningenkwaliteitseisen.•Zorgdatderesultatenvandevulnerabilityassessmentwordenvastgelegdineenrapportage,waarbijduidelijkisaangegevenwelkeinformatiederapportagemoetbevatten.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B0-12 •Zorgvoorbeleidtenaanzienvantoegangsbeveiliging(identiteit-entoegangsbeheer).•Zorgvooreenwachtwoordbeleidentechnischemaatregelenomsterkewachtwoordenaftedwingen.•Dezakelijkebehoeftenenbeveiligingseisenmoetenzijngedocumenteerd.•Deinrichtingvanhetidentiteit-entoegangsbeheerisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkefuncties(identiteit-,authenticator,profiel-entoegangsbeheer)waar(centraal/decentraal)wordenuitgevoerd.•Zorgdathetinrichtingsdocument/ontwerponderdeelisvanhetproceswijzigingsbeheer.•Zorgvooreenprocedurebeschrijvingmetbetrekkingtottoegangsbeveiligingvooridentiteit-entoegangsbeheer(autorisaties)voornetwerken,besturingssystemen,informatiesystemen,informatieen-diensten.•Zorgvooreenactueeloverzichtvanserviceaccounts.•Zorgvooreenactueeloverzichtvanpersonendiebeheeraccountshebbenendatditoverzichtcontinuewordtonderhouden.•Zorgvooreenactueeloverzichtvanpersonendieeengebruikersaccounthebbenendatditoverzichtcontinuewordtonderhouden.•Zorgdatperiodiekwordtgetoetstofhetsysteemvoldoetaanhetoverzichtvanpersonendiebeheeraccountshebben.•Accountsdiedewebapplicatiegebruiken,hebbennietmeerrechtendanvereistvoorhetfunctionerenvandewebapplicatie.•Dedatadiedoorwebapplicatie(s)wordtaangeboden,moetzijngeclassificeerd.•Iederewebapplicatieheefteeneigenaar(verantwoordelijke)•Ermoeten(actuele)overzichtenzijnmetalleautorisatiesvoordewebapplicatie.•Ermoeteenprocesbeschrijvingzijnvoorhetcontrolerenvandegebruikersaccountsendebijbehorendeautorisaties.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.•Hetinrichtingsdocument/ontwerp:heefteeneigenaar,isvoorzienvaneendatumenversienummer,isactueel.enisophetjuisteniveaugeaccordeerd.

39

B0-13 •Ermoeteenactueeloverzichtzijnvandewebsitesdieoperationeelzijn.Zorgdatditoverzichtonderdeelisvanhetproceswijzigingsbeheer.•Iederewebsiteheefteeneigenaar.•Voerperiodiekcontrolesuitofdeoperationelewebsitesnogwordengebruikten/ofinformatiebevatdiekanwordenverwijderd.

B0-14 •Zorgvooreenovereenkomst(bijvoorbeeldcontract,ServiceLevelAgreement(SLA)ofDienstenNiveauOvereenkomst(DNO))waarindebeveiligingseisenen-wensenzijnvastgelegdenophetjuiste(organisatorische)niveauisvastgesteld/geaccordeerd.•Zorgvoorrapportagesvandedienstleverancieroverdegeleverdedienstverlening.

B1-1 •DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerp-eninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oWelkewebapplicatieswordenontsloten?oWelkeinformatiemagindeDMZwordenopgenomen?oWelkeondersteunendeapplicatieszijnnoodzakelijk?oWelkecompartimenten,koppelvlakkenenverkeersstromentussendecompartimentenzijnnoodzakelijk?oWelkeIP-adressenwordengebruiken(NAT,DHCP)?.oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast?oWelkuitgaandverkeervanafdewebserverisnoodzakelijk?oZijnaansluitvoorwaardenopgesteld?•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

B1-2 •DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerp-eninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oWelkeondersteunendebeheerapplicatieszijnnoodzakelijk?oWelkecompartimenten,koppelvlakkenenverkeersstromentussendecompartimentenzijnnoodzakelijkinverbandmethetbeheer?oHoewordtdestorageenback-upinfrastructuurontsloten?oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast?oWelkebeheermechanismenwordentoegepast?oHoekrijgenbeheerderstoegangtothetbeheergedeelte?•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

40

B1-3 •DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerpeninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oHoeverlooptdeinterne/externerouteringvanwebverkeer?oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast.oWelkebeheermechanismenwordentoegepast.•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

B2-1 •Zorgdatproceduresmetbetrekkingtotbeheermechanismenzijnvastgesteld.Hetgebruikvan‘backdoors’moetabsoluutuitgeslotenzijn.Eenbackdoorvoorbeheerisbijvoorbeeldeenbeheerinterfacewaarvoorgeenauthenticatienodigismaardiedraaitoppoort8888endaardoormoeilijkteontdekkenzoumoetenzijn(‘securitythroughobscurity’).Dekansisechtergrootdatkwaadwillendenbackdoorsvroegoflaatontdekken,enerinslagenomdezetemisbruiken.

B3-1 •Beschikkenoverdebroncodevandeprogrammatuur.OnderstaandecriteriageldenvoorhetvaliderenvandeinhoudvaneenHTTP-requestopbasisvanongewensteinvoer:•ValidatievindtplaatsopiniedersgevaldynamischeonderdelenvandeURL,queryparameters,formparameters,cookies,HTTP-headers,XMLenbestanden.•Dewebapplicatievoertdezevalidatieuitopbasisvan:oTypecontrole(bijvoorbeeldstringofinteger).oLengtecontroleoFormaatcontrole(opbasisvanbijvoorbeeldeenreguliereexpressie)oControleopvalidekarakters(bijvoorbeeldalleen‘A-Z’en‘a-z’)•Inhetgevaldeinvoernietvoldoetaanéénofmeerderevanbovenstaandecontroles,weigertdewebapplicatiedezeinvoer.OnderstaandecriteriageldenvoorhetfilterenvandeinhoudvaneenHTTP-requestopbasisvanongewensteinvoer:•Dewebapplicatiefiltertdeinvoeropbasisvan:oMalafidesleutelwoorden(bijvoorbeeld‘DROP’of‘rm’)oMalafidetekens(bijvoorbeeld‘’’of‘’’)oMalafidepatronen(bijvoorbeeld‘/**/’of‘..\..\’)•Defilteringistoegespitstopdeprogrammaonderdelenwaarindeinvoerwordtverwerkt.BijhetgebruikvaninvoervoorhetsamenstellenvaneendatabasequeryzijnanderefiltersvereistdanvoorhetsamenstellenvaneenLDAP-query.•Inhetgevaldeinvoeréénofmeerderesleutelwoorden,tekensofpatronenvandeblacklistbevat,verwijdertdewebapplicatiedezeuitdeinvoeralvorensdezeinvoerverdertegebruikenbinnendewebapplicatielogica.Devolgenderisicovollekaraktersuitdeinvoerworden‘onschadelijk’gemaakt:•Dewebapplicatievoertescapinguitopdeinvoernahettoepassenvanwhitelistseneventueelblacklists.•Deescapingistoegespitstopdeprogrammaonderdelenwaarindeinvoerwordtverwerkt.

41

B3-2 •Beschikkenoverdebroncodevandeprogrammatuur.•DewaardevancookiesisgekoppeldaanhetIP-adreswaarnaardezewaardeisverstuurd.•Vooronderdelenvandewebapplicatiewaarmeetransactiesdooreengevalideerdegebruikerkunnenwordenuitgevoerd:oZijnformulierpagina’svoorzienvaneendynamischtoken;oAccepteertdewebapplicatiealleenverzoekenwaarbijdeinhoudvandeReferer-headerovereenkomtmetdeURLvandebetreffendewebapplicatie.Bewijsvoering•HetisnietmogelijkomeencookietegebruikenvanafeenIP-adresandersdanhetIP-adresaanwiehetcookieverstrektis.•Hetisnietmogelijkomtransactiesvoorgevalideerdegebruikersuittevoerenvanafeenanderewebsitedandewebsitewaaropdegebruikerisgevalideerd.•Hetvaststellenisgoedmogelijk,alsjebetrokkenbentbijhetontwikkeltrajecten/ofbeschiktoverdebroncodevandeprogrammatuur,doorhetuitvoerenvancodereviews.

B3-3 •Beschikkenoverdebroncodevandeprogrammatuur.Voorbeeldenvannormalisatiezijn:•OmzettenvanNULLkaraktersnaarspaties.•Coderenvanbijzonderekaraktersineenuniformecodering(bijvoorbeeldUTF-8).•Normaliserenvanpadverwijzingenals‘/./’en‘/../’.•Verwijderenvanoverbodigespatiesenregeleinden.•Verwijderenvanonnodigewitruimtes.•Omzettenvanbackslashesnaarforwardslashes•Omzettenvanmixedcasestringsnaarlowercasestrings.

B3-4 •Beschikkenoverdebroncodevandeprogrammatuur.B3-5 •Beschikkenoverdebroncodevandeprogrammatuur.

•Dewebapplicatiemaaktgebruikvangeparameteriseerdequeriesbijhetbenaderenvandatabases.

B3-6 •Beschikkenoverdebroncodevandeprogrammatuur.•Voorelkecontrolediedewebapplicatieuitvoertaandeclientzijde,iseenequivalentaanwezigaandeserverzijde.

B3-7 •Beschikkenoverdebroncodevandeprogrammatuur.•Dewebapplicatiemaaktgeengebruikvandynamischefileincludes.

B3-15 •Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.•Zorgvoorafspraken,metdeleverancier,overhetuitvoerenvaneenblackboxscan.Wanneerblackboxscans?Erkunnenmeerderemomentenzijnwaaropeenblackboxscanzinvolis:•Defrequentiedientvastgesteldtewordenopbasisvanhetrisicoprofiel.•Indeacceptatiefasevaneennieuwsysteemofeennieuweapplicatie.•Bijsignificantewijzigingenvaneenbelangrijksysteemofeenbelangrijkeapplicatie.•Periodiek(jaarlijks/tweejaarlijks),ombestaandesystementetestenopnieuweinbraaktechniekenen/ofalsonderdeelvandePDCA-cyclus(ziemaatregelB0-1).•Alsereenandereredenisomtedenkendatdebeveiligingvaneensysteemmindergoedisdangedacht.

42

Opvolging•Ermoetactiewordenondernomenindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B3-16 HetsetcookiecommandbevatdesecureflagendeHTTPOnlyflag.

B5-1 •Ermoetbeheerprocesrondomsleutelsencertificatenzijningevoerd.oHoewordensleutelsgegenereerdvoorverschillendetoepassingen?oHoewordencertificatenvoorpubliekesleutelsgegenereerdenverkregen?oHoesleutelswordenbewaard,inclusiefeeninstructiehoegeautoriseerdegebruikersotoegangtotsleutelskunnenkrijgen?oHoehetwijzigenofactualiserenvansleutelsmoetgeschieden?oHoewordtomgaanmetsleutelsdiezijgecompromitteerd?oHoesleutelsmoetenwordenherroepen,ingetrokkenofgedeactiveerd?oHoesleutelshersteldmoetenwordendieverlorenofgecompromitteerdzijn?oHoesleutelswordengearchiveerd?oHoesleutelswordenvernietigd?oHoeactiviteiteninverbandmetsleutelbeheerwordenvastgelegdengecontroleerd?oWelkeminimalesleutellengtesmoetenwordentoegepast?oWelkeencryptie-algoritmenmoetenwordentoegepast?•Hetinrichtingsdocument/ontwerp:heefteeneigenaar,isvoorzienvaneendatumenversienummer,isactueel,isophetjuisteniveaugeaccordeerdenmaaktonderdeeluitvanhetstandaardwijzigingsbeheerproces.

B5-2 •Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerp,waarinisvastgelegdwelkeuitgangspuntengeldenvoordetoepassingvanversleuteldeverbindingen(SSL/TLS).•ErvindteenredirectplaatsvanHTTPnaarHTTPSophetmomentdateen(contact)formulierwordtopgevraagd.

B5-3 Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorversleutelenvangegevens.

B5-4 •Ermoeteenbeleidmetbetrekkingtothettoepassenvancookieszijn.•Ermoetenprocedureszijnmetbetrekkingtothetbeherenvancookies.•Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorversleutelenvangegevens.

B7-1 •Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorinzettenvanIDS’en.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B7-8 •Ermoetenprocedureszijnopgesteld,waarinstaatbeschrevenhoeenwanneercontrolesoploggingmoetenplaatsvindenenhoetakenopditgebiedbelegdzijn.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

43

B7-9 •Functiesenverantwoordelijkhedenvoordeinformatiebeveiligingmoetenzijntoegekend.•Ermoetovereenstemmingoverdebenodigdemethodologieënenprocessenwordenbereikt.Denkhierbijaanrisicoanalyseenmetbetrekkingtothetclassificatiesysteem.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

BIJLAGEC. NOREAHANDREIKINGVOORDIGIDASSESSMENTSNr. Norm Type: Toepasbaarhe

idgebiedScope Naderetoelichting Uittevoerenwerkzaamheden

B0-5 Allewijzigingenwordenaltijdeerstgetestvoordatdezeinproductiewordengenomenenwordenviawijzigingsbeheerdoorgevoerd.

Governance HouderDigiDaansluiting,softwareleverancier,hosting-partij

DeDigiDapplicatieendeinfrastructuur

Defocusishetvaststellendathetproceswijzigingsbeheerzodanigisopgezetengeïmplementeerddatallewijzigingenaltijdeerstwordengetestvoordatdezeinproductiewordengenomenenviawijzigingsbeheerwordendoorgevoerd.

Interviewsmetverantwoordelijkefunctionarissen,beoordelingvanprocesdocumentatie,gerichtedeelwaarnemingopwijzigingen.

B0-6 Maakgebruikvaneenhardeningsproces,zodatalleICT-componentenzijngehardtegenaanvallen.

Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebserversenderoutenaarhetinternet

Defocusisophethardeningsproces.Onderdeelhiervaniseensecuritybaselinevoordesystemen.Dehardeningvaninternetfacingsystemendientstraktezijngeregeld:alleswatopenstaatmoeteenredenhebbenenalleswatopenstaatmoetsecurewordenaangeboden.Dehardeningvaninternesystemenmagminderstringent.Welmoetendemanagementfunctiesmoetensecurezijn,ergeenonveiligeprotocollenwordengebruikt,defaultpasswordszijngewijzigd,voorbeeldapplicatiesnadefaultinstallzijnverwijderd,etc

Interviewsmetverantwoordelijkefunctionarissen,beoordelingvanprocesdocumentatie,inspectievanconfiguratiedocumentatieenanalysevandeuitkomstenvanpenetratietesten.

B0-7 Delaatste(beveiligings)patcheszijngeïnstalleerdendezewordenvolgenseenpatchmanagementprocesdoorgevoerd.

Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebserversenderoutenaarhetinternet

Defocusisophetpatchingproces.DepatchingproceskangedifferentieerdzijnnaarOSennetwerk.Eenmaandelijkspatchingcyclesisaanvaardbaartenzijersecurityalertszijn.Voorinternetfacingsystemendienendelaatstestabielebeveiligingspatchestezijngeïnstalleerd.Indienpatchingnietmogelijkisinverbandmetoudereapplicatie,zalditrisicomoetenzijnafgewogen.

Interviewsmetverantwoordelijkefunctionarissen,beoordelingvanprocesdocumentatie,inspectievanconfiguratiedocumentatieenanalysevandeuitkomstenvanpenetratietesten.

B0-8 Penetratietestswordenperiodiekuitgevoerd.

Infra-Pentest

Softwareleverancier,hosting-partij

DigiDapplicatieenhetIPadresvandeDigiDapplicatie

Depenetratietest/applicatiescandientminimaaléénmaalperjaarwordenuitgevoerdennasignificantewijzigingen.Deexterneblackbox/greyboxinfrastructuurpenetratietestdientzichtenminstegerichthebbenopdehardeningenpatchingvansystemen,hetviainternetbenaderbaremanagementinterfaces,hetgebruikvanzwakkeencryptie,hetgebruikvanonveiligeprotocollenendekwetsbaarheidvoorpubliekelijkbekendeexploits.Degreybox/whiteboxapplicatiescandientindustrystandaardszoalsdeOWASPtop10,deSANStop25ende

Evaluatievandepentestenendescopevandepenetratietest,zonodigreviewvanhetpentest-dossier,analysevandeuitkomstenvanpenetratietesten,interviewsmetverantwoordelijkefunctionarissenenbeoordelingvanhetactieplan.

44

WASCteomvatten.Naaraanleidingvanderesultatenvandepenetratietestdientdeorganisatieeenplanoptestellen.

B0-9 Vulnerabilityassessments(securityscans)wordenperiodiekuitgevoerd.

Infra-Pentest

Hosting-partij HetnetwerksegmentmetdeDigiDwebservers

Deinternegreybox/whiteboxvulnerabilityscanpentratietest/applicatiescandientminimaaléénmaalperjaarwordenuitgevoerdennasignificantewijzigingen.Deiseennetwerkbasedscandientzichtenminstetehebbengerichtopdehardeningenpatchingvansystemenenhetdetecterenvanmogelijkekwetsbaarhedenvandezesystemen.Naaraanleidingvanderesultatenvandepenetratietestdientdeorganisatieeenherstelplanoptestellen.

Evaluatievandepentesterendescopevandevulnerabilityassessment,zonodigreviewvanhetdossier,analysevandeuitkomstenvanvulnerabilityassessment,interviewsmetverantwoordelijkefunctionarissenenbeoordelingvanhetactieplan.

B0-12 Ontwerpenrichtmaatregeleninmetbetrekkingtottoegangsbeveiliging/toegangsbeheer.

Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebservers

Defocusligtophetbeheerproces(sen).DitbetreftenerzijdstoegangtotdeDigiD-applicatie(naastdeDigiDgeauthentiseerdegebruikers)enanderzijdstoegangtotDigiDwebservers,deroutersendefirewalls.Aandachtpuntenhierbijzijnwachtwoordinstellingen,joiners/movers/leavers,administratoraccounts,sharedaccountsenperiodiekereview.

Interviewmetdeverantwoordelijkefunctionarissen,beoordelingvandocumentatie,inspectievanconfiguratiedocumentatie,inspectievanperiodiekereviewsengerichtedeelwaarnemingen.

B0-13 Niet(meer)gebruiktewebsitesen/ofinformatiemoetwordenverwijderd.

Governance HouderDigiDaansluiting

DigiD-webservers Dezebeveiligingsrichtlijndientprocesmatigtewordenbenaderd.Erdienteenoverzicht(ofCMDB)zijnvandewebsites.Elkewebsitemoeteeneigenaarhebbendieverantwoordelijkisdatnietmeergebruiktewebsitesen/ofinformatiedienietmeerwordtgebruiktwordtverwijderd.Daarnaastdientminimaaljaarlijkseencontroletewordenuitgevoerdofdeoperationelewebsitesnogwordengebruikten/ofinformatiebevatdaadwerkelijkisverwijderd.

Interviewsmetverantwoordelijkefunctionarissen,inspectievandeCMDB,inspectievandelaatstecontroleopderelevantievandewebsiteen/ofinformatieopdewebsiteenanalysevandeuitkomstenvanpenetratietesten.

B0-14 Legafsprakenmetleveranciersvastineenovereenkomst.

Governance HouderDigiDaansluiting

Softwareleverancierenhosting-partij

AandachtspuntendieindeovereenkomstgeadresseerdmoetenwordenzijnbeschrevenindeICT-Beveiligingsrichtlijnenvoorwebapplicatiesdeel2vanNCSC.

Interviewsmetverantwoordelijkefunctionarissenenbeoordelingvandeovereenkomstenmetleveranciers.

B1-1 ErmoetgebruikwordengemaaktvaneenDemilitarisedZone(DMZ),waarbijcompartimenteringwordttoegepastendeverkeersstromentussendezecompartimentenwordtbeperkttotalleendehoogstnoodzakelijke.

Infra-proces Hosting-partij DeDemilittarisedZone(DMZ)waardeDigiDapplicatiezichbevindt

Doormiddelminimaalvan2(virtuele)firewallswordenverkeersstromentussenhetinternet,de(web)applicatiesinhetDMZenhetinternenetwerktoteenminimumbeperkt.

Interviewsmetverantwoordelijkefunctionarissen,inspectievannetwerkschema's,inspectievanconfiguratiefilesenanalysevandeuitkomstenvanpenetratietesten.

B1-2 Beheer-enproductieverkeerzijnvanelkaargescheiden.

Infra-proces Hosting-partij DeDemilittarisedZone(DMZ)waardeDigiDapplicatiezichbevindt

Doormiddelvanfysiekescheiding,VPNverbindingenofVLANsisbeheerenproductieverkeervanelkaargescheiden.

Interviewsmetverantwoordelijkefunctionarissen,inspectievannetwerkschema's,inspectievanconfiguratiefilesenanalysevande

45

uitkomstenvanpenetratietesten.

B1-3 Netwerktoegangtotdewebapplicatiesisvoorallegebruikersgroepenopeenzelfdewijzeingeregeld.

Infra-proces Hosting-partij DMZ HetnetwerkverkeertotdeDigiDwebserversdientopdegelijkewijzetewordengefilterdalsverkeervanuithetexternenetwerk.

Interviewsmetverantwoordelijkefunctionarissen,inspectievannetwerkschema's,inspectievanconfiguratiefilesenanalysevandeuitkomstenvanpenetratietesten.

B2-1 Maakgebruikvanveiligebeheermechanismen.

Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebservers-DMZ

Ditbetrefthetgebruikvanveiligenetwerkprotocollen,beheerinterfacesviahetinternetuitsluitenddoormiddelvanstrongauthenticationtebenaderenzijnenergeengebruikwordtgemaaktvanbackdoorsomdesystementebenaderen(ooknietvoornoodtoegang).

Interviewsmetverantwoordelijkefunctionarissen,beoordelingvandeprocedurebeschrijvingmetbetrekkingtotbeheermechanismen,inspectievanconfiguratiefilesenanalysevandeuitkomstenvanpenetratietesten.

B3-1 DewebapplicatievalideertdeinhoudvaneenHTTP-requestvoordiewordtgebruikt.

Appli-scan Softwareleverancier

DigiDapplicatie ValidatiesvandeHTTP-requestomvattenondermeerhettype,lengteenformaatvandeinvoer,maarookdeXMLprotocollenalsJSONSOAPREST.

Observatievandewebpagina'svandeDigiDapplicatieengebruikvantoolingomdeverschillendeinvoermethodesteidentificeren.Gerichtedeelwaarnemingopinvoerveldenwaarbij,metbehulpvaneenapplicatiescanningtoolsdevalidatieaandeserverzijdevandeverschillendeinvoermethodeswordtgetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-2 DewebapplicatiecontroleertvoorelkHTTPverzoekofdeinitiatorgeauthentiseerdisendejuisteautorisatiesheeft.


DigiDapplicatie DewebapplicatiemoetervoorzorgendaterverdedigingtegenCrossSiteRequestForgery(CSRF)enhorizontaleenverticaleescalatieprivilegesisingebouwd.TevensspreektNCSCindezecontrolevanIPadreskoppelenaansessies/cookies.Echter,ditlaatstewordtniettoegepastdoorindustrieenkanachterwegewordengelaten.

Gerichtedeelwaarnemingopwebpagina's(changestaterequest)waarbij,metbehulpvaneenapplicatiescanningtools,waarbijdemogelijkheidtotCSRFwordtgetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-3 Dewebapplicatienormaliseertinvoerdatavoorvalidatie.


DigiDapplicatie Dewebapplicatienormaliseertinvoerdatavoorvalidatiewaarondernon-printabletekens,null-byteinjection,XPathinjectionenCodeinjection.

Gerichtedeelwaarnemingopinvoerveldenmetbehulpvaneenapplicatiescanningtoolswaarbijdenormalisatieaandeserverzijdewordtgetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-4 Dewebapplicatiecodeertdynamischeonderdelenindeuitvoer.


DigiDapplicatie Omdezebeveiligingsrichtlijnvolledigtetesteniseensourcecodereviewnodig.HierisnietvoorgekozenvoordeDigiDICT-beveiligingsassessment.Eenindirecttesthiervoorishetinvoerenvanspecialekarakters(zoals<>'"&/)endeuitvoerteanalyseren.

Gerichtedeelwaarnemingopinvoerveldenmetbehulpvaneenapplicatiescanningtoolswaabijdeverwerkingvanspecialekaraktersaandeserverzijdewordtgetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-5 Voorhetraadplegenen/ofwijzigen Appli-scan Softwarelevera DigiDapplicatie Omdezebeveiligingsrichtlijnvolledigtetesteniseen Gerichtedeelwaarnemingopinvoervelden

46

vangegevensindedatabasegebruiktdewebapplicatiealleengeparametriseerdequeries.

ncier sourcecodereviewnodig.HierisnietvoorgekozenvoordeDigiDICT-beveiligingsassessment.EenindirecttesthiervoorismetSQLinjection.

metbehulpvaneenapplicatiescanningtoolswaarbijdeSQLinjectieaandeserverzijdewordengetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-6 Dewebapplicatievalideertalleinvoer,gegevensdieaandewebapplicatiewordenaangeboden,aandeserverzijde.


DigiDapplicatie AfgedektbijhettestenvanmaatregelenB3-1,B3-3,B3-4enB3-5

B3-7 Dewebapplicatiestaatgeendynamischefileincludestoeofbeperktdekeuzemogelijkheid(whitelisting).


DigiDapplicatie Omdezebeveiligingsrichtlijnvolledigtetesteniseensourcecodereviewnodig.HierisnietvoorgekozenvoordeDigiDICT-beveiligingsassessment.Eenindirectetesthiervoorishettestenopfileincludesalsphp,phpx,asp,aspx,jsp,jhtml,pyenpl.Daarnaastvormenookfileuploadsmetcodeeenrisico,zoals.bat.com.exe.vbs.bas.sofilesdiegetestmoetenworden.

Observatievandewebpagina'svandeDigiDapplicatieengebruikvantoolingomdefileuploadsteidentificeren.Gerichtedeelwaarnemingopfileuploadswaarbijhetuploadenvanmogelijkongeschiktefiletypewordtgetest.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B3-15 Een(geautomatiseerde)blackboxscanwordtperiodiekuitgevoerd.


DigiDapplicatie AfgedektbijhettestenvanmaatregelenB0-8

B3-16 Zetdecookieattributen‘HttpOnly’en‘Secure’.


DigiDapplicatie Verifieerdatallesessiecookies‘HttpOnly’en‘Secure’ Identificeerdecookieseninspecteerhet‘HttpOnly’en‘Secure’vandecookies.Hierbijzougebruikkunnenwordengemaaktvandepenetratietest(zieookB0-8).

B5-1 Voersleutelbeheerinwaarbijminimaalgegarandeerdwordtdatsleutelsnietonversleuteldopdeserverstevindenzijn.

Infra-proces Hosting-partij DigiDinfrastructuur DeprivésleutelsbehorendebijdeSSLcertificatenmogennietonversleuteldopdeserverzijnopgeslagen.

Interviewmetdeverantwoordelijkefunctionarissen,beoordelingvandocumentatieenobserveerdatprivésleutelsnietonversleuteldopdeserverstaan.

B5-2 Maakgebruikvanversleutelde(HTTPS)verbindingen.

Infra-proces Softwareleverancier

DigiDapplicatie Allegevoelige(zoalsinhetkadervandeWBS)informatiemoetviaeenversleuteldeverbindenwordenverzonden.BijvoorkeurzounadeDigiDauthenticatiedehelesessieviaeenversleuteldeverbindingmoetenplaatsvinden.

Observeerhetprotocolvandeverbindingbijhetverwerkenvangevoeligegegevens.Evalueerdekwaliteitvanencryptiemetdeindustriestandaards.

B5-3 Slagevoeligegegevensversleuteldofgehashedop.

Infra-proces HouderDigiDaansluiting,softwareleverancier

DigiDapplicatie Deorganisatiemoetzelfeenanalyseuitvoerenomtebepalenwatgevoeligegegevenszijn.GedachtmoetwordenaangevoeligegegevensinhetkadervandeWBPenanderzijdswachtwoordenendergelijke.

Interviewmetdeverantwoordelijkefunctionaris,beoordelingvandocumentatieenobserveerdatgevoeligegegevensversleuteldzijnopgeslagen.

B5-4 Versleutelcookies. Appli-scan Softwareleverancier

DigiDapplicatie Sessiecookiesmoetenwordenversleuteld Observeeroftijdenshetaanmakenvaneencookieeenbeveiligdeverbindingwordtgebruikt

B7-1 MaakgebruikvanIntrusionDetectionSystemen(IDS).

Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebserversen

Intrusiondetectionsysteemmoetzijngeïnstalleerdeningerichtenerdienteenbeheerproceduretezijn

Interviewmetdeverantwoordelijkefunctionarissen,inspectievan

47

deroutenaarhetinternet

ingericht inrichtingsdocumentatieeninspectievanfollow-upactiesnaaraanleidingvanalerts

B7-8 Voeractiefcontrolesuitoplogging. Infra-proces Hosting-partij HetnetwerksegmentmetdeDigiDwebserversenderoutenaarhetinternet

Decontroleopdeloggingzoumetnamegerichtmoetenzijnopdeondersteuningvanhetchangemanagementproces.Wijzigingenopdeinfrastructuur,netwerkconfiguratieenapplicatiemoetenwordengesignaleerdenzodatgeverifieerdkanwordendatwijzigingenopdejuistewijzedoorhetwijzigingsproceszijngegaan.

Interviewmetdeverantwoordelijkefunctionarissen,beoordelingvanprocedurebeschrijving,inspectievanrapportagesuitdeloggingeninspectievanfollow-upactiesnaaraanleidingvanincidenten

B7-9 Governance,organisatie,rollenenbevoegdhedeninzakepreventie,detectieenresponseinzakeinformatiebeveiligingdienenadequaattezijnvastgesteld.

Governance HouderDigiDaansluiting,softwareleverancier,hosting-partij

Informatiebeveiligingbinnendeorganisatie

Degovernance-scopemoetbreedwordengeïnterpreteerdennietuitsluitendinhetkadervanDigiD

Interviewmetdeverantwoordelijkefunctionarissenenbeoordelingvandocumentatie

48

BIJLAGED. INITIËLESPLITSINGMEDEOPBASISVANINTERVIEWNrenbeveiligingslaag Norm Musthaves Shouldhaves

B0-5(B0-6inICT-beveiligingsrichtlijnen)

Allewijzigingenwordenaltijdeerstgetestvoordatdezeinproductiewordengenomenenwordenviawijzigingsbeheerdoorgevoerd.

•Zorgvooreenprocesbeschrijvingvanwijzigingsbeheerendatditproceseffectiefisgeïmplementeerd.•Allewijzigingenwordenopeengestructureerdewijzegeregistreerd.•Erisvastgelegdwelkefunctionarissenwijzigingenmogenaanvragen.•Erwordenalleengeautoriseerdewijzigingsverzoeken(RequestforChange(RFC))inbehandelinggenomen.•Gerealiseerdewijzigingenwordenvoorimplementatiegetest.•Wijzigingenwordengeëvalueerd,waarbijinelkgevalvastgesteldwordtofdewijzigingniettotincidentenheeftgeleid.Ontwikkel,test,acceptatieenproductieomgeving(OTAP):•Zorgvooreengescheidenontwikkel-,test-(,acceptatie-)enproductie-omgeving(OTAP).•Zorgdatprocedureszijngedocumenteerdenvastgesteldvoorhetoverdragenvandeenenaardeandereomgeving(vanontwikkelnaartest,vantestnaaracceptatieenvanacceptatienaarproductie).Webapplicatieswordengetestvoordatdezeindeproductiewordengenomen:•Voornieuwesystemen,upgradesennieuweversiesmoetenacceptatiecriteriazijnvastgesteld.•Wijzigingenwordengetestvoordatdezeinproductiewordengenomen.•Erzijnproceduresopgesteldvoordeomvangendiepgangvandetests.Alsdewijzigingimpactheeftopdeinformatiebeveiliging,isbepaaldoferspecifiekebeveiligingstestsuitgevoerdmoetenworden(bijvoorbeeldpenetratietests(ziemaatregelB0-8),codereviews(ziemaatregelB3-14)etcetera).

•Zorgdatconfiguratiebeheerisingericht.•Erbestaateenactueelenvolledigoverzichtvanwijzigingenmetbetrekkingtotde(beveiligings)instellingenvandeICT-infrastructuur.•Vanallewijzigingenwordtdeimpactmetbetrekkingtotinformatiebeveiligingvastgesteld.•Erisvastgelegdwiedeprioriteitvanwijzigingenbepaaltenwietoestemmingverleent.Bijvoorbeeldeenbeslissingsforum(ChangeAdvisoryBoard(CAB))•Devoortgangvandeafhandelingvanwijzigingenwordtbewaakt.•Realisatieenimplementatievanwijzigingenwordengeplandendezeplanningsgegevenswordengepubliceerd(changekalender).•Voorelkewijzigingiseenterugvalscenario(fallback)opgesteld,denkhierbijaanbeheersproceduresenverantwoordelijkhedenbijuitvoeringvanhetterugvalscenario.Deproductieomgevingwordtgeauditopongeautoriseerdewijzigingen:•Zorgvooreenactueelsnapshotvandeverschillendesystemen.•Zorgdatsystemencontinuewordengeaudittegendeactuelesnapshot(detecterenvanwijzigingen).•Zorgdathetoverzichtmetauditregels(policy)endesnapshotsonderdeelzijnvanhetproceswijzigingsbeheer.Webapplicatieswordengetestvoordatdezeindeproductiewordengenomen:•Penetratietestenmakenonderdeeluitvandetesten(ziemaatregelB0-8).•Alshetgaatomstandaardsoftware,Software-as-a-Service(SaaS)kanwordengedachtaandevolgendeaandachtspunten:oExternecertificeringvandeexternontwikkeldesoftware.oAfsprakeninhetcontractvastleggenomdesoftwaretemogenauditen.oUitvoerenvananderetests,bijvoorbeeldpenetratietest(ziemaatregelB0-8)ofblackboxscan(ziemaatregelB3-15),ommogelijkekwetsbaarhedenoptesporen.

49

B0-6(B0-5inICT-beveiligingsrichtlijnen)

Maakgebruikvaneenhardeningsproces,zodatalleICT-componentenzijngehardtegenaanvallen.

•Zorgvooreenbeschrijvingvanhethardeningsprocesendatditproceseffectiefisgeïmplementeerdendatdeze:isendatdezeoeeneigenaarheeft;oeendatumenversienummerheeft;oeenhistoriebevat;oactueelis;ogeaccordeerddoorhetmanagementis.•Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkenetwerkprotocollenendatditoverzichtcontinuewordtonderhouden.•Zorgvooreenactueeloverzichtvandehoogstnoodzakelijkservices.

•Zorgdatditoverzichtonderdeelisvanhetproceswijzigingsbeheer.•Zorgdatperiodiekwordtgetoetstofhetsysteemvoldoetaanhetoverzichtvanhoogstnoodzakelijkenetwerkprotocollen.•Afwijkingenmoetenwordengedocumenteerdengeaccepteerddoordeeigenaarvandewebapplicatieenbeveiligingsfunctionaris.

B0-7 Delaatste(beveiligings)patcheszijngeïnstalleerdendezewordenvolgenseenpatchmanagementprocesdoorgevoerd.

•Zorgvooreenbeschrijvingvanhetpatchmanagementprocesendatditproceseffectiefisgeïmplementeerd.•Ermoeteenprocedurezijningerichtwaarinstaatbeschrevenhoedeorganisatieomgaatmetupdates:hoesnelimplementeertdeorganisatieeenkritiekepatch,welkestadiamoetdepatchdoorlopen,wiedraagtdeverantwoordelijkheid,etcetera?

•Zorgdatconfiguratiebeheerisingericht.•Zorgvooreentechnischeimplementatievaneenupdatemechanisme.

B0-8 Penetratietestswordenperiodiekuitgevoerd.

•Zorgvooreenopdrachtomschrijving,scopedefinitie,planningenkwaliteitseisen.•Deresultatenvandepentestwordenvastgelegdineenrapportage.Waarbijduidelijkisaangegevenwelkeinformatiederapportagemoetbevatten.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

•Pentestswordennietalleenbijnieuwbouwenwijzigingenuitgevoerd,maarmoetenperiodiekwordenherhaald.

B0-9 Vulnerabilityassessments(securityscans)wordenperiodiekuitgevoerd.

•Zorgvooreenscopedefinitie(denkhierbijaanhost-ofnetwerkgebaseerdeVA,teonderzoekenIP-adressenen/oftypebesturingssysteem),planningenkwaliteitseisen.•Zorgdatderesultatenvandevulnerabilityassessmentwordenvastgelegdineenrapportage,waarbijduidelijkisaangegevenwelkeinformatiederapportagemoetbevatten.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

•Zorgdatvulnerabilityassessmentperiodiekwordenherhaald.

50

B0-12 Ontwerpenrichtmaatregeleninmetbetrekkingtottoegangsbeveiliging/toegangsbeheer.

•Zorgvoorbeleidtenaanzienvantoegangsbeveiliging(identiteit-entoegangsbeheer).•Zorgvooreenwachtwoordbeleidentechnischemaatregelenomsterkewachtwoordenaftedwingen.•Deinrichtingvanhetidentiteit-entoegangsbeheerisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkefuncties(identiteit-,authenticator,profiel-entoegangsbeheer)waar(centraal/decentraal)wordenuitgevoerd.•Zorgvooreenprocedurebeschrijvingmetbetrekkingtottoegangsbeveiligingvooridentiteit-entoegangsbeheer(autorisaties)voornetwerken,besturingssystemen,informatiesystemen,informatieen-diensten.•Zorgvooreenactueeloverzichtvanpersonendiebeheeraccountshebbenendatditoverzichtcontinuewordtonderhouden.•Zorgvooreenactueeloverzichtvanpersonendieeengebruikersaccounthebbenendatditoverzichtcontinuewordtonderhouden.•Zorgdatperiodiekwordtgetoetstofhetsysteemvoldoetaanhetoverzichtvanpersonendiebeheeraccountshebben.•Accountsdiedewebapplicatiegebruiken,hebbennietmeerrechtendanvereistvoorhetfunctionerenvandewebapplicatie.•Ermoeten(actuele)overzichtenzijnmetalleautorisatiesvoordewebapplicatie.•(P/R)Ermoeteenprocesbeschrijvingzijnvoorhetcontrolerenvandegebruikersaccountsendebijbehorendeautorisaties.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.•Hetinrichtingsdocument/ontwerp:oheefteeneigenaar.oisvoorzienvaneendatumenversienummer.oisactueel.oisophetjuisteniveaugeaccordeerd.

•Dezakelijkebehoeftenenbeveiligingseisenmoetenzijngedocumenteerd.•Zorgdathetinrichtingsdocument/ontwerponderdeelisvanhetproceswijzigingsbeheer.•Zorgvooreenactueeloverzichtvanserviceaccounts.•Dedatadiedoorwebapplicatie(s)wordtaangeboden,moetzijngeclassificeerd.•Iederewebapplicatieheefteeneigenaar(verantwoordelijke)

B0-13 Niet(meer)gebruiktewebsitesen/ofinformatiemoetwordenverwijderd.

•Zorgvooreenprocedurebeschrijvingmetbetrekkingtotwebsitebeheer.•Ermoeteenactueeloverzichtzijnvandewebsitesdieoperationeelzijn.Zorgdatditoverzichtonderdeelisvanhetproceswijzigingsbeheer.•Iederewebsiteheefteeneigenaar.

•Deprocedureaangaandehetafvoeren/verwijderenvanniet(meer)gebruiktewebsitesen/ofinformatieverderuittebreidenenookvoorwebsitesbuitendescopevandeDigiDauditeigenarentebenoemen.

51

•Voerperiodiekcontrolesuitofdeoperationelewebsitesnogwordengebruikten/ofinformatiebevatdiekanwordenverwijderd.

B0-14 Legafsprakenmetleveranciersvastineenovereenkomst.

•Zorgvooreenovereenkomst(bijvoorbeeldcontract,ServiceLevelAgreement(SLA)ofDienstenNiveauOvereenkomst(DNO))waarindebeveiligingseisenen-wensenzijnvastgelegdenophetjuiste(organisatorische)niveauisvastgesteld/geaccordeerd.•ZorgdatdeverantwoordelijkheidvandeDigiDrichtlijnenvanLogiusindeovereenkomstzijnopgenomen.

•Zorgvoorrapportagesvandedienstleverancieroverdegeleverdedienstverlening

B1-1 ErmoetgebruikwordengemaaktvaneenDemilitarisedZone(DMZ),waarbijcompartimenteringwordttoegepastendeverkeersstromentussendezecompartimentenwordtbeperkttotalleendehoogstnoodzakelijke.

•DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerp-eninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•Vaststellendathetnetwerkinverschillendecompartimentenisopgedeeld.•Vaststellendatdeverkeersstromentussendecompartimentenwordenbeperkt.

•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oWelkewebapplicatieswordenontsloten?oWelkeinformatiemagindeDMZwordenopgenomen?oWelkeondersteunendeapplicatieszijnnoodzakelijk?oWelkecompartimenten,koppelvlakkenenverkeersstromentussendecompartimentenzijnnoodzakelijk?oWelkeIP-adressenwordengebruikt(NAT,DHCP)?oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast?oWelkuitgaandverkeervanafdewebserverisnoodzakelijk?oZijnaansluitvoorwaardenopgesteld?•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

52

B1-2 Beheer-enproductieverkeerzijnvanelkaargescheiden.

•DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerp-eninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•Vaststellendatdeverkeersstromentussenbeheerenproductieverkeergescheidenzijn.

•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oWelkeondersteunendebeheerapplicatieszijnnoodzakelijk?oWelkecompartimenten,koppelvlakkenenverkeersstromentussendecompartimentenzijnnoodzakelijkinverbandmethetbeheer?oHoewordtdestorageenback-upinfrastructuurontsloten?oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast?oWelkebeheermechanismenwordentoegepast?oHoekrijgenbeheerderstoegangtothetbeheergedeelte?•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

B1-3 Netwerktoegangtotdewebapplicatiesisvoorallegebruikersgroepenopeenzelfdewijzeingeregeld.

•DeinrichtingvandeDMZisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspunten/principesgeldenvoordetoepassingvandeDMZ.Dezeontwerpeninrichtingskeuzesmoetenzijnonderbouwdenophetjuiste(organisatie)niveauzijnverantwoord.•De(beveiligings)instellingenvandeICT-componentenzijnzodaniggedocumenteerddatduidelijkiswaaromvoorbepaaldeinstellingengekozenis(verantwoordingenonderbouwing).Besteedhierbijspecialeaandachtaandedefaultwaardenvoorsysteeminstellingen.•Vaststellendatnetwerktoegangtotdewebapplicatievoorallegebruikersidentiekis.

•Deplaatsingvanserversenaansluitingvaninternenetwerkcomponentenennetwerkkoppelingenmetexternenetwerkenzijnduidelijkenschematischgedocumenteerd,zodatdewerkingvandeICT-infrastructuurbegrijpelijkisendeimpactvanwijzigingengoedkunnenwordenbepaald.•DevolgendeaandachtspuntenmoetenwordengeadresseerdinhetDMZ-inrichtingsdocument/ontwerp:oHoeverlooptdeinterne/externerouteringvanwebverkeer?oWelkevasteroutepadenomhetverkeerdoordeDMZterouterenkunnenwordentoegepast.oWelkebeheermechanismenwordentoegepast.•HetDMZ-inrichtingsdocument/ontwerpisactueelenophetjuiste(organisatie)niveauvastgesteld.

B2-1 Maakgebruikvanveiligebeheermechanismen.

•Zorgdatproceduresmetbetrekkingtotbeheermechanismenzijnvastgesteld.Hetgebruikvan‘backdoors’moetabsoluutuitgeslotenzijn.Eenbackdoorvoorbeheerisbijvoorbeeldeenbeheerinterfacewaarvoorgeenauthenticatienodigismaardiedraaitoppoort8888endaardoormoeilijkteontdekkenzoumoetenzijn(‘securitythroughobscurity’).Dekansisechtergrootdatkwaadwillendenbackdoorsvroegoflaatontdekken,enerinslagenomdezetemisbruiken.•Vaststellendatdebeheermechanismeninhetontwerpdocumentgeïmplementeerdzijn.

53

B3-1 DewebapplicatievalideertdeinhoudvaneenHTTP-requestvoordiewordtgebruikt.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.OnderstaandecriteriageldenvoorhetvaliderenvandeinhoudvaneenHTTP-requestopbasisvanongewensteinvoer:•ValidatievindtplaatsopiniedersgevaldynamischeonderdelenvandeURL,queryparameters,formparameters,cookies,HTTP-headers,XMLenbestanden.•Dewebapplicatievoertdezevalidatieuitopbasisvan:oTypecontrole(bijvoorbeeldstringofinteger).oLengtecontroleoFormaatcontrole(opbasisvanbijvoorbeeldeenreguliereexpressie)oControleopvalidekarakters(bijvoorbeeldalleen‘A-Z’en‘a-z’)•Inhetgevaldeinvoernietvoldoetaanéénofmeerderevanbovenstaandecontroles,weigertdewebapplicatiedezeinvoer.OnderstaandecriteriageldenvoorhetfilterenvandeinhoudvaneenHTTP-requestopbasisvanongewensteinvoer:•Dewebapplicatiefiltertdeinvoeropbasisvan:oMalafidesleutelwoorden(bijvoorbeeld‘DROP’of‘rm’)oMalafidetekens(bijvoorbeeld‘’’of‘’’)oMalafidepatronen(bijvoorbeeld‘/**/’of‘..\..\’)•Defilteringistoegespitstopdeprogrammaonderdelenwaarindeinvoerwordtverwerkt.BijhetgebruikvaninvoervoorhetsamenstellenvaneendatabasequeryzijnanderefiltersvereistdanvoorhetsamenstellenvaneenLDAP-query.•Inhetgevaldeinvoeréénofmeerderesleutelwoorden,tekensofpatronenvandeblacklistbevat,verwijdertdewebapplicatiedezeuitdeinvoeralvorensdezeinvoerverdertegebruikenbinnendewebapplicatielogica.Devolgenderisicovollekaraktersuitdeinvoerworden‘onschadelijk’gemaakt:•Dewebapplicatievoertescapinguitopdeinvoernahettoepassenvanwhitelistseneventueelblacklists.•Deescapingistoegespitstopdeprogrammaonderdelenwaarindeinvoerwordtverwerkt.

54

B3-2 DewebapplicatiecontroleertvoorelkHTTPverzoekofdeinitiatorgeauthentiseerdisendejuisteautorisatiesheeft.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.•DewaardevancookiesisgekoppeldaanhetIP-adreswaarnaardezewaardeisverstuurd.•Vooronderdelenvandewebapplicatiewaarmeetransactiesdooreengevalideerdegebruikerkunnenwordenuitgevoerd:oZijnformulierpagina’svoorzienvaneendynamischtoken;oAccepteertdewebapplicatiealleenverzoekenwaarbijdeinhoudvandeReferer-headerovereenkomtmetdeURLvandebetreffendewebapplicatie.

B3-3 Dewebapplicatienormaliseertinvoerdatavoorvalidatie.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.Voorbeeldenvannormalisatiezijn:•OmzettenvanNULLkaraktersnaarspaties.•Coderenvanbijzonderekaraktersineenuniformecodering(bijvoorbeeldUTF-8).•Normaliserenvanpadverwijzingenals‘/./’en‘/../’.•Verwijderenvanoverbodigespatiesenregeleinden.•Verwijderenvanonnodigewitruimtes.•Omzettenvanbackslashesnaarforwardslashes•Omzettenvanmixedcasestringsnaarlowercasestrings.

B3-4 Dewebapplicatiecodeertdynamischeonderdelenindeuitvoer.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.

B3-5 Voorhetraadplegenen/ofwijzigenvangegevensindedatabasegebruiktdewebapplicatiealleengeparametriseerdequeries.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.•Dewebapplicatiemaaktgebruikvangeparameteriseerdequeriesbijhetbenaderenvandatabases.

B3-6 Dewebapplicatievalideertalleinvoer,gegevensdieaandewebapplicatiewordenaangeboden,aandeserverzijde.

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.•Voorelkecontrolediedewebapplicatieuitvoertaandeclientzijde,iseenequivalentaanwezigaandeserverzijde.

55

B3-7 Dewebapplicatiestaatgeendynamischefileincludestoeofbeperktdekeuzemogelijkheid(whitelisting).

Penetratietest•Beschikkenoverdebroncodevandeprogrammatuur.•Dewebapplicatiemaaktgeengebruikvandynamischefileincludes.

B3-15 Een(geautomatiseerde)blackboxscanwordtperiodiekuitgevoerd.

Penetratietest•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.Wanneerblackboxscans?Erkunnenmeerderemomentenzijnwaaropeenblackboxscanzinvolis:•Defrequentiedientvastgesteldtewordenopbasisvanhetrisicoprofiel.•Indeacceptatiefasevaneennieuwsysteemofeennieuweapplicatie.•Bijsignificantewijzigingenvaneenbelangrijksysteemofeenbelangrijkeapplicatie.•Periodiek(jaarlijks/tweejaarlijks),ombestaandesystementetestenopnieuweinbraaktechniekenen/ofalsonderdeelvandePDCA-cyclus(ziemaatregelB0-1).•Alsereenandereredenisomtedenkendatdebeveiligingvaneensysteemmindergoedisdangedacht.Opvolging•Ermoetactiewordenondernomenindiengeïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

•Zorgvoorafspraken,metdeleverancier,overhetuitvoerenvaneenblackboxscan.

B3-16 Zetdecookieattributen‘HttpOnly’en‘Secure’.

PenetratietestHetsetcookiecommandbevatdesecureflagendeHTTPOnlyflag.

56

B5-1 Voersleutelbeheerinwaarbijminimaalgegarandeerdwordtdatsleutelsnietonversleuteldopdeserverstevindenzijn.

•Ermoetbeheerprocesrondomsleutelsencertificatenzijningevoerd.oHoewordensleutelsgegenereerdvoorverschillendetoepassingen?oHoewordencertificatenvoorpubliekesleutelsgegenereerdenverkregen?oHoesleutelswordenbewaard,inclusiefeeninstructiehoegeautoriseerdegebruikerstoegangtotsleutelskunnenkrijgen?oHoehetwijzigenofactualiserenvansleutelsmoetgeschieden?oHoewordtomgaanmetsleutelsdiezijgecompromitteerd?oHoesleutelsmoetenwordenherroepen,ingetrokkenofgedeactiveerd?oHoesleutelshersteldmoetenwordendieverlorenofgecompromitteerdzijn?oHoesleutelswordengearchiveerd?oHoesleutelswordenvernietigd?oHoeactiviteiteninverbandmetsleutelbeheerwordenvastgelegdengecontroleerd?oWelkeminimalesleutellengtesmoetenwordentoegepast?oWelkeencryptie-algoritmenmoetenwordentoegepast?•Hetinrichtingsdocument/ontwerp:oheefteeneigenaar.oisvoorzienvaneendatumenversienummer.oisactueel.oisophetjuisteniveaugeaccordeerd.omaaktonderdeeluitvanhetstandaardwijzigingsbeheerproces.•Vaststellendatdesleutelsbeveiligdzijnopgeslagenennietonversleuteldkunnenwordengeëxporteerd.

B5-2 Maakgebruikvanversleutelde(HTTPS)verbindingen.

•Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerp,waarinisvastgelegdwelkeuitgangspuntengeldenvoordetoepassingvanversleuteldeverbindingen(SSL/TLS):owaaromwordenverbindingendoormiddelvanSSLbeveiligd;owelkeverbindingenwordendoormiddelvanSSLbeveiligd;operiodiekecontroleophetgebruikvanSSLverbindingen.•ErvindteenredirectplaatsvanHTTPnaarHTTPSophetmomentdateen(contact)formulierwordtopgevraagd.

57

B5-3 Slagevoeligegegevensversleuteldofgehashedop.

Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorversleutelenvangegevens.•Vaststellendateendataclassificatieanalyseisuitgevoerd(incl.eenweergavevandegevondenkwesties,declassificatiesendecorrectievehandelingenondernomen).

B5-4 Versleutelcookies. •Ermoeteenbeleidmetbetrekkingtothettoepassenvancookieszijn.•Ermoetenprocedureszijnmetbetrekkingtothetbeherenvancookies.•Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorversleutelenvangegevens.

B7-1 MaakgebruikvanIntrusionDetectionSystemen(IDS).

•Deinrichtingisgebaseerdopeenvastgesteldinrichtingsdocument/ontwerpwaarinisvastgelegdwelkeuitgangspuntengeldenvoorinzettenvanIDS’en.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B7-8 Voeractiefcontrolesuitoplogging.

•Ermoetenprocedureszijnopgesteld,waarinstaatbeschrevenhoeenwanneercontrolesoploggingmoetenplaatsvindenenhoetakenopditgebiedbelegdzijn.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleveren.

B7-9 Governance,organisatie,rollenenbevoegdhedeninzakepreventie,detectieenresponseinzakeinformatiebeveiligingdienenadequaattezijnvastgesteld.

•Functiesenverantwoordelijkhedenvoordeinformatiebeveiligingmoetenzijntoegekend.•Ermoetovereenstemmingoverdebenodigdemethodologieënenprocessenwordenbereikt.Denkhierbijaanrisicoanalyseenmetbetrekkingtothetclassificatiesysteem.•Ermoetaantoonbaarfollow-upwordengegevenincasuverbeteringenwordendoorgevoerdindienlogrecordsopkwaadwillendmisbruikduiden,geïmplementeerdemaatregelennietvoldoenaandegesteldeeisenen/ofverwachtingenoftekortkomingenopleverenen;oErdienteeninformatiebeveiligingsplanopgesteldteworden.oErdienteenprocesbeschrijvingaanwezigtezijntenaanzienvanpreventie,detectieenresponseinzakebeveiligingsincidenten.

58

BIJLAGEE. INITIËLEWEGINGSFACTOREN

Rekenmodel DigiD -Intiële wegingsfactoren.xlsm

BIJLAGEF. FINALENORMENKADER

NormenkaderFinal.xlsx

BIJLAGEG. REKENMODEL

Rekenmodel DigiDFinal.xlsm

BIJLAGE E. INITIËLE WEGINGSFACTOREN - UITGEPRINT Overzicht

Norm Opzet Bestaan TotaalB-05 0% 0% 0%B-06 0% 0% 0%B0-7 0% 0% 0%B0-8 0% 0% 0%B0-9 0% 0% 0%B0-12 0% 0% 0%B0-13 0% 0% 0%B0-14 0% 0% 0%B1-1 0% 0% 0%B1-2 0% 0% 0%B1-3 0% 0% 0%B2-1 0% 0% 0%B3-1 0% 0% 0%B3-2 0% 0% 0%B3-3 0% 0% 0%B3-4 0% 0% 0%B3-5 0% 0% 0%B3-6 0% 0% 0%B3-7 0% 0% 0%B3-15 0% 0% 0%B3-16 0% 0% 0%B5-1 0% 0% 0%B5-2 0% 0% 0%B5-3 0% 0% 0%B5-4 0% 0% 0%B7-1 0% 0% 0%B7-8 0% 0% 0%B7-9 0% 0% 0%

Acceptatie 70 procent

Alle wijzigingen worden altijd eerst getestvoordat deze in productie worden genomen enworden via wijzigingsbeheer doorgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een procesbeschrijving vanwijzigingsbeheer en dat dit proces effectief isgeïmplementeerd.

Procesbeschrijving ten aanzien van wijzigingsbeheer. Procesbeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.Stel vast adhv de procesbeschrijving dat:- het een eigenaar heeft;- deze is voorzien van een datum en versienummer;- een documenthistorie (wat, wanneer en door wieaangepast) is opgenomen;- deze actueel, juist en volledig is;- deze door het juiste (organisatorische) niveauvastgesteld/geaccordeerd is.

1 3 0 0

(P) Alle wijzigingen worden op een gestructureerdewijze geregistreerd.

Procedurebeschrijving ten aanzien van hetvastsleggen van wijzigingen.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.Stel vast dat wijzigingen gestructureerd zijn vastgelegd.

1 3 0 0

(P) Er is vastgelegd welke functionarissenwijzigingen mogen aanvragen.

Procesbeschrijving ten aanzien van wijzigingsbeheerbeschrijft welke functionarissen wijzigingen mogenaanvragen.

Stel vast dat een lijst van functionarissen dieaanvragen mogen doen voor wijzigingen is opgenomenin de procedure en dat deze actueel is.

1 3 0 0

(P) Er worden alleen geautoriseerdewijzigingsverzoeken (Request for Change (RFC)) inbehandeling genomen.

(P) Gerealiseerde wijzigingen worden voorimplementatie getest.

(C) Zorg voor een gescheiden ontwikkel-, test- (,acceptatie-) en productieomgeving (OTAP).(P) Zorg dat procedures zijn gedocumenteerd envastgesteld voor het overdragen van de ene naarde andere omgeving (van ontwikkel naar test, vantest naar acceptatie en van acceptatie naarproductie).

Een procesbeschrijving betreft het overdragen van deene naar de andere omgeving.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.

1 3 0 0

(R) Wijzigingen worden geëvalueerd, waarbij in elkgeval vastgesteld wordt of de wijziging niet totincidenten heeft geleid.

Procesbeschrijving omtrent het periodiek monitorenvan wijzigingen die zijn doorgevoerd.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.Stel vast dat periodiek de wijzigingen wordengemonitored/geëvalueerd.

1 3 0 0

7 20 0 0 04.9 14 18.9

rood rood rood0 0 0

0% 0% 0%

00

Stel vast dat voor één wijziging het proces is uitgevoerdconform de opgestelde procedurebeschrijving:- de wijziging is geautoriseerd alvorens deze inbehandeling is genomen;- de wijziging is getest alvorens deze geïmplementeerdis;- de wijziging minimaal van ontwikkel- naar test- enproductieomgeving is overgedragen met goedkeuringvan de juiste persoon.

Een beschrijving omtrent wijzigingsverzoeken entesten is opgenomen in de procesbeschrijving vanwijzigingsbeheer.

52

Maak gebruik van een hardeningsproces, zodatalle ICT-componenten zijn gehard tegenaanvallen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een beschrijving van hethardeningsproces en dat dit proces effectief isgeïmplementeerd en dat deze:o een eigenaar heeft;o een datum en versienummer heeft;o een historie bevat;o actueel is;o geaccordeerd op het juiste niveau.

Procesbeschrijving ten aanzien vanhardeningsproces.

Procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat het hardeningsprocess voor alle relevanteICT-componenten geldt.Stel vast dat voor één ICT-component het proces isuitgevoerd conform de opgesteldeprocedurebeschrijving.

2 5 0 0

(P) Zorg voor een actueel overzicht van de hoogstnoodzakelijke netwerkprotocollen en dat ditoverzicht continue wordt onderhouden.

Procesbeschrijving ten aanzien van het actualiserenvan het overzicht van de hoogst noodzakelijkenetwerkprotocollen.

Procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van de hoogstnoodzakelijke netwerkprotocollen.

1 3 0 0

(P) Zorg voor een actueel overzicht van de hoogstnoodzakelijk services.

Procesbeschrijving ten aanzien van het actualiserenvan het overzicht van de hoogst noodzakelijkservices.

Procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van de hoogstnoodzakelijk services.

1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

De laatste (beveiligings)patches zijn geïnstalleerden deze worden volgens een patchmanagementproces doorgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een beschrijving van hetpatchmanagementproces en dat dit proces effectief isgeïmplementeerd.

Procesbeschrijving ten aanzien van patch managementis opgesteld voor servers, databases, applicaties enfirewalls.

De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat één patch het proces is uitgevoerd conformde opgestelde procedurebeschrijving.

2 5 0 0

(P) Er moet een procedure zijn ingericht waarin staatbeschreven hoe de organisatie omgaat met updates:hoe snel implementeert de organisatie een kritiekepatch, welke stadia moet de patch doorlopen, wiedraagt de verantwoordelijkheid, et cetera?

Procesbeschrijving bevat een omschrijving van hoe deorganisatie omgaat met updates: hoe snelimplementeert de organisatie een kritieke patch, welkestadia moet de patch doorlopen, wie draagt deverantwoordelijkheid, et cetera?

De procesbeschrijving is geaccordeerd op het juisteniveau.

1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Penetratietests worden periodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.

Procesbeschrijving ten aanzien van penetratietests isopgesteld met daarin een opdrachtomschrijving, eenscopedefinitie, planning en kwaliteitseisen.

De procesbeschrijving is geaccordeerd op het juisteniveau. 2 5 0 0

(P) De resultaten van de pentest worden vastgelegdin een rapportage. Waarbij duidelijk is aangegevenwelke informatie de rapportage moet bevatten.

Rapportageformat met daarin duidelijk vastgelegdwelke informatie de rapportage moetbevatten is opgesteld.

Pentest is volgens rapportageformat opgesteld.

1 3 0 0

(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingenopleveren.

Verantwoordelijkheid van het opstellen van een planindien geimplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebben voldaan oftekortkomingingen hebben opgeleverd is vastgelegd inde procedure beschrijving van penetratietests.

Plan met daarin de activiteiten die worden uitgevoerd(wie, wat en wanneer) indiengeïmplementeerde maatregelen niet aan de gesteldeeisen en/of verwachtingen hebbenvoldaan of tekortkomingen hebben opgeleverd.

1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Vulnerability assessments (security scans)worden periodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een scopedefinitie (denk hierbij aanhost- of netwerkgebaseerde VA, te onderzoeken IP-adressen en/of type besturingssysteem), planning enkwaliteitseisen.

Procesbeschrijving ten aanzien van vulnerabilityassessments is opgesteld met een scopedefinitie.


(P) Zorg dat de resultaten van de vulnerabilityassessment worden vastgelegd in een rapportage,waarbij duidelijk is aangegeven welke informatie derapportage moet bevatten.


Vulnerability assessment is volgens rapportageformatopgesteld. 1 3 0 0

(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingenopleveren.

Verantwoordelijkheid van het opstellen van een planindien geimplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebben voldaan oftekortkomingingen hebben opgeleverd is vastgelegd inde procedure beschrijving van vulnerabilityassessments.


1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Ontwerp en richt maatregelen in met betrekkingtot toegangsbeveiliging/toegangsbeheer Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor beleid ten aanzien vantoegangsbeveiliging (identiteiten toegangsbeheer).

Beleidsdocument ten aanzien van toegangsbeveiligingis opgesteld.

Het beleid is geaccordeerd op het juiste niveau.1 3 0 0

(P/C) Zorg voor een wachtwoordbeleid en technischemaatregelen om sterke wachtwoorden af te dwingen.

Wachtwoordbeleid is opgesteld. Het beleid is geaccordeerd op het juiste niveau.Technische maatregelen om sterke wachtwoorden af tedwingen is volgens het beleid ingesteld.

1 3 0 0

(P/C) De inrichting van het identiteit- entoegangsbeheer is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke functies (identiteit-, authenticator, profiel- entoegangsbeheer) waar (centraal/decentraal) wordenuitgevoerd.(P) Het inrichtingsdocument/ontwerp: heeft eeneigenaar, is voorzien van een datum enversienummer, is actueel en is op het juiste niveaugeaccordeerd.

Inrichtingsdocument is opgesteld waarin is vastgelegdwelke functies (identiteit-, authenticator, profiel- entoegangsbeheer) waar (centraal/decentraal) wordenuitgevoerd.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van het identiteiten toegangsbeheer isgebaseerd op het inrichtingsdocument.Het inrichtingsdocument/ontwerp: heeft een eigenaar, isvoorzien van een datum en versienummer. 1 3 0 0

(P) Zorg voor een procedurebeschrijving metbetrekking tot toegangsbeveiliging voor identiteit- entoegangsbeheer (autorisaties) voor netwerken,besturingssystemen, informatiesystemen, informatieen -diensten.

Een procedurebeschrijving met betrekking tottoegangsbeveiliging voor identiteiten toegangsbeheer(autorisaties) voor netwerken, besturingssystemen,informatiesystemen, informatie en -diensten isopgesteld (in dienst, functiewijziging en uit dienst).

De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat voor tenminste één (beheer)account hetproces is uitgevoerd conform de opgesteldeprocesbeschrijving.

2 5 0 0

(P/A) Zorg voor een actueel overzicht van personendie beheeraccounts hebben en dat dit overzichtcontinue wordt onderhouden.

Een procesbeschrijving om beheeraccounts teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van personendie beheeraccounts hebben.

1 3 0 0

(P/A) Zorg voor een actueel overzicht van personendie een gebruikersaccount hebben en dat ditoverzicht continue wordt onderhouden.

Een procesbeschrijving om gebruikersaccounts teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van personendie gebruikeraccounts hebben.

1 3 0 0

(R) Zorg dat periodiek wordt getoetst of het systeemvoldoet aan het overzicht van personen diebeheeraccounts hebben.

Een procesbeschrijving om beheeraccounts periodiekte reviewen.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek toetsen of het systeem voldoet aan hetoverzicht van de personen die beheeraccounts hebbenen nagaan of de accounts nog noodzakelijk zijn.

1 3 0 0

(P/A) Accounts die de webapplicatie gebruiken,hebben niet meer rechten dan vereist voor hetfunctioneren van de webapplicatie.

Een procesbeschrijving omtrent functies en rechten inde webapplicatie.

De procedurebeschrijving is geaccordeerd op het juisteniveau.Stel middels een steekproef vast dat één account nietmeer rechten heeft dan vereist voor het functioneren vande webapplicatie (bv. beheeraccounts).

1 3 0 0

(P/A) Er moeten (actuele) overzichten zijn met alleautorisaties voor de webapplicatie.

Een procesbeschrijving om autorisatie(S)/(-groepen) teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van autorisatiesvoor de webapplicatie.

1 3 0 0

(P/R) Er moet een procesbeschrijving zijn voor hetcontroleren van de gebruikersaccounts en debijbehorende autorisaties.

Een procesbeschrijving om gebruikaccounts periodiekte reviewen.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek toetsen of het systeem voldoet aan hetoverzicht van de gebruikeraccounts.

1 3 0 0

(R) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingenopleveren.

Een procesbeschrijving omtrent follow up indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingen

De procesbeschrijving is geaccordeerd op het juisteniveau.Aantoonbare follow up bij review controls. 1 3 0 0

12 35 0 0 08.4 24.5 32.9

rood rood rood0 0 0

0% 0% 0%

Niet (meer) gebruikte websites en/of informatie moetworden verwijderd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een procedurebeschrijving met betrekking totwebsitebeheer.

Een procedurebeschrijving met betrekking totwebsitebeheer.

De procedurebeschrijving is geaccordeerd op hetjuiste niveau. 2 5 0 0

(P) Er moet een actueel overzicht zijn van de websites dieoperationeel zijn. Zorg dat dit overzicht onderdeel is van hetproces wijzigingsbeheer.(P) Iedere website heeft een eigenaar.

Een procesbeschrijving om alle digitale productendie via DigiD worden aangeboden teonderhouden.Een actueel overzicht van alle digitale producteninclusief de eigenaar die via DigiD wordenaangeboden in de procedurebeschrijving isopgenomen.

Peridiek actualiseren van het overzicht van alledigitale producten incl. eigenaar die via DigiDworden aangeboden.

1 3 0 0

(R) Voer periodiek controles uit of de operationele websites nogworden gebruikt en/of informatie bevat die kan wordenverwijderd.

Een procedurebeschrijving met betrekking tot eenperiodieke controle op de inhoud van alle digitaleproducten die via DigiD aangeboden worden doorde eigenaren.

Periodieke toetsen of alle digitale producten dievia DigiD worden aangeboden actueel enrelevant zijn. 1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Leg afspraken met leveranciers vast in een overeenkomst Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een overeenkomst (bijvoorbeeld contract, ServiceLevel Agreement (SLA) of Diensten Niveau Overeenkomst (DNO))waarin de beveiligingseisen en -wensen zijn vastgelegd en op hetjuiste (organisatorische) niveau is vastgesteld/geaccordeerd.

Een overeenkomst tussen de verschillendepartijen waarin de beveiligingseisen en -wensenzijn vastgelegd.

De overeenkomst is geaccordeerd op hetjuiste niveau.

1 3 0 0

(P) Zorg dat de verantwoordelijkheid van de DigiD normen vanLogius in de overeenkomst zijn opgenomen.

De verantwoordelijkheid van de DigiD normenvan Logius zijn opgenomen in de overeenkomst.

De overeenkomst is geaccordeerd op hetjuiste niveau. 2 5 0 0

(P) TPM verklaring Indien van toepassing, stel vast dat:- een TPM verklaring aanwezig is.

Rapportages van de dienstleverancier overde geleverde dienstverlening- voldoen alle normen;- is de scope conform de scope in deovereenkomst.

1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Er moet gebruik worden gemaakt van eenDemilitarised Zone (DMZ), waarbijcompartimentering wordt toegepast en deverkeersstromen tussen deze compartimentenwordt beperkt tot alleen de hoogst noodzakelijke Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de DMZ is gebaseerd op eenvastgesteld inrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp- eninrichtingskeuzes moeten zijn onderbouwd en ophet juiste (organisatie)niveau zijn verantwoord.

Inrichtingsdocument is opgesteld waarin is vastgelegdwelke uitgangspunten/principes gelden voor detoepassing van de DMZ.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van de DMZ is gebaseerd op hetinrichtingsdocument. 1 3 0 0

(P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.

Een document met de (beveiligings)instellingen isopgesteld van de ICT-componenten met daarbij eenbeschrijving van waarom voor die instellingen isgekozen.

Het document is geaccordeerd op het juiste niveau.(Beveiligings)instellingen zijn volgens het documentingesteld.

1 3 0 0

(C) Vaststellen dat het netwerk in verschillendecompartimenten is opgedeeld.

Stel vast dat het netwerk in verschillendecompartimenten is opgedeeld. 2 5 0 0

(C) Vaststellen dat de verkeersstromen tussen decompartimenten worden beperkt.

Stel vast dat de verkeersstromen tussen decompartimenten worden beperkt. 2 5 0 0

6 16 0 0 04.2 11.2 15.4

rood rood rood0 0 0

0% 0% 0%

Beheer- en productieverkeer zijn van elkaargescheiden Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de DMZ is gebaseerd op eenvastgesteld inrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp- eninrichtingskeuzes moeten zijn onderbouwd en ophet juiste (organisatie)niveau zijn verantwoord.


Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van de DMZ is gebaseerd op hetinrichtingsdocument. 1 3 0 0 Hetzelfde

als B1-1

(P) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.


Het document is geaccordeerd op het juiste niveau.(Beveiligings)instellingen is volgens het documentingesteld.

1 3 0 0 Hetzelfdeals B1-1

(P) Vaststellen dat de verkeersstromen tussenbeheer en productieverkeer gescheiden zijn.

Stel vast dat de verkeersstromen tussen beheer enproductieverkeer gescheiden zijn. 2 5 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Netwerktoegang tot de webapplicaties is vooralle gebruikersgroepen op een zelfde wijzeingeregeld Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de DMZ is gebaseerd op eenvastgesteld inrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp eninrichtingskeuzes moeten zijn onderbouwd en ophet juiste (organisatie)niveau zijn verantwoord.


Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van de DMZ is gebaseerd op hetinrichtingsdocument. 1 3 0 0 Hetzelfde

als B1-1

(P) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.




(P) Vaststellen dat netwerktoegang tot dewebapplicatie voor alle gebruikers identiek is.

Stel vast dat de netwerktoegang tot de webapplicatievoor alle gebruikers identiek is. 2 5 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van veilige beheermechanismen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg dat procedures met betrekking tot beheermechanismen zijnvastgesteld.Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Eenbackdoor voor beheer is bijvoorbeeld een beheerinterface waarvoorgeen authenticatie nodig is maar die draait op poort 8888 en daardoormoeilijk te ontdekken zou moeten zijn (‘security through obscurity’). Dekans is echter groot dat kwaadwillenden backdoors vroeg of laatontdekken, en erin slagen om deze te misbruiken.

Een procedurebeschrijving met betrekking totbeheermechnismen (bv. SSL verbinding,pincodefunctionaliteit, firewall rules, gescheiden LAN/WAN,poortafscherming) is opgesteld.

De procedurebeschrijving is geaccordeerdop het juiste niveau.

1 3 0 0

(P) Vaststellen dat de beheermechanismen in het ontwerpdocumentgeïmplementeerd zijn.

- Stel vast dat de beheermechnismen actiefzijn. 2 5 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

De webapplicatie valideert de inhoud van eenHTTP-request voor die wordt gebruikt Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.


De procesbeschrijving is geaccordeerd op het juisteniveau. 1 3 0 0 Hetzelfde

als B0-8





(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aande gestelde eisen en/of verwachtingen oftekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een planindien geimplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebben voldaanof tekortkomingingen hebben opgeleverd isvastgelegd in de procedure beschrijving vanpenetratietests.



(C) Validatie vindt plaats op in ieder gevaldynamische onderdelen van de URL, queryparameters, form parameters, cookies, HTTP-headers, XML en bestanden.- In het geval de invoer niet voldoet aan de type-,lengte-, formaat- en controle op valide karaktersweigert de applicatie deze invoer.- Criteria gelden voor het filteren van de inhoud vaneen HTTP-request op basis van ongewenste invoer.

Stel vast dat validatie plaatsvindt op de URL, queryparameters, form parameters, cookies, HTTP-headers,XML en bestanden.Stel vast als de invoer niet voldoet dat deze geweigerdwordt.Stel vast dat criteria is ingesteld om inhoud te filterenvan een HTTP-request.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

De webapplicatie controleert voor elk HTTPverzoek of de initiator geauthenticeerd is en dejuiste autorisaties heeft Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









(C) Voor onderdelen van de webapplicatie waarmeetransacties door een gevalideerde gebruiker kunnenworden uitgevoerd:- zijn de waarde van cookies is gekoppeld aan hetIP-adres waarnaar deze waarde is verstuurd;- zijn de formulierpagina’s voorzien van eendynamisch token;- accepteert de webapplicatie alleen verzoekenwaarbij de inhoud van de Referer-headerovereenkomt met de URL van de betreffendewebapplicatie

Stel vast dat de waarde van cookies is gekoppeld aanhet IP-adres waarnaar deze waarde is verstuurd;Stel vast dat de formulierpagina’s voorzien zijn van eendynamisch token;Stel vast dat de webapplicatie alleen verzoekenaccepteert waarbij de inhoud van de Referer-headerovereenkomt met de URL van de betreffendewebapplicatie.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

De webapplicatie normaliseert invoerdata voorvalidatie Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









(C) Normalisatie als:- Omzetten van NULL karakters naar spaties.- Coderen van bijzondere karakters in een uniformecodering (bijvoorbeeld UTF-8).- Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.- Verwijderen van overbodige spaties enregeleinden.- Verwijderen van onnodige witruimtes.- Omzetten van backslashes naar forward slashes- Omzetten van mixed case strings naar lower casestrings.

Stel vast dat de webapplicatie de invoerdata voorvalidatie normaliseert als:- Omzetten van NULL karakters naar spaties.- Coderen van bijzondere karakters in een uniformecodering (bijvoorbeeld UTF-8).- Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.- Verwijderen van overbodige spaties en regeleinden.- Verwijderen van onnodige witruimtes.- Omzetten van backslashes naar forward slashes- Omzetten van mixed case strings naar lower casestrings.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

De webapplicatie codeert dynamischeonderdelen in de uitvoer Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









(C) Vaststellen dat de webapplicatie dynamischeonderdelen in de uitvoer codeert.

Stel vast dat de webapplicatie dynamische onderdelenin de uitvoer codeert. 2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

Voor het raadplegen en/of wijzigen van gegevensin de database gebruikt de webapplicatie alleengeparametriseerde queries Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









De webapplicatie maakt gebruik vangeparameteriseerde queries bij het benaderen vandatabases.

Stel vast dat de webapplicatie gebruik maakt vangeparameteriseerde queries bij het benaderen vandatabases.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

De webapplicatie valideert alle invoer, gegevensdie aan de webapplicatie worden aangeboden,aan de serverzijde Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









(C) Voor elke controle die de webapplicatie uitvoertaan de clientzijde, is een equivalent aanwezig aande serverzijde.

Stel vast dat voor elke controle die de webapplicatieuitvoert aan de clientzijde, een equivalent aanwezig isaan de serverzijde.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

De webapplicatie staat geen dynamische fileincludes toe of beperkt de keuze mogelijkheid(whitelisting) Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









(C) De webapplicatie maakt geen gebruik vandynamische file includes.

Stel vast dat de webapplicatie geen gebruik maakt vandynamische file includes. 2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

Een (geautomatiseerde) blackbox scan wordtperiodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.

Procesbeschrijving ten aanzien van blackbox scan(tester zonder voorkennis gaat kijken of erkwetsbaardheden in de webapplicatie bestaan) isopgesteld.


2 5 0 0



Blackbox scan is volgens rapportageformat opgesteld.

1 3 0 0


Verantwoordelijkheid van het opstellen van een planindien geimplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebben voldaanof tekortkomingingen hebben opgeleverd isvastgelegd in de procedure beschrijving van blackboxscan.


1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’ Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









Het set cookie command bevat de secure flag en deHTTPOnly flag.

Stel vast dat het set cookie command bevat de secureflag en de HTTPOnly flag.

2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

Voer sleutelbeheer in waarbij minimaalgegarandeerd wordt dat sleutels nietonversleuteld op de servers te vinden zijn Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Procedure en procesbeschrijving rondom hetbeheer van certificaten.(P) Een inrichtingsdocument rondom het beheer vancertificaten is opgesteld.

Een procedurebeschrijving/inrichtingsdocumentrondom het beheer van certificaten met de volgendedetails:- Hoe worden sleutels gegenereerd voor verschillendetoepassingen?- Hoe worden certificaten voor publieke sleutelsgegenereerd en verkregen?- Hoe sleutels worden bewaard, inclusief eeninstructie hoe geautoriseerde gebruikers toegang totsleutels kunnen krijgen?- Hoe het wijzigen of actualiseren van sleutels moetgeschieden?- Hoe wordt omgaan met sleutels die zijgecompromitteerd?- Hoe sleutels moeten worden herroepen, ingetrokkenof gedeactiveerd?- Hoe sleutels hersteld moeten worden die verloren ofgecompromitteerd zijn?- Hoe sleutels worden gearchiveerd?- Hoe sleutels worden vernietigd?- Hoe activiteiten in verband met sleutelbeheerworden vastgelegd en gecontroleerd?- Welke minimale sleutellengtes moeten wordentoegepast?- Welke encryptie-algoritmen moeten wordentoegepast?

De procesbeschrijving is geaccordeerd op het juisteniveau.Het inrichtingsdocument is geaccordeerd op het juisteniveau.Het inrichtingsdocument/ontwerp: heeft een eigenaar,is voorzien van een datum en versienummer, is actueel(en maakt eventueel onderdeel van wijzigingsbeheer).

1 3 0 0

(C) Vaststellen dat de sleutels beveiligd zijnopgeslagen en niet onversleuteld kunnen wordengeëxporteerd.

Stel vast dat sleutels beveiligd zijn opgeslagen en nietonversleuteld kunnen worden geëxporteerd. 2 5 0 0

3 8 0 0 0

2.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van versleutelde(HTTPS)verbindingen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp, waarin is vastgelegdwelke uitgangspunten gelden voor de toepassingvan versleutelde verbindingen (SSL/TLS):- waarom worden verbindingen door middel vanSSL beveiligd;- welke verbindingen worden door middel van SSLbeveiligd;- periodieke controle op het gebruik van SSLverbindingen.

Een inrichtingsdocument is opgesteld waarin isvastgelegd welke uitgangspunten gelden voor detoepassing van versleutelde verbindingen (SSL/TLS):- waarom worden verbindingen door middel van SSLbeveiligd;- welke verbindingen worden door middel van SSLbeveiligd;- periodieke controle op het gebruik van SSLverbindingen.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.Het inrichtingsdocument/ontwerp: heeft een eigenaar,is voorzien van een datum en versienummer en isactueel.

1 3 0 0

(C) Er vindt een redirect plaats van HTTP naarHTTPS op het moment dat een (contact) formulierwordt opgevraagd.

Stel vast in de configuratie van de webserver dat ereen redirect plaats vindt van HTTP naar HTTPS op hetmoment dat een (contact) formulier wordt opgevraagd. 2 5 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Sla gevoelige gegevens versleuteld ofgehashed op Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten gelden voor versleutelenvan gegevens.

Een document is opgesteld omtrent gevoeligeinformatie en de versleuteling van gegevens.(Criteria: wat is gevoelige informatie en hoewordt dit geclassificeerd en versleuteld?)

Het document is vastgesteld door management.

1 3 0 0

(P) Vaststellen dat een dataclassificatie analyse isuitgevoerd (incl. een weergave van de gevondenissues, de classificaties en de correctievehandelingen ondernomen).

Een procesbeschrijving is opgesteld over hoe dedataclassificatie analyse uitgevoerdt dient teworden (stappenplan).

Stel vast dat een dataclassificatie analyse isuitgevoerd op tenminste de gegevens die wordengebruikt in de DigiD producten. 2 5 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Versleutel cookies Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Er moet een beleid met betrekking tot hettoepassen van cookies zijn.

Beleid met betrekking tot het toepassen van cookies. Beleid is geaccordeerd op het juiste niveau.1 3 0 0

(P) Er moeten procedures zijn met betrekking tot hetbeheren van cookies.

Een procedures zijn met betrekking tot het beherenvan cookies.

De procedure is geaccordeerd op het juiste niveau.1 3 0 0

(C) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten gelden voor versleutelen vangegevens.

Stel vast dat cookies versleuteld zijn.

2 5 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van IntrusionDetectionSystemen (IDS) Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument / ontwerp waarin isvastgelegd welke uitgangspunten gelden voorinzetten van IDS’en.

Inrichtingsdocument is opgesteld waarin isvastgelegd welke uitgangspunten gelden voorinzetten van IDS’en.

Het inrichtingsdocument is geaccordeerd op hetjuiste niveau.De inrichting van IDS is geplaatst volgens engebaseerd op het inrichtingsdocument.

2 5 0 0

(P) Er moet aantoonbaar follow-up wordengegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillendmisbruik duiden, geïmplementeerde maatregelenniet voldoen aan de gestelde eisen en/ofverwachtingen of tekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van eenplan indien geimplementeerde maatregelen nietaan de gestelde eisen en/of verwachtingenhebben voldaan of tekortkomingingen hebbenopgeleverd is vastgelegd in de procedurebeschrijving omtrent IDS'en.

Plan met daarin de activiteiten die wordenuitgevoerd (wie, wat en wanneer) indiengeïmplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebbenvoldaan of tekortkomingen hebben opgeleverd.

1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Voer actief controles uit op logging Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Er moeten procedures zijn opgesteld, waarinstaat beschreven hoe en wanneer controles oplogging moeten plaatsvinden en hoe taken op ditgebied belegd zijn.

Een procedure waarin staat beschreven hoe enwanneer controles op logging moetenplaatsvinden en hoe taken op dit gebied belegdzijn is opgesteld.

De procedure is geaccordeerd op het juisteniveau.

2 5 0 0


Verantwoordelijkheid van het opstellen van eenplan indien geimplementeerde maatregelen nietaan de gestelde eisen en/of verwachtingenhebben voldaan of tekortkomingingen hebbenopgeleverd is vastgelegd in de procedurebeschrijving omtrent controles op logging.


1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Governance, organisatie, rollen en bevoegdhedeninzake preventie, detectie en response inzakeinformatiebeveiliging dienen adequaat te zijnvastgesteld Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Geactualiseerd (organisatiebreed)informatiebeveiligingsbeleid

Een organisatiebreedinformatiebeveiligingsbeleid is opgesteld.

Een organisatiebreedinformatiebeveiligingsbeleid is vastgesteldop het juiste niveau.

2 5 0 0

(P) Functies en verantwoordelijkheden voor deinformatiebeveiliging moeten zijn toegekend.

Het informatiebeveiligingsbeleid heeft eenbeschrijving met betrekking tot debeveiligingsorganisatie.

Stel vast dat functies, taken enbevoegdheden op het niveau van eenfunctionaris zijn belegd.

1 3 0 0

(P) Er moet overeenstemming over de benodigdemethodologieën en processen worden bereikt. Denk hierbijaan risicoanalyse en met betrekking tot hetclassificatiesysteem.

Een procesbeschrijving van de totstandkomingvan het huidige informatiebeveiligingsbeleid.

Stel het proces vast voor het opstellenen/of actualiseren van hetinformatiebeveiligingsbeleid (denk aan deuitgevoerde risicoanalayse en devastlegging van management overlegomtrent informatiebeveiliging).

1 3 0 0

- Er dient een informatiebeveiligingsplan opgesteld teworden.

Een recent informatiebeveiligingsplan isopgesteld.

Stel vast dat een recentinformatiebeveiligingsplan (incl. planningen prioriteiten) is vastgesteld op het juisteniveau.

2 5 0 0

(P) Er moet aantoonbaar follow-up worden gegeven in casuverbeteringen worden doorgevoerd indien log records opkwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/ofverwachtingen of tekortkomingen opleveren en; Er dienteen procebeschrijving aanwezig te zijn ten aanzien vanpreventie, detectie en response inzakebeveiligingsincidenten.

Een procedurebeschrijving ten aanzien vanpreventie, detectie en response inzakebeveiligingsincidenten.

Een procedurebeschrijving is geaccordeerdop het juiste niveau.

1 3 0 0

7 19 0 0 04.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

Bijlage F - Initiële NormenkaderNr en beveiligingslaag Doelstelling Classificatie Type maatregel Bewijsvoering Must haves (obv conform. eisen) Should haves (obv conform. eisen) Type: Toepasbaarheidgebied Scope Nadere toelichting Uit te voeren werkzaamheden - Norea

B0-5 (B0-6 in ICT-beveiligingsrichtlijnen)

Het garanderen van een correcte enveilige werking van ICT-voorzieningendoor het op een gecontroleerde manierdoorvoeren van wijzigingen.

Hoog Algemene beveiligingsrichtlijnen • Beschrijving van het configuratie- en wijzigingsbeheerproces.oheeft een eigenaar.o is voorzien van een datum en versienummer.obevat een documenthistorie (wat is wanneer en door wie aangepast).o is actueel, juist en volledig.o is door het juiste (organisatorische) niveauvastgesteld/geaccordeerd.• Een overzicht met alle wijzigingsverzoeken inclusief autorisatie enimpactanalyse metbetrekking tot informatiebeveiliging.• De changekalender.(geautomatiseerde) Audit op wijzigingen:• Actueel overzicht met de auditregels (policy).• Procedurebeschrijving met betrekking tot het creëren enonderhouden van snapshots.• Resultaten van de uitgevoerde audits.Webapplicaties worden getest voordat deze in de productie wordengenomen:• Acceptatiecriteria voor nieuwe systemen.• De datasets en testscripts die worden gebruikt om de tests uit tevoeren.• De resultaten van de uitgevoerde tests.• De autorisatie dat de tests met goed gevolg zijn doorlopen en dat dewijziging inproductie mag worden genomen.Ontwikkel, test, acceptatie en productieomgeving (OTAP):• Regels voor het overdragen van systemen van de ene naar deandere omgeving (vanontwikkel naar test, van test naar acceptatie en van acceptatie naarproductie).

• (P) Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectief isgeïmplementeerd.• (P) Alle wijzigingen worden op een gestructureerde wijze geregistreerd.• (P) Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen.• (P) Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) inbehandeling genomen.• (P) Gerealiseerde wijzigingen worden voor implementatie getest.• (R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of dewijziging niet tot incidenten heeft geleid.

Ontwikkel, test, acceptatie en productieomgeving (OTAP):• (C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productieomgeving(OTAP).• (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragen van deene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatie en vanacceptatie naar productie).

Webapplicaties worden getest voordat deze in de productie worden genomen:• (P) Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijnvastgesteld.• (P) Wijzigingen worden getest voordat deze in productie worden genomen.• (P) Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als dewijziging impact heeft op de informatiebeveiliging, is bepaald of er specifiekebeveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (zie maatregel B0-8), code reviews (zie maatregel B3-14) et cetera).

• Zorg dat configuratiebeheer is ingericht.• Er bestaat een actueel en volledig overzicht van wijzigingen metbetrekking tot de (beveiligings)instellingen van de ICT-infrastructuur.• Van alle wijzigingen wordt de impact met betrekking totinformatiebeveiliging vastgesteld.• Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wietoestemming verleent. Bijvoorbeeld een beslissingsforum (ChangeAdvisory Board (CAB))• De voortgang van de afhandeling van wijzigingen wordt bewaakt.• Realisatie en implementatie van wijzigingen worden gepland en dezeplanningsgegevens worden gepubliceerd (changekalender).• Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denkhierbij aan beheersprocedures en verantwoordelijkheden bij uitvoeringvan het terugvalscenario.

De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen:• Zorg voor een actueel snapshot van de verschillende systemen.• Zorg dat systemen continue worden geaudit tegen de actuelesnapshot (detecteren van wijzigingen).• Zorg dat het overzicht met auditregels (policy) en de snapshotsonderdeel zijn van het proces wijzigingsbeheer.

Webapplicaties worden getest voordat deze in de productie wordengenomen:• Penetratietesten maken onderdeel uit van de testen (zie maatregelB0-8).• Als het gaat om standaardsoftware, Software-as-a-Service (SaaS)kan worden gedacht aan de volgende aandachtspunten:o Externe certificering van de extern ontwikkelde software.oAfspraken in het contract vastleggen om de software te mogenauditen.oUitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregelB0-8) of blackbox scan (zie maatregel B3-15), om mogelijkekwetsbaarheden op te sporen.

Governance Houder DigiD aansluiting, softwareleverancier, hosting-partij

De DigiDapplicatie en deinfrastructuur

De focus is het vaststellen dat het proces wijzigingsbeheerzodanig is opgezet en geïmplementeerd dat alle wijzigingenaltijd eerst worden getest voordat deze in productie wordengenomen en via wijzigingsbeheer worden doorgevoerd.

Interviews met verantwoordelijke functionarissen,beoordeling van proces documentatie, gerichtedeelwaarneming op wijzigingen.

B0-6 (B0-5 in ICT-beveiligingsrichtlijnen)

Het tot een minimum beperken van dekans dat onnodige faciliteiten op eensysteem worden misbruikt.

Hoog Algemene beveiligingsrichtlijnen • Beschrijving van het hardeningsproces.oheeft een eigenaar.o is voorzien van een datum en versienummer.obevat een documenthistorie (wat is wanneer en door wie aangepast).o is actueel, juist en volledig.o is door het juiste (organisatorische) niveauvastgesteld/geaccordeerd.• Een actueel overzicht van de hoogst noodzakelijk netwerkprotocollenis beschikbaar.• Een actueel overzicht van de hoogst noodzakelijk services isbeschikbaar.• Statusoverzicht van de toets of het systeem voldoet aan het overzichtvan de hoogst noodzakelijk netwerkprotocollen.• Een overzicht van de door de eigenaar van de webapplicatie enbeveiligingsfunctionaris geaccepteerde afwijkingen.

• (P) Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief isgeïmplementeerd en dat deze:is en dat dezeo een eigenaar heeft;o een datum en versienummer heeft;o een historie bevat;o actueel is;o geaccordeerd door het management is.• (P) Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollen endat dit overzicht continue wordt onderhouden.• (P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

• Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer.• Zorg dat periodiek wordt getoetst of het systeem voldoet aan hetoverzicht van hoogst noodzakelijke netwerkprotocollen.• Afwijkingen moeten worden gedocumenteerd en geaccepteerd doorde eigenaar van de webapplicatie en beveiligingsfunctionaris.

Infra-proces Hosting-partij Hetnetwerksegmentmet de DigiDwebservers en deroute naar hetinternet

De focus is op het hardeningsproces. Onderdeel hiervan iseen security baseline voor de systemen. De hardening vaninternet facing systemen dient strak te zijn geregeld: alleswat open staat moet een reden hebben en alles wat openstaat moet secure wordeen aangeboden. De hardening vaninterne systemen mag minder stringent. Wel moeten demanagement functies moeten secure zijn, er geen onveiligeprotocollen worden gebruikt, default passwords zijngewijzigd, voorbeeld applicaties na default install zijnverwijdern , etc

Interviews met verantwoordelijke functionarissen,beoordeling van proces documentatie, inspectie vanconfiguratie documentatie en analyse van de uitkomstenvan penetratietesten.

B0-7 Alle aanwezige software is tijdig voorzienvan de laatste versies/patches ommogelijke uitbuiting van kwetsbaarhedenvoor te zijn.Op een zo efficiënt mogelijk wijze met zomin mogelijk verstoringen een stabiel(veilig) systeem te creëren.

Hoog Algemene beveiligingsrichtlijnen • Beschrijving van het configuratie en patchmanagementproces. Dezeprocesbeschrijving:oheeft een eigenaar.o is voorzien van een datum en versienummer.obevat een documenthistorie (wat is wanneer en door wie aangepast).o is actueel, juist en volledig.o is door het juiste (organisatorische) niveauvastgesteld/geaccordeerd.• Een actueel overzicht van systemen die in productie draaien maarniet meer wordenondersteund.

• (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proceseffectief is geïmplementeerd.• (P) Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatieomgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welkestadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

• Zorg dat configuratiebeheer is ingericht.• Zorg voor een technische implementatie van een updatemechanisme.


De focus is op het patchingproces. De patching proces kangedifferentieerd zijn naar OS en netwerk. Een maandelijkspatching cycles is aanvaardbaar tenzij er security alertszijn. Voor internet facing systemen dienen de laatstestabiele beveiligingspatches te zijn geïnstalleerd. Indienpatching niet mogelijk is in verband met oudere applicatie,zal dit risico moeten zijn afgewogen.

Interviews met verantwoordelijke functionarissen,beoordeling van proces documentatie, inspectie vanconfiguratie documentatie en analyse van de uitkomstenvan penetratietesten.

B0-8 Inzicht krijgen en houden in de matewaarin een webapplicatie weerstand kanbieden aan pogingen om het tecompromitteren (binnendringen ofmisbruiken van webapplicatie).

Hoog Algemene beveiligingsrichtlijnen • Planning.• Opdrachtomschrijving(en) met daarin een heldere onderzoeksvraag.• Scopedefinitie(s) met daarin het object van onderzoek.• Rapportageformat met daarin duidelijk vastgelegd welke informatiede rapportage moetbevatten.• Rapportages met de resultaten van de pentest(s).• Plan met daarin de activiteiten die worden uitgevoerd (wie, wat enwanneer) indiengeïmplementeerde maatregelen niet aan de gestelde eisen en/ofverwachtingen hebbenvoldaan of tekortkomingen hebben opgeleverd.

• (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.• (P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbij duidelijkis aangegeven welke informatie de rapportage moet bevatten.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.

• Pentests worden niet alleen bij nieuwbouw en wijzigingen uitgevoerd,maar moeten periodiek worden herhaald.

Infra-Pentest Softwareleverancier, hosting-partij DigiD applicatieen het IP adresvan de DigiDapplicatie

De pentratietest/applicatiescan dient minimaal één maal perjaar worden uitgevoerd en na significante wijzigingen. Deexterne blackbox/greybox infrastructuur penetratietest dientzich ten minste gericht hebben op de hardening enpatching van systemen, het via internet benaderbaremanagement interfaces, het gebruik van zwakke encryptie,het gebruik van onveilige protocollen en de kwetsbaarheidvoor publiekelijk bekende exploits. De greybox/whiteboxapplicatiescan dient industry standaards zoals de OWASPtop 10, de SANS top 25 en de WASC te omvatten. Naaraanleiding van de resultaten van de penetratietest dient deorganisatie een plan op te stellen.

Evaluatie van de pentesten en de scope van depenetratietest, zo nodig review van het pentest-dossier,analyse van de uitkomsten van penetratietesten, interviewsmet verantwoordelijke functionarissen en beoordeling vanhet actieplan.

B0-9 Inzicht hebben in de mate waarin de ICT-omgeving bekende kwetsbaarheden enZwakheden bevat, zodat deze waarmogelijk weggenomen kunnen worden.

Hoog Algemene beveiligingsrichtlijnen • Een planning wanneer reguliere vulnerability assessment wordenuitgevoerd met daarinduidelijk het object van onderzoek omschreven.• Het rapportageformat met daarin duidelijk vastgelegd welkeinformatie de rapportagemoet bevatten.• Rapportages met de resultaten van de vulnerability assessments.• Een plan met daarin opgenomen welke activiteiten worden uitgevoerden wieverantwoordelijk is om de gedetecteerde kwetsbaarheden enzwakheden te verhelpen.

• (P) Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, teonderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen.• (P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in eenrapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moet bevatten.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.

• Zorg dat vulnerability assessment periodiek worden herhaald. Infra-Pentest Hosting-partij Hetnetwerksegmentmet de DigiDwebservers

De interne greybox/whitebox vulnerability scanpentratietest/applicatiescan dient minimaal één maal perjaar worden uitgevoerd en na significante wijzigingen. De iseen netwerk based scan dient zich ten minste te hebbengericht op de hardening en patching van systemen en hetdetecteren van mogelijke kwetsbaarheden van dezesystemen. Naar aanleiding van de resultaten van depenetratietest dient de organisatie een herstelplan op testellen.

Evaluatie van de pentester en de scope van de vulnerabilityassessment, zo nodig review van het dossier, analyse vande uitkomsten van vulnerability assessment, interviews metverantwoordelijke functionarissen en beoordeling van hetactieplan.

B0-12 Voorkom ongeautoriseerde toegang totnetwerken, besturingssystemen,informatie en informatiesystemen en -diensten, zodat schade bij misbruik zobeperkt mogelijk is.

Hoog Algemene beveiligingsrichtlijnen • (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteiten toegangsbeheer).• (P/C) Zorg voor een wachtwoordbeleid en technische maatregelen om sterkewachtwoorden af te dwingen.• (P/C) De inrichting van het identiteiten toegangsbeheer is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator,profiel- en toegangsbeheer) waar (centraal/decentraal) worden uitgevoerd.• (P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging vooridentiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen,informatiesystemen, informatie en -diensten.• (P/A) Zorg voor een actueel overzicht van personen die beheeraccounts hebben en datdit overzicht continue wordt onderhouden.• (P/A) Zorg voor een actueel overzicht van personen die een gebruikersaccount hebbenen dat dit overzicht continue wordt onderhouden.• (R) Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht vanpersonen die beheeraccounts hebben.• (P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereistvoor het functioneren van de webapplicatie.• (P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie.• (P/R) Er moet een procesbeschrijving zijn voor het controleren van degebruikersaccounts en de bijbehorende autorisaties.• (R) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.• (P) Het inrichtingsdocument/ontwerp:o heeft een eigenaar.o is voorzien van een datum en versienummer.o is actueel.o is op het juiste niveau geaccordeerd.

• De zakelijke behoeften en beveiligingseisen moeten zijngedocumenteerd.• Zorg dat het inrichtingsdocument/ontwerp onderdeel is van hetproces wijzigingsbeheer.• Zorg voor een actueel overzicht van service accounts.• De data die door webapplicatie(s) wordt aangeboden, moet zijngeclassificeerd.• Iedere webapplicatie heeft een eigenaar (verantwoordelijke)

Infra-proces Hosting-partij Hetnetwerksegmentmet de DigiDwebservers

De focus ligt op het beheerproces(sen). Dit betreftenerzijds toegang tot de DigiD-applicatie (naast de DigiDgeauthenticeerde gebruikers) en anderszijds toegang totDigiD webservers, de routers en de firewalls.Aandachtpunten hierbij zijn wachtwoordinstellingen,joiners/movers/leavers, administrator accounts, sharedaccounts en periodieke review.

Interview met de verantwoordelijke functionarissen,beoordeling van documentatie, inspectie van configuratiedocumentatie, inspectie van periodieke reviews en gerichtedeelwaarnemingen .

B0-13 Voorkom misbruik van ‘oude’ en niet meergebruikte websites en/of informatie.

Hoog Algemene beveiligingsrichtlijnen • Overzicht van websites die operationeel zijn inclusief de eigenaar vande websites.

• (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer.• (P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg dat ditoverzicht onderdeel is van het proces wijzigingsbeheer.• (P) Iedere website heeft een eigenaar.• (P) Voer periodiek controles uit of de operationele websites nog worden gebruikt en/ofinformatie bevat die kan worden verwijderd.

• De procedure aangaande het afvoeren/verwijderen van niet (meer)gebruikte websites en/of informatie verder uit te breiden en ook voorwebsites buiten de scope van de DigiD audit eigenaren te benoemen.

Governance Houder DigiD aansluiting DigiD-webservers Deze beveiligingsrichtlijn dient procesmatig te wordenbenaderd. Er dient een overzicht (of CMDB) zijn van dewebsites. Elke website moet een eigenaar hebben dieverantwoordelijk is dat niet meer gebruikte websites en/ofinformatie die niet meer wordt gebruikt wordt verwijderd.Daarnaast dient minimaal jaarlijks een controle te wordenuitgevoerd of de operationele websites nog worden gebruikten/of informatie bevat daadwerkelijk is verwijderd.

Interviews met verantwoordelijke functionarissen, inspectievan de CMDB, inspectie van de laatste controle op derelevantie van de website en/of informatie op de website enanalyse van de uitkomsten van penetratietesten.

NCSC Norea

B0-14 Het handhaven van het beveiligingsniveau,wanneer de verantwoordelijkheid voor deontwikkeling van de webapplicatie en/ofbeheer van de webapplicatie is uitbesteedaan een andere organisatie.

Hoog Algemene beveiligingsrichtlijnen • De overeenkomst.• Rapportages van de dienstleverancier over de geleverdedienstverlening• Mits van toepassing: Rapportages over uitgevoerde audits, tests,certificeringen.

• (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement (SLA)of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijnvastgelegd en op het juiste (organisatorische) niveau is vastgesteld/geaccordeerd.• (P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in deovereenkomst zijn opgenomen.

• Zorg voor rapportages van de dienstleverancier over de geleverdedienstverlening

Governance Houder DigiD aansluiting Softwareleverancier en hosting-partij

Aandachtspunten die in de overeenkomst geadresseerdmoeten worden zijn beschreven in de ICT-Beveiligingsrichtlijnen voor webapplicaties deel 2 vanNCSC.

Interviews met verantwoordelijke functionarissen enbeoordeling van de overeenkomsten met leveranciers.

B1-1 Voorkom of beperk de risico’s van eenaanval door het scheiden vancomponenten waaraan verschillendebeveiligingsniveaus(betrouwbaarheidseisen) worden gesteld.

Voorkom rechtstreekse toegang tot hetinterne netwerk vanaf het internet door hettoepassen van compartimentering en hetcontroleren van de verkeersstromentussen deze compartimenten.

Hoog Netwerkbeveiliging • Het DMZ-inrichtingsdocument/ontwerp waarin minimaal deaandachtspunten zijngeadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijnonderbouwd en op het juiste (organisatie)niveau zijn verantwoord.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.• (C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld.• (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

• De plaatsing van servers en aansluiting van internenetwerkcomponenten en netwerkkoppelingen met externe netwerkenzijn duidelijk en schematisch gedocumenteerd, zodat de werking vande ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goedkunnen worden bepaald.• De volgende aandachtspunten moeten worden geadresseerd in hetDMZ-inrichtingsdocument/ontwerp:o Welke webapplicaties worden ontsloten?o Welke informatie mag in de DMZ worden opgenomen?o Welke ondersteunende applicaties zijn noodzakelijk?o Welke compartimenten, koppelvlakken en verkeersstromen tussende compartimenten zijn noodzakelijk?o Welke IP-adressen worden gebruikt (NAT, DHCP)?o Welke vaste routepaden om het verkeer door de DMZ te routerenkunnen worden toegepast?o Welk uitgaand verkeer vanaf de webserver is noodzakelijk?o Zijn aansluitvoorwaarden opgesteld?• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste(organisatie)niveau vastgesteld.

Infra-proces Hosting-partij De DemilittarisedZone (DMZ) waarde DigiDapplicatie zichbevindt

Door middel minimaal van 2 (virtuele) firewalls wordenverkeersstromen tussen het internet, de (web)applicaties inhet DMZ en het interne netwerk tot een minimum beperkt.

Interviews met verantwoordelijke functionarissen, inspectievan netwerkschema's, inspectie van configuratiefiles enanalyse van de uitkomsten van penetratietesten.

B1-2 Voorkom dat misbruik kan wordengemaakt van de beheervoorzieningenvanaf het internet.

Hoog Netwerkbeveiliging • Het DMZ-inrichtingsdocument/ontwerp met daarin minimaal deaandachtspuntengeadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp- en inrichtingskeuzes moeten zijnonderbouwd en op het juiste (organisatie)niveau zijn verantwoord.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.• (C) Vaststellen dat de verkeersstromen tussen beheer en productieverkeer gescheidenzijn.

• De plaatsing van servers en aansluiting van internenetwerkcomponenten en netwerkkoppelingen met externe netwerkenzijn duidelijk en schematisch gedocumenteerd, zodat de werking vande ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goedkunnen worden bepaald.• De volgende aandachtspunten moeten worden geadresseerd in hetDMZ-inrichtingsdocument/ ontwerp:o Welke ondersteunende beheerapplicaties zijn noodzakelijk?o Welke compartimenten, koppelvlakken en verkeersstromen tussende compartimenten zijn noodzakelijk in verband met het beheer?o Hoe wordt de storage en back-up infrastructuur ontsloten?o Welke vaste routepaden om het verkeer door de DMZ te routerenkunnen worden toegepast?o Welke beheermechanismen worden toegepast?o Hoe krijgen beheerders toegang tot het beheergedeelte?• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste(organisatie)niveau vastgesteld.

Infra-proces Hosting-partij De DemilittarisedZone (DMZ) waarde DigiDapplicatie zichbevindt

Door middel van fysieke scheiding, VPN verbindingen ofVLANs is beheer en productieverkeer van elkaargescheiden.

Interviews met verantwoordelijke functionarissen, inspectievan netwerkschema's, inspectie van configuratie files enanalyse van de uitkomsten van penetratietesten.

B1-3 Voorkom (nieuwe) beveiligingsrisico’somdat de webapplicaties ook bereikbaarmoeten zijn vanaf het interne netwerk voorgebruikers binnen de organisaties.

Hoog Netwerkbeveiliging • Het DMZ-inrichtingsdocument/ontwerp met daarin minimaal deaandachtspuntengeadresseerd zoals benoemd bij de vereiste succescriteria.

• (P) De inrichting van de DMZ is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principes geldenvoor de toepassing van de DMZ. Deze ontwerp en inrichtingskeuzes moeten zijnonderbouwd en op het juiste (organisatie)niveau zijn verantwoord.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.• (C) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiek is.

• De plaatsing van servers en aansluiting van internenetwerkcomponenten en netwerkkoppelingen met externe netwerkenzijn duidelijk en schematisch gedocumenteerd, zodat de werking vande ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goedkunnen worden bepaald.• De volgende aandachtspunten moeten worden geadresseerd in hetDMZ-inrichtingsdocument/ ontwerp:o Hoe verloopt de interne/externe routering van webverkeer?o Welke vaste routepaden om het verkeer door de DMZ te routerenkunnen worden toegepast.o Welke beheermechanismen worden toegepast.• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste(organisatie)niveau vastgesteld.

Infra-proces Hosting-partij DMZ Het netwerkverkeer tot de DigiD webservers dient op degelijke wijze te worden gefilterd als verkeer vanuit hetexterne netwerk.

Interviews met verantwoordelijke functionarissen, inspectievan netwerkschema's, inspectie van configuratie files enanalyse van de uitkomsten van penetratietesten.

B2-1 Voorkom misbruik vanbeheervoorzieningen.

Hoog Netwerkbeveiliging • Procedurebeschrijving met betrekking tot beheermechanismen. • (P) Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld.Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheer isbijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar die draait oppoort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘security throughobscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg of laatontdekken, en erin slagen om deze te misbruiken.• (C) Vaststellen dat de beheermechanismen in het ontwerpdocument geïmplementeerdzijn.

Infra-proces Hosting-partij Hetnetwerksegmentmet de DigiDwebservers -DMZ

Dit betreft het gebruik van veilige netwerkprotocollen,beheerinterfaces via het internet uitsluitend door middel vanstrong authentication te benaderen zijn en er geen gebruikwordt gemaakt van backdoors om de systemen tebenaderen (ook niet voor noodtoegang).

Interviews met verantwoordelijke functionarissen,beoordeling van de procedurebeschrijving met betrekkingtot beheermechanismen, inspectie van configuratie files enanalyse van de uitkomsten van penetratietesten.

B3-1 Voorkom het verlies, wijziging of misbruikvan gegevens door onbetrouwbare(malafide) invoer. Voorkom dat deapplicatielogica wordt beïnvloed.

Hoog Applicatiebeveiliging Het vaststellen is goed mogelijk, als je betrokken bent bij hetontwikkeltraject en/ofbeschikt over de broncode van de programmatuur, door het uitvoerenvan code reviews.

Penetratietest• Beschikken over de broncode van de programmatuur.Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-request opbasis van ongewenste invoer:• (C) Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL, queryparameters, form parameters, cookies, HTTP-headers, XML en bestanden.• (C) De webapplicatie voert deze validatie uit op basis van:o Typecontrole (bijvoorbeeld string of integer).o Lengtecontroleo Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie)o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘a-z’)• (C) In het geval de invoer niet voldoet aan één of meerdere van bovenstaande controles,weigert de webapplicatie deze invoer.

Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request opbasis van ongewenste invoer:• (C) De webapplicatie filtert de invoer op basis van:o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’)o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’)o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’)• (C) De filtering is toegespitst op de programmaonderdelen waarin de invoer wordtverwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijnandere filters vereist dan voor het samenstellen van een LDAP-query.• (C) In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van deblacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoer verderte gebruiken binnen de webapplicatielogica.

De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt:• (C) De webapplicatie voert escaping uit op de invoer na het toepassen van whitelists eneventueel blacklists.• (C) De escaping is toegespitst op de programmaonderdelen waarin de invoer wordtverwerkt.

Appli-scan Softwareleverancier DigiD applicatie Validaties van de HTTP-request omvatten onder meer hettype, lenge en formaat van de invoer, maar ook de XMLprotocollen als JSON SOAP REST.

Observatie van de webpagina's van de DigiD applicatie engebruik van tooling om de verschillende invoermethodes teidentificeren. Gerichte deelwaarneming op invoerveldenwaarbij, met behulp van een applicatie scanning tools devalidatie aan de server zijde van de verschillendeinvoermethodes wordt getest. Hierbij zou gebruik kunnenworden gemaakt van de penetratietest (zie ook B0-8).

B3-2 Valideer de initiator van een HTTP-requestteneinde te voorkomen datkwaadwillenden transacties uit naam vaneen valide gebruiker uitvoeren.

Hoog Applicatiebeveiliging • Het is niet mogelijk om een cookie te gebruiken vanaf een IP-adresanders dan hetIP-adres aan wie het cookie verstrekt is.• Het is niet mogelijk om transacties voor gevalideerde gebruikers uitte voeren vanaf eenandere website dan de website waarop de gebruiker is gevalideerd.• Het vaststellen is goed mogelijk, als je betrokken bent bij hetontwikkeltraject en/ofbeschikt over de broncode van de programmatuur, door het uitvoerenvan code reviews.

Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde isverstuurd.• (C) Voor onderdelen van de webapplicatie waarmee transacties door een gevalideerdegebruiker kunnen worden uitgevoerd:o Zijn formulierpagina’s voorzien van een dynamisch token;o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-headerovereenkomt met de URL van de betreffende webapplicatie.

Appli-scan Softwareleverancier DigiD applicatie De web applicatie moet ervoor zorgen dat er verdedigingtegen Cross Site Request Forgery (CSRF) en horizontaleen verticale escalatie privileges is ingebouwd. Tevensspreekt NCSC in deze controle van IP adres koppelen aansessies/cookies. Echter, dit laatste wordt niet toegepastdoor industrie en kan achterwege worden gelaten.

Gerichte deelwaarneming op webpagina's (change staterequest) waarbij, met behulp van een applicatie scanningtools, waarbij de mogelijkheid tot CSRF wordt getest.Hierbij zou gebruik kunnen worden gemaakt van depenetratietest (zie ook B0-8).

B3-3 Normaliseer alle invoerdata voor deze tevalideren om te voorkomen datfilteringmechanismen ongewenstepatronen niet herkennen.


Penetratietest• Beschikken over de broncode van de programmatuur.Voorbeelden van normalisatie zijn:• (C) Omzetten van NULL karakters naar spaties.• (C) Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8).• (C) Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.• (C) Verwijderen van overbodige spaties en regeleinden.• (C) Verwijderen van onnodige witruimtes.• (C) Omzetten van backslashes naar forward slashes• (C) Omzetten van mixed case strings naar lower case strings.

Appli-scan Softwareleverancier DigiD applicatie De webapplicatie normaliseert invoerdata voor validatiewaaronder non-printable tekens, null-byte injection, XPathinjection en Code injection.

Gerichte deelwaarneming op invoervelden met behulp vaneen applicatie scanning tools waarbij de normalisatie aan deserver zijde wordt getest. Hierbij zou gebruik kunnenworden gemaakt van de penetratietest (zie ook B0-8).

B3-4 Codeer dynamische onderdelen van deuitvoer zodat er geen ongewenste tekensin de uitvoer terecht komen.


Penetratietest• Beschikken over de broncode van de programmatuur.

Appli-scan Softwareleverancier DigiD applicatie Om deze beveiligingsrichtlijn vollledig te testen is eensource code review nodig. Hier is niet voor gekozen voor deDigiD ICT-beveiligingsassessment. Een indirect testhiervoor is het invoeren van speciale karakters (zoals < > ' "& /) en de uitvoer te analyseren.

Gerichte deelwaarneming op invoervelden met behulp vaneen applicatie scanning tools waabij de verwerking vanspeciale karakters aan de server zijde wordt getest. Hierbijzou gebruik kunnen worden gemaakt van de penetratietest(zie ook B0-8).

B3-5 Verklein de kans op SQL-injectieaanvallen.


Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De webapplicatie maakt gebruik van geparameteriseerde queries bij het benaderenvan databases.

Appli-scan Softwareleverancier DigiD applicatie Om deze beveiligingsrichtlijn vollledig te testen is eensource code review nodig. Hier is niet voor gekozen voor deDigiD ICT-beveiligingsassessment. Een indirect testhiervoor is met SQL injection.

Gerichte deelwaarneming op invoervelden met behulp vaneen applicatie scanning tools waarbij de SQL injectie aande server zijde worden getest. Hierbij zou gebruik kunnenworden gemaakt van de penetratietest (zie ook B0-8).

B3-6 Voorkom dat controles kunnen wordenomzeild.


Penetratietest• Beschikken over de broncode van de programmatuur.• (C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is een equivalentaanwezig aan de serverzijde.

Appli-scan Softwareleverancier DigiD applicatie Afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4en B3-5

B3-7 Voorkom dat ongewenste bestandenworden geïncorporeerd in eenwebapplicatie.


Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De webapplicatie maakt geen gebruik van dynamische file includes.

Appli-scan Softwareleverancier DigiD applicatie Om deze beveiligingsrichtlijn volledig te testen is eensource code review nodig. Hier is niet voor gekozen voor deDigiD ICT-beveiligingsassessment. Een indirecte testhiervoor is het testen op file includes als php, phpx, asp,aspx, jsp, jhtml, py en pl. Daarnaast vormen ook fileuploads met code een risico, zoals .bat .com .exe .vbs .bas.so files die getest moeten worden.

Observatie van de webpagina's van de DigiD applicatie engebruik van tooling om de file uploads te identificeren.Gerichte deelwaarneming op file uploads waarbi hetuploaden van mogelijk ongeschikte file type wordt getest.Hierbij zou gebruik kunnen worden gemaakt van depenetratietest (zie ook B0-8).

B3-15 Testen of er kwetsbaarheden in dewebapplicatie bestaan.

Hoog Applicatiebeveiliging Documentatie waaruit blijkt:• dat er een blackbox scan is uitgevoerd.• de bevindingen/rapportage van de blackbox scan.• plan met daarin de activiteiten die worden uitgevoerd (wie, wat enwanneer) indiengeïmplementeerde maatregelen niet aan de gestelde eisen en/ofverwachtingen hebbenvoldaan of tekortkomingen hebben opgeleverd.

Penetratietest• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.

Wanneer blackbox scans?Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is:• De frequentie dient vastgesteld te worden op basis van het risicoprofiel.• In de acceptatiefase van een nieuw systeem of een nieuwe applicatie.• Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie.• Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuweinbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1).• Als er een andere reden is om te denken dat de beveiliging van een systeem minder goedis dan gedacht.

Opvolging• Er moet actie worden ondernomen indien geïmplementeerde maatregelen niet voldoenaan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

• Zorg voor afspraken, met de leverancier, over het uitvoeren van eenblackbox scan.

Appli-scan Softwareleverancier DigiD applicatie Afgedekt bij het testen van maatregelen B0-8

B3-16 Voorkom dat cookie communicatie kanworden afgeluisterd. Voorkom dat cookiesgestolen kunnen worden via cross sitescripting.

Hoog Applicatiebeveiliging • Code review.• Code principes (programmeer conventies).• Documentatie.

Penetratietest(P) Het set cookie command bevat de secure flag en de HTTPOnly flag.

Appli-scan Softwareleverancier DigiD applicatie Verifieer dat alle sessie cookies ‘HttpOnly’ en ‘Secure’Identificeer de cookies en inspecteer het ‘HttpOnly’ en‘Secure’ van de cookies. Hierbij zou gebruik kunnenworden gemaakt van de penetratietest (zie ook B0-8).

B5-1 Doelmatig gebruik van cryptografischetechnieken door het beheren vancryptografische sleutels.

Hoog Vertrouwelijkheid en onweerlegbaarheid • Procedure en procesbeschrijving rondom het beheer van certificaten.• inrichtingsdocument/ontwerp.

• (P) Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd.o Hoe worden sleutels gegenereerd voor verschillende toepassingen?o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen?o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikerstoegang tot sleutels kunnen krijgen?o Hoe het wijzigen of actualiseren van sleutels moet geschieden?o Hoe wordt omgaan met sleutels die zij gecompromitteerd?o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd?o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn?o Hoe sleutels worden gearchiveerd?o Hoe sleutels worden vernietigd?o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd?o Welke minimale sleutellengtes moeten worden toegepast?o Welke encryptie-algoritmen moeten worden toegepast?• (P) Het inrichtingsdocument/ontwerp:o heeft een eigenaar.o is voorzien van een datum en versienummer.o is actueel.o is op het juiste niveau geaccordeerd.o maakt onderdeel uit van het standaard wijzigingsbeheerproces.• (P) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnenworden geëxporteerd.

Infra-proces Hosting-partij DigiDinfrastructuur

De prive sleutels behorende bij de de SSL certificatenmogen niet onversleuteld op de server zijn opgeslagen.

Interview met de verantwoordelijke functionarissen,beoordeling van documentatie en observeer dat privesleutels niet oversleuteld op de server staan.

B5-2 Voorkom misbruik van (vertrouwelijke)gegevens die tijdens transport zijnonderschept.

Hoog Vertrouwelijkheid en onweerlegbaarheid • In de ontwerp- c.q. configuratie documentatie is vastgelegd hoe dewebserver isgeconfigureerd met betrekking tot versleutelde verbindingen(SSL/TLS).• De zakelijke behoeften en beveiligingseisen. Rapportage van derisicoanalyse waarop debeslissing is gebaseerd.• Configuratie van de webserver

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp, waarin isvastgelegd welke uitgangspunten gelden voor de toepassing van versleutelde verbindingen(SSL/TLS):o waarom worden verbindingen door middel van SSL beveiligd;o welke verbindingen worden door middel van SSL beveiligd;o periodieke controle op het gebruik van SSL verbindingen.• (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een (contact)formulier wordt opgevraagd.

Infra-proces Softwareleverancier DigiD applicatie Alle gevoelige (zoals in het kader van de WBS) informatiemoet via een versleutelde verbinden worden verzonden. Bijvoorkeur zou na de DigiD authenticatie de hele sessie vieeen versleutelde verbinding moeten plaats vinden.

Observeer het protocol van de verbinding bij het verwerkenvan gevoelige gegevens. Evalueer de kwaliteit van encryptiemet de industrie standaards.

B5-3 Voorkom misbruik van opgeslagenvertrouwelijke gegevens.

Hoog Vertrouwelijkheid en onweerlegbaarheid (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.• (P) Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave van degevonden issues, de classificaties en de correctieve handelingen ondernomen).

Infra-proces Houder DigiD aansluiting, softwareleverancier DigiD applicatie De organisatie moet zelf een analyse uitvoeren om tebepalen wat gevoelige gegevens zijn. Gedacht moetworden aan gevoelige gegevens in het kader van de WBPen anderzijds wachtwoorden en dergelijke.

Interview met de verantwoordelijke functionaris, beoordelingvan documentatie en observeer dat gevoelige gegevensversleuteld zijn opgeslagen.

B5-4 Voorkom dat kwaadwillende de inhoud vancookies kunnen inzien en/of aanpassen,zodat de vertrouwelijkheid en integriteitvan de inhoud van het cookie wordtgewaarborgd.

Hoog Vertrouwelijkheid en onweerlegbaarheid • Beleidsdocument• Procedurebeschrijving

• (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn.• (P) Er moeten procedures zijn met betrekking tot het beheren van cookies.• (C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

Appli-scan Softwareleverancier DigiD applicatie Sessiecookies moeten worden versleuteld Observeer of tijdens het aanmaken van een cookie eenbeveiligde verbinding wordt gebruikt

B7-1 Detecteren van aanvallen opwebapplicaties.

Hoog Monitoring, auditing en alerting • In de ontwerp- c.q. configuratie documentatie is vastgelegd waar enhoe IDS’en wordeningezet.• De zakelijke behoeften en maatregelen. Rapportage van derisicoanalyse waarop debeslissing is gebaseerd.• Plan met daarin de activiteiten die worden uitgevoerd (wie, wat enwanneer) indienlog records op kwaadwillend misbruik, duiden geïmplementeerdemaatregelen nietaan de gestelde eisen en/of verwachtingen hebben voldaan oftekortkomingen hebbenopgeleverd.

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerp waarinis vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren.


Intrusion detection systeem moet zijn geïnstalleerd eningericht en er dient een beheerprocedure te zijn ingericht

Interview met de verantwoodelijke functionarissen,inspectie van inrichtingsdocumentatie en inspectie vanfollow-up acties naar aanleiding van alerts

B7-8 Het detecteren van misbruik eninbraakpogingen.

Hoog Monitoring, auditing en alerting • Procedurebeschrijving met daarin beschreven hoe en wanneercontroles op loggingmoeten plaatsvinden en hoe taken op dit gebied belegd zijn.• Plan met daarin de activiteiten die worden uitgevoerd (wie, wat enwanneer) indienlog records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen nietaan de gestelde eisen en/of verwachtingen hebben voldaan oftekortkomingen hebbenopgeleverd.

• (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneercontroles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren.


De controle op de logging zou met name gericht moetenzijn op de ondersteuning van het change managementprocess. Wijzigingen op de infrastructuur,netwerkconfiguratie en applicatie moeten wordengesignaleerd en zodat geverifieerd kan worden datwijzigingen op de juiste wijze door het wijzigingsproces zijngegaan.

Interview met de verantwoordelijke functionarissen,beoordeling van procedurebeschrijving, inspectie vanrapportages uit de logging en inspectie van follow-up actiesnaar aanleiding van incidenten

B7-9 Het managen van de informatiebeveiligingbinnen de organisatie

Hoog Monitoring, auditing en alerting • Procedurebeschrijving hoe functies en verantwoordelijkheden voorde beveiliging worden toegewezen.• Overzicht welke functies en verantwoordelijkheden aan wie zijntoegekend.• Plan met daarin de activiteiten die worden uitgevoerd (wie, wat enwanneer) indien log records op kwaadwillend misbruik duiden,geïmplementeerde maatregelen niet aan de gestelde eisen en/ofverwachtingen hebben voldaan of tekortkomingen hebben opgeleverd.

• Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijn toegekend.• Er moet overeenstemming over de benodigde methodologieën en processen wordenbereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem.• Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren en;o Er dient een informatiebeveiligingsplan opgesteld te worden.o Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectie enresponse inzake beveiligingsincidenten.

Governance Houder DigiD aansluiting, softwareleverancier, hosting-partij

Informatiebeveiliging binnen deorganisatie

De governance-scope moet breed worden geïnterpreteerden niet uitsluitend in het kader van DigiD

Interview met de verantwoordelijke functionarissen enbeoordeling van documentatie

Bijlage F - Final NormenkaderNr enbeveiligingslaag

Norm Doelstelling Must haves (obv conform. eisen) Should haves (obv conform. eisen) Commentaar Edwin van Egmond

B0-5 (B0-6 inICT-beveiligingsrichtlijnen)

Alle wijzigingen worden altijdeerst getest voordat deze inproductie worden genomenen worden viawijzigingsbeheerdoorgevoerd.

Het garanderen van een correcte en veiligewerking van ICT-voorzieningen door het opeen gecontroleerde manier doorvoeren vanwijzigingen.

• (P) Zorg voor een procesbeschrijving van wijzigingsbeheer en dat dit proces effectiefis geïmplementeerd.• (P) Alle wijzigingen worden op een gestructureerde wijze geregistreerd.• (P) Er is vastgelegd welke functionarissen wijzigingen mogen aanvragen.• (P) Er worden alleen geautoriseerde wijzigingsverzoeken (Request for Change(RFC)) in behandeling genomen.• Van alle wijzigingen wordt een impactanalyse uitvoerd en vastgesteld.• (P) Gerealiseerde wijzigingen worden voor implementatie getest.• (R) Wijzigingen worden geëvalueerd, waarbij in elk geval vastgesteld wordt of dewijziging niet tot incidenten heeft geleid.• (P) Voor elke wijziging is een terugvalscenario (fallback) opgesteld, denk hierbij aanbeheersprocedures en verantwoordelijkheden bij uitvoering van het terugvalscenario.

Ontwikkel (indien in huis wordt ontwikkeld), test, (acceptatie) en productieomgeving(OT(A)P):• (C) Zorg voor een gescheiden ontwikkel-, test- (, acceptatie-) en productieomgeving(OT(A)P).• (P) Zorg dat procedures zijn gedocumenteerd en vastgesteld voor het overdragenvan de ene naar de andere omgeving (van ontwikkel naar test, van test naar acceptatieen van acceptatie naar productie).

Webapplicaties worden getest voordat deze in de productie worden genomen:• (P) Voor nieuwe systemen, upgrades en nieuwe versies moeten acceptatiecriteria zijnvastgesteld.• (P) Wijzigingen worden getest voordat deze in productie worden genomen.• (P) Er zijn procedures opgesteld voor de omvang en diepgang van de tests. Als dewijziging impact heeft op de informatiebeveiliging, is bepaald of er specifiekebeveiligingstests uitgevoerd moeten worden (bijvoorbeeld penetratietests (ziemaatregel B0-8), code reviews (zie maatregel B3-14) et cetera).

• (P) Alle procedures, werkinstructies en netwerk diagrammen moeten periodiekgeupdate worden en lopen via het change management procedure.

• Zorg dat configuratiebeheer is ingericht.• Er bestaat een actueel en volledig overzicht van wijzigingen met betrekking tot de(beveiligings)instellingen van de ICT-infrastructuur.• Van alle wijzigingen wordt de impact met betrekking tot informatiebeveiliging vastgesteld.• Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent.Bijvoorbeeld een beslissingsforum (Change Advisory Board (CAB))• De voortgang van de afhandeling van wijzigingen wordt bewaakt.• Realisatie en implementatie van wijzigingen worden gepland en deze planningsgegevensworden gepubliceerd (changekalender).

De productieomgeving wordt geaudit op ongeautoriseerde wijzigingen:• Zorg voor een actueel snapshot van de verschillende systemen.• Zorg dat systemen continue worden geaudit tegen de actuele snapshot (detecteren vanwijzigingen).• Zorg dat het overzicht met auditregels (policy) en de snapshots onderdeel zijn van hetproces wijzigingsbeheer.

Webapplicaties worden getest voordat deze in de productie worden genomen:• Penetratietesten maken onderdeel uit van de testen (zie maatregel B0-8).• Als het gaat om standaardsoftware, Software-as-a-Service (SaaS) kan worden gedacht aande volgende aandachtspunten:o Externe certificering van de extern ontwikkelde software.oAfspraken in het contract vastleggen om de software te mogen auditen.oUitvoeren van andere tests, bijvoorbeeld penetratietest (zie maatregel B0-8) of blackboxscan (zie maatregel B3-15), om mogelijke kwetsbaarheden op te sporen.

• Na elke wijziging wordt een vulnerability scan uitgevoerd (zie norm B0-9).

Beschrijf concreet wat de stappen zijn die je verwacht onder hetchange management proces bijvoorbeeld zoals beschreven staat inde PCI requirements (impact analyse, goedkeuring vangeauthoriseerde partij, functionaliteit testen en een back-outprocedure hebben).

Voor webbased applicaties zijn vulnerabilityscans verplicht na hetdoorvoeren van change (PCI recuirements) doordat je wijzigingenaanbrengt kunnen er kwetsbaarheden en bedreigingen ontstaan.

OTAP requirement is niet altijd mogelijk, aangezien voor DigiD deontwikkeling vaak buiten de deur wordt gedaan. Wat je als minimaalvereiste moet hebben is een testen productieserver.

Actuele snapshot van de verschillende systemen is iets wat meer bijbackup moet terugkomen en niet bij change management.

Monitoren van ongeautoriseerde wijzigingen is een tijdrovende zaaken financieel niet haalbaar voor veel organisaties die een DigiDhebben.

Momenteel komt het jaarlijks updaten van de documentatie terug ineen norm. Maak documentatie updaten onderdeel van changemanagement.

Groene tekst= 'should have' maatregel isomgezet naar een 'must have' maatregelBruine tekst= toevoeging van een nieuwegeintroduceerde must have/should have die initieelniet aanwezig was.Rode tekst= maatregel behoort niet bij hetonderwerp.

B0-6 (B0-5 inICT-beveiligingsrichtlijnen)

Maak gebruik van eenhardeningsproces, zodat alleICT-componenten zijngehard tegen aanvallen.

Het tot een minimum beperken van de kansdat onnodige faciliteiten op een systeemworden misbruikt.

• (P) Zorg voor een beschrijving van het hardeningsproces en dat dit proces effectief isgeïmplementeerd en dat deze:is en dat dezeo een eigenaar heeft;o een datum en versienummer heeft;o een historie bevat;o actueel is;o geaccordeerd door het management is.• (P) Zorg voor een actueel overzicht van de hoogst noodzakelijke netwerkprotocollenen dat dit overzicht continue wordt onderhouden.• (P) Zorg voor een actueel overzicht van de hoogst noodzakelijk services.

• (P) Zorg voor een beschrijving van de hardening standaard voor alle type systeemcomponenten en dat dit consistent is met de industrie geaccepteerde hardeningstandaard. Deze hardening standaard moet bij nieuwe vulnerabilities geupdate worden.• Afwijkingen moeten worden gedocumenteerd en geaccepteerd door de eigenaar vande webapplicatie en beveiligingsfunctionaris.

• Zorg dat dit overzicht onderdeel is van het proces wijzigingsbeheer.• Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht van hoogstnoodzakelijke netwerkprotocollen.

In deze norm is het element met betrekking tot documentatie van dehardening standaard niet opgenomen. Deze dient conform dewhitepapers van de verschillende componenten leveranciers (bv.Microsoft, Cisco etc) te zijn. Dit soort organisaties hebben al goednagedacht over hoe zulke componenten ingericht moeten worden omze zo veilig mogelijk te maken (denk bijv aan dat een windowsmachine de laatste security update moet bevatten alvorens deze inproductie wordt genomen).Het hardeningsdocument moet bij nieuwe gevonden vulnerabilitiesgeupdate worden.

Afwijkingen moeten gelijk geregistreerd worden als securityincidenten, zodat deze serieus opgepakt worden door de eigenaarvan de webapplicatie of een beveiligingsfunctionaris. Er wordennamelijk te weinig security incidenten geregistreerd.

B0-7 De laatste(beveiligings)patches zijngeïnstalleerd en dezeworden volgens eenpatchmanagement procesdoorgevoerd.

Alle aanwezige software is tijdig voorzien vande laatste versies/patches om mogelijkeuitbuiting van kwetsbaarheden voor te zijn.Op een zo efficiënt mogelijk wijze met zo minmogelijk verstoringen een stabiel (veilig)systeem te creëren.

• (P) Zorg voor een beschrijving van het patchmanagementproces en dat dit proceseffectief is geïmplementeerd.• (P) Er moet een procedure zijn ingericht waarin staat beschreven hoe de organisatieomgaat met updates: hoe snel implementeert de organisatie een kritieke patch, welkestadia moet de patch doorlopen, wie draagt de verantwoordelijkheid, et cetera?

• Zorg dat het patchmanagementproces onderdeel is van het proces wijzigingsbeheer(zie B-05).

• Zorg dat configuratiebeheer is ingericht.• Zorg voor een technische implementatie van een updatemechanisme.

B0-8 Inzicht krijgen en houden in de mate waarineen webapplicatie weerstand kan bieden aanpogingen om het te compromitteren(binnendringen of misbruiken vanwebapplicatie).

• (P) Zorg voor een opdrachtomschrijving, scopedefinitie, planning en kwaliteitseisen.• (P) De resultaten van de pentest worden vastgelegd in een rapportage. Waarbijduidelijk is aangegeven welke informatie de rapportage moet bevatten.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.• (P) Pentests worden niet alleen bij nieuwbouw en bij grote wijzigingen uitgevoerd,maar moeten periodiek (jaarlijks) worden herhaald.

(P) Als het resultaat van een pentest de hoogst mogelijke score heeft behaald danmoet nadat de bevindingen zijn opgelost een nieuwe penetratietest worden uitgevoerd.

Implementeer een methodologie voor penetratietesten die de volgende zaken bevat:Is gebaseerd op een industrie geaccepteerde penetratie test aanpak (bv. NIST SP800-115).- dekking voor de gehele CDE perimeter en kritische systemen.- testen van zowel binnen als buiten het netwerk.- testen om alle segmentaties en scope verkleinende controls te valideren.- de op te nemen applicatielaag penetratietesten, op zijn minst, de huidige industrie bestpractices lijst met kwetsbaarheden (let op: neem altijd de laatste updates van bijvoorbeeld deOWASP Guide, SANS CWE Top 25, CERT Secure Coding, etc.).- de netwerk-laag penetratietests met de componenten die netwerkfuncties evenalsondersteunende besturingssystemen.- reviews en afwegingen van bedreigingen en kwetsbaarheden die in de afgelopen 12maanden zijn geweest.-specificatie van hoe penetratietesten resultaten en remediation resultaten worden behouden.

De methodology van de penetration test moet beschreven worden,dat gaat iets verder als de kwaliteitseisen. Hiermee geef je aan watzijn de kaders van een goede penetratietest.

De penetratietest moet jaarlijks uitgevoerd worden. Als het resultaatvan de pentest grote kwetsbaarheden / bedreigingen (bv. level 5)heeft aangetoond, dan moet na de problemen te hebben opgelost eennieuwe penetratietest gedraaid worden.

B0-9 Vulnerability assessments(security scans) wordenperiodiek uitgevoerd.

Inzicht hebben in de mate waarin de ICT-omgeving bekende kwetsbaarheden enZwakheden bevat, zodat deze waar mogelijkweggenomen kunnen worden.

• (P) Zorg voor een scopedefinitie (denk hierbij aan host- of netwerkgebaseerde VA, teonderzoeken IP-adressen en/of type besturingssysteem), planning en kwaliteitseisen.• (P) Zorg dat de resultaten van de vulnerability assessment worden vastgelegd in eenrapportage, waarbij duidelijk is aangegeven welke informatie de rapportage moetbevatten.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.

• Zorg dat vulnerability assessment periodiek (4x per jaar en na elke wijziging) wordenherhaald.(P) Als het resultaat van een vulnerability scan de hoogst mogelijke score heeftbehaald dan moet nadat de bevindingen zijn opgelost een nieuwe vulnerability scanworden uitgevoerd.

Vulnerability scans zijn goed in (de cloud) te richten, waarbij data ernaar toe wordt verstuurd en na de scan krijgt men een rapport.De scopedefinitie van de vulnerabilitty assessment moet DigiD zijn endan gaat het met name om kwetsbaarheden die van buitenaf komen.De vulnerability scan moet periodiek uitgevoerd worden (kwartaalijksen na grote wijzigingen). Als het resultaat van de vulnerability scangrote kwetsbaarheden / bedreigingen (bv. level 5) heeft aangetoond,dan moet na de problemen te hebben opgelost een nieuwevulnerability scan gedraaid worden.

B0-12 Ontwerp en richtmaatregelen in metbetrekking tottoegangsbeveiliging/toegangsbeheer.

Voorkom ongeautoriseerde toegang totnetwerken, besturingssystemen, informatieen informatiesystemen en -diensten, zodatschade bij misbruik zo beperkt mogelijk is.

• (P) Zorg voor beleid ten aanzien van toegangsbeveiliging (identiteit- entoegangsbeheer).• (P/C) Zorg voor een wachtwoordbeleid en technische maatregelen om sterkewachtwoorden af te dwingen.• (P/C) De inrichting van het identiteiten toegangsbeheer is gebaseerd op eenvastgesteld inrichtingsdocument/ontwerp waarin is vastgelegd welke functies (identiteit-, authenticator, profiel- en toegangsbeheer) waar (centraal/decentraal) wordenuitgevoerd.• (P) Zorg voor een procedurebeschrijving met betrekking tot toegangsbeveiliging vooridentiteit- en toegangsbeheer (autorisaties) voor netwerken, besturingssystemen,informatiesystemen, informatie en -diensten.• (P/A) Zorg voor een actueel overzicht van personen die beheeraccounts hebben endat dit overzicht continue wordt onderhouden.• (P/A) Zorg voor een actueel overzicht van personen die een gebruikersaccounthebben en dat dit overzicht continue wordt onderhouden.• (R) Zorg dat periodiek wordt getoetst of het systeem voldoet aan het overzicht vanpersonen die beheeraccounts hebben.• (P/A) Accounts die de webapplicatie gebruiken, hebben niet meer rechten dan vereistvoor het functioneren van de webapplicatie.• (P/A) Er moeten (actuele) overzichten zijn met alle autorisaties voor de webapplicatie.• (P/R) Er moet een procesbeschrijving zijn voor het controleren van degebruikersaccounts en de bijbehorende autorisaties.• (R) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.• (P) Het inrichtingsdocument/ontwerp:o heeft een eigenaar.o is voorzien van een datum en versienummer.o is actueel.o is op het juiste niveau geaccordeerd.

• De zakelijke behoeften en beveiligingseisen moeten zijn gedocumenteerd.• Zorg dat het inrichtingsdocument/ontwerp onderdeel is van het proces wijzigingsbeheer.• Zorg voor een actueel overzicht van service accounts.• De data die door webapplicatie(s) wordt aangeboden, moet zijn geclassificeerd.• Iedere webapplicatie heeft een eigenaar (verantwoordelijke)

Geen op- of aanmerkingen.

B0-13 Niet (meer) gebruiktewebsites en/of informatiemoet worden verwijderd.

Voorkom misbruik van ‘oude’ en niet meergebruikte websites en/of informatie.

• (P) Zorg voor een procedurebeschrijving met betrekking tot websitebeheer.• (P) Er moet een actueel overzicht zijn van de websites die operationeel zijn. Zorg datdit overzicht onderdeel is van het proces wijzigingsbeheer.• (P) Iedere website heeft een eigenaar.• (P) Voer periodiek controles uit of de operationele websites nog worden gebruikt en/ofinformatie bevat die kan worden verwijderd.

• De procedure aangaande het afvoeren/verwijderen van niet (meer) gebruikte websites en/ofinformatie verder uit te breiden en ook voor websites buiten de scope van de DigiD auditeigenaren te benoemen.

Geen op- of aanmerkingen.

B0-14 Leg afspraken metleveranciers vast in eenovereenkomst.

Het handhaven van het beveiligingsniveau,wanneer de verantwoordelijkheid voor deontwikkeling van de webapplicatie en/ofbeheer van de webapplicatie is uitbesteedaan een andere organisatie.

• (P) Zorg voor een overeenkomst (bijvoorbeeld contract, Service Level Agreement(SLA) of Diensten Niveau Overeenkomst (DNO)) waarin de beveiligingseisen en -wensen zijn vastgelegd en op het juiste (organisatorische) niveau isvastgesteld/geaccordeerd.

(P) Zorg dat de verantwoordelijkheid van de DigiD normen van Logius in deovereenkomst zijn opgenomen.

(P) In de overeenkomst is opgenomen dat de leverancier een compliance verplichtingheeft voor de DigiD normen waar ze verantwoordelijk voor zijn. Dit dient middels eenTPM verklaring aantoonbaar worden gesteld.

• Zorg voor rapportages van de dienstleverancier over de geleverde dienstverlening Als de verantwoordlijkheid van een van de DigiD normen bij deleverancier ligt dan dient men ook in de contract de compliancyverantwoordelijkheid op te nemen. De leverancier dient dan een TPMverklaring af te geven waarin wordt aangegeven dat zij voldoen aande gestelde eisen.

B1-1 Er moet gebruik wordengemaakt van eenDemilitarised Zone (DMZ),waarbij compartimenteringwordt toegepast en deverkeersstromen tussendeze compartimenten wordtbeperkt tot alleen de hoogstnoodzakelijke.

Voorkom of beperk de risico’s van een aanvaldoor het scheiden van componenten waaraanverschillende beveiligingsniveaus(betrouwbaarheidseisen) worden gesteld.

Voorkom rechtstreekse toegang tot hetinterne netwerk vanaf het internet door hettoepassen van compartimentering en hetcontroleren van de verkeersstromen tussendeze compartimenten.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principesgelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ).Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste(organisatie)niveau zijn verantwoord.• De plaatsing van servers en aansluiting van interne netwerkcomponenten ennetwerkkoppelingen met externe netwerken zijn duidelijk en schematischgedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en deimpact van wijzigingen goed kunnen worden bepaald.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen. (Interne IP adressen dienen geheim teblijven, niemand kan zomaar de routepaden of firewall rules aanpassen.)• (C) Vaststellen dat het netwerk in verschillende compartimenten is opgedeeld.• (C) Vaststellen dat de verkeersstromen tussen de compartimenten worden beperkt.

• De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ontwerp:o Welke webapplicaties worden ontsloten?o Welke informatie mag in de DMZ worden opgenomen?o Welke ondersteunende applicaties zijn noodzakelijk?o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijnnoodzakelijk?o Welke IP-adressen worden gebruikt (NAT, DHCP)?o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen wordentoegepast?o Welk uitgaand verkeer vanaf de webserver is noodzakelijk?o Zijn aansluitvoorwaarden opgesteld?• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveauvastgesteld.

Er moet breder gekeken worden dan alleen naar de DMZ. DMZalleen daartussen zetten is achterhaalde technologie. Het belangrijkstis dat er beveiliging is aangebracht tussen het internet en het interneLAN, daarom moet je naar de gehele infrastructuur kijken. Eennetwerktekening van de gehele infrastructuur moet daarom een musthave zijn om te zien of er globaal voldoende beveiliging aanwezig is.Een schematische weergave van de servers en interne componentennetwerkkoppelingen dient een must have te zijn.De beveiligingsinstellingen zijn belangrijk en dienen zorgvuldigingesteld te worden (zie de aandachtspunten in de should haves).Het is ook belangrijk om de interne IP adressen geheim te houden endat de routepaden of firewall rules niet zomaar aangepast kunnenworden.

B1-2 Beheer- en productieverkeerzijn van elkaar gescheiden.

Voorkom dat misbruik kan worden gemaaktvan de beheervoorzieningen vanaf hetinternet.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principesgelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ).Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste(organisatie)niveau zijn verantwoord.• De plaatsing van servers en aansluiting van interne netwerkcomponenten ennetwerkkoppelingen met externe netwerken zijn duidelijk en schematischgedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en deimpact van wijzigingen goed kunnen worden bepaald.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen. (Interne IP adressen dienen geheim teblijven, niemand kan zomaar de routepaden of firewall rules aanpassen.)• (C) Vaststellen dat de verkeersstromen tussen beheer en productieverkeergescheiden zijn (middels OOB of het zoveel mogelijk dichtzetten dat 1 machine ermaar toegang tot heeft).

• De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp:o Welke ondersteunende beheerapplicaties zijn noodzakelijk?o Welke compartimenten, koppelvlakken en verkeersstromen tussen de compartimenten zijnnoodzakelijk in verband met het beheer?o Hoe wordt de storage en back-up infrastructuur ontsloten?o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen wordentoegepast?o Welke beheermechanismen worden toegepast?o Hoe krijgen beheerders toegang tot het beheergedeelte?• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveauvastgesteld.

Maak gebruik van de Out of Bounce (OOB) om misbruik van debeheervoorzieningen vanaf het internet te voorkomen. Een gedeeltewaar alleen beheerders bij kunnen. En alleen vanuit deze kant kun jevanaf de achterkant de management poorten en andere zakenbeheren.Een schematische weergave van de servers en interne componentennetwerkkoppelingen dient een must have te zijn.Voor kleinere organisaties die geen OOB kunnen inzetten, moet alleszo veel mogelijk dichtzetten middels rule sets en dat alleen 1 machineerbij kan.Alle beheerapplicaties moeten op een plek staan en de toegang moetalleen voor beheerders zijn.

B1-3 Netwerktoegang tot dewebapplicaties is voor allegebruikersgroepen op eenzelfde wijze ingeregeld.

Voorkom (nieuwe) beveiligingsrisico’s omdatde webapplicaties ook bereikbaar moeten zijnvanaf het interne netwerk voor gebruikersbinnen de organisaties.

• (P) De inrichting van de hele infrastructuur (DMZ) is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegd welke uitgangspunten/principesgelden voor de toepassing om het interne netwerk te beveiligen (zoals van de DMZ).Deze ontwerp- en inrichtingskeuzes moeten zijn onderbouwd en op het juiste(organisatie)niveau zijn verantwoord.• De plaatsing van servers en aansluiting van interne netwerkcomponenten ennetwerkkoppelingen met externe netwerken zijn duidelijk en schematischgedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en deimpact van wijzigingen goed kunnen worden bepaald.• (P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodaniggedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is(verantwoording en onderbouwing). Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.• (C) Vaststellen dat netwerktoegang tot de webapplicatie voor alle gebruikers identiekis (via 1 externe toegangspoort).

• De volgende aandachtspunten moeten worden geadresseerd in het DMZ-inrichtingsdocument/ ontwerp:o Hoe verloopt de interne/externe routering van webverkeer?o Welke vaste routepaden om het verkeer door de DMZ te routeren kunnen wordentoegepast.o Welke beheermechanismen worden toegepast.• Het DMZ-inrichtingsdocument/ontwerp is actueel en op het juiste (organisatie)niveauvastgesteld.

Hier is het belangrijk dat iedereen vanaf 1 punt toegang krijgt tot deapplicatie voor zowel intern als extern om de beveiligingsrisico's teminimaliseren. Geef daarom iedereen toegang om vanuit 1 kant dieserver te benaderen.Een schematische weergave van de servers en interne componentennetwerkkoppelingen dient een must have te zijn.

B2-1 Maak gebruik van veiligebeheermechanismen.

Voorkom misbruik van beheervoorzieningen. • (P) Zorg dat procedures met betrekking tot beheermechanismen zijn vastgesteld.Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Een backdoor voor beheeris bijvoorbeeld een beheerinterface waarvoor geen authenticatie nodig is maar diedraait op poort 8888 en daardoor moeilijk te ontdekken zou moeten zijn (‘securitythrough obscurity’). De kans is echter groot dat kwaadwillenden backdoors vroeg oflaat ontdekken, en erin slagen om deze te misbruiken.• (C) Vaststellen dat de beheermechanismen in het ontwerpdocumentgeïmplementeerd zijn.

Maak een aparte segment aan met een out of bounce en eentoolserver voor de beheertools hierdoor kun je alleen vanaf hiertoegang krijgen tot de managementpoorten en voorkom je misbruikvan de beheervoorzieningen.

B3-1 De webapplicatie valideert deinhoud van een HTTP-request voor die wordtgebruikt.

Voorkom het verlies, wijziging of misbruik vangegevens door onbetrouwbare (malafide)invoer. Voorkom dat de applicatielogica wordtbeïnvloed.

Penetratietest• Beschikken over de broncode van de programmatuur.Onderstaande criteria gelden voor het valideren van de inhoud van een HTTP-requestop basis van ongewenste invoer:• (C) Validatie vindt plaats op in ieders geval dynamische onderdelen van de URL,query parameters, form parameters, cookies, HTTP-headers, XML en bestanden.• (C) De webapplicatie voert deze validatie uit op basis van:o Typecontrole (bijvoorbeeld string of integer).o Lengtecontroleo Formaatcontrole (op basis van bijvoorbeeld een reguliere expressie)o Controle op valide karakters (bijvoorbeeld alleen ‘A-Z’ en ‘a-z’)• (C) In het geval de invoer niet voldoet aan één of meerdere van bovenstaandecontroles, weigert de webapplicatie deze invoer.

Onderstaande criteria gelden voor het filteren van de inhoud van een HTTP-request opbasis van ongewenste invoer:• (C) De webapplicatie filtert de invoer op basis van:o Malafide sleutelwoorden (bijvoorbeeld ‘DROP’ of ‘ rm ’)o Malafide tekens (bijvoorbeeld ‘’’ of ‘’’)o Malafide patronen (bijvoorbeeld ‘/**/’ of ‘..\..\’)• (C) De filtering is toegespitst op de programmaonderdelen waarin de invoer wordtverwerkt. Bij het gebruik van invoer voor het samenstellen van een databasequery zijnandere filters vereist dan voor het samenstellen van een LDAP-query.• (C) In het geval de invoer één of meerdere sleutelwoorden, tekens of patronen van deblacklist bevat, verwijdert de webapplicatie deze uit de invoer alvorens deze invoerverder te gebruiken binnen de webapplicatielogica.

De volgende risicovolle karakters uit de invoer worden ‘onschadelijk’ gemaakt:• (C) De webapplicatie voert escaping uit op de invoer na het toepassen van whitelistsen eventueel blacklists.• (C) De escaping is toegespitst op de programmaonderdelen waarin de invoer wordtverwerkt.

Deze punten horen allemaal bij de penetratietest.Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt,dan dekken de elementen het beoogde risico al niet meer.

B3-2 De webapplicatie controleertvoor elk HTTP verzoek of deinitiator geauthenticeerd isen de juiste autorisatiesheeft.

Valideer de initiator van een HTTP-requestteneinde te voorkomen dat kwaadwillendentransacties uit naam van een valide gebruikeruitvoeren.

Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde isverstuurd.• (C) Voor onderdelen van de webapplicatie waarmee transacties door eengevalideerde gebruiker kunnen worden uitgevoerd:o Zijn formulierpagina’s voorzien van een dynamisch token;o Accepteert de webapplicatie alleen verzoeken waarbij de inhoud van de Referer-header overeenkomt met de URL van de betreffende webapplicatie.


B3-3 De webapplicatienormaliseert invoerdata voorvalidatie.

Normaliseer alle invoerdata voor deze tevalideren om te voorkomen datfilteringmechanismen ongewenste patronenniet herkennen.

Penetratietest• Beschikken over de broncode van de programmatuur.Voorbeelden van normalisatie zijn:• (C) Omzetten van NULL karakters naar spaties.• (C) Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8).• (C) Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.• (C) Verwijderen van overbodige spaties en regeleinden.• (C) Verwijderen van onnodige witruimtes.• (C) Omzetten van backslashes naar forward slashes• (C) Omzetten van mixed case strings naar lower case strings.


B3-4 De webapplicatie codeertdynamische onderdelen inde uitvoer.

Codeer dynamische onderdelen van deuitvoer zodat er geen ongewenste tekens inde uitvoer terecht komen.

Penetratietest• Beschikken over de broncode van de programmatuur.


B3-5 Voor het raadplegen en/ofwijzigen van gegevens in dedatabase gebruikt dewebapplicatie alleengeparametriseerde queries.

Verklein de kans op SQL-injectie aanvallen. Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De webapplicatie maakt gebruik van geparameteriseerde queries bij hetbenaderen van databases.


B3-6 De webapplicatie valideertalle invoer, gegevens die aande webapplicatie wordenaangeboden, aan deserverzijde.

Voorkom dat controles kunnen wordenomzeild.

Penetratietest• Beschikken over de broncode van de programmatuur.• (C) Voor elke controle die de webapplicatie uitvoert aan de clientzijde, is eenequivalent aanwezig aan de serverzijde.


B3-7 De webapplicatie staat geendynamische file includes toeof beperkt de keuzemogelijkheid (whitelisting).

Voorkom dat ongewenste bestanden wordengeïncorporeerd in een webapplicatie.

Penetratietest• Beschikken over de broncode van de programmatuur.• (C) De webapplicatie maakt geen gebruik van dynamische file includes.


B3-15 Een (geautomatiseerde)blackbox scan wordtperiodiek uitgevoerd.

Testen of er kwetsbaarheden in dewebapplicatie bestaan.

Penetratietest• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien geïmplementeerde maatregelen niet voldoen aan de gestelde eisenen/of verwachtingen of tekortkomingen opleveren.

Wanneer blackbox scans?Er kunnen meerdere momenten zijn waarop een blackbox scan zinvol is:• De frequentie dient vastgesteld te worden op basis van het risicoprofiel.• In de acceptatiefase van een nieuw systeem of een nieuwe applicatie.• Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie.• Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuweinbraaktechnieken en/of als onderdeel van de PDCA-cyclus (zie maatregel B0-1).• Als er een andere reden is om te denken dat de beveiliging van een systeem mindergoed is dan gedacht.

Opvolging• Er moet actie worden ondernomen indien geïmplementeerde maatregelen nietvoldoen aan de gestelde eisen en/of verwachtingen of tekortkomingen opleveren.

• Zorg voor afspraken, met de leverancier, over het uitvoeren van een blackbox scan. Deze punten horen allemaal bij de penetratietest.Al deze elementen zijn heel strak en directief. Zodra er iets wijzigt,dan dekken de elementen het beoogde risico al niet meer.

B3-16 Zet de cookie attributen‘HttpOnly’ en ‘Secure’.

Voorkom dat cookie communicatie kanworden afgeluisterd. Voorkom dat cookiesgestolen kunnen worden via cross sitescripting.

Penetratietest(P) Het set cookie command bevat de secure flag en de HTTPOnly flag.


B5-1 Voer sleutelbeheer in waarbijminimaal gegarandeerdwordt dat sleutels nietonversleuteld op de serverste vinden zijn.

Doelmatig gebruik van cryptografischetechnieken door het beheren vancryptografische sleutels.

• (P) Er moet beheerproces rondom sleutels en certificaten zijn ingevoerd.o Hoe worden sleutels gegenereerd voor verschillende toepassingen?o Hoe worden certificaten voor publieke sleutels gegenereerd en verkregen?o Hoe sleutels worden bewaard, inclusief een instructie hoe geautoriseerde gebruikerstoegang tot sleutels kunnen krijgen?o Hoe het wijzigen of actualiseren van sleutels moet geschieden?o Hoe wordt omgaan met sleutels die zij gecompromitteerd?o Hoe sleutels moeten worden herroepen, ingetrokken of gedeactiveerd?o Hoe sleutels hersteld moeten worden die verloren of gecompromitteerd zijn?o Hoe sleutels worden gearchiveerd?o Hoe sleutels worden vernietigd?o Hoe activiteiten in verband met sleutelbeheer worden vastgelegd en gecontroleerd?o Welke minimale sleutellengtes moeten worden toegepast?o Welke encryptie-algoritmen moeten worden toegepast?• (P) Het inrichtingsdocument/ontwerp:o heeft een eigenaar.o is voorzien van een datum en versienummer.o is actueel.o is op het juiste niveau geaccordeerd.o maakt onderdeel uit van het standaard wijzigingsbeheerproces.• (P) Vaststellen dat de sleutels beveiligd zijn opgeslagen en niet onversleuteld kunnenworden geëxporteerd.

Kijk naar PCI voor het inrichten van een sleutelbeheerproces (3.5 t/m#.7).

Documenteer en creëer procedures om sleutels te beschermen diegebruikt worden om opgeslagen informatie te beveiligen tegenopenbaarmaking en misbruik.

Volledig documenteren en implementeren van alle key-managementprocessen en procedures voor cryptografische sleutels die wordengebruikt voor encryptie van gegevens van informatie.

B5-2 Maak gebruik vanversleutelde(HTTPS)verbindingen.

Voorkom misbruik van (vertrouwelijke)gegevens die tijdens transport zijnonderschept.

• (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp,waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van versleuteldeverbindingen (SSL/TLS):o waarom worden verbindingen door middel van SSL beveiligd;o welke verbindingen worden door middel van SSL beveiligd;o periodieke controle op het gebruik van SSL verbindingen.• (C) Er vindt een redirect plaats van HTTP naar HTTPS op het moment dat een(contact) formulier wordt opgevraagd.

B5-3 Sla gevoelige gegevensversleuteld of gehashed op.

Voorkom misbruik van opgeslagenvertrouwelijke gegevens.

(P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerp waarinis vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.• (P) Vaststellen dat een dataclassificatie analyse is uitgevoerd (incl. een weergave vande gevonden issues, de classificaties en de correctieve handelingen ondernomen).

Een organisatie moet definieren wat gevoelige informatie is en hoemen deze informatie classificeert. Want een risicoanalyse endataclassificatie bepalen of het gebruik van DigiD voor een productvereist moet zijn.Daarnaast kun je een classificatie uitvoeren voor intern als extern.

B5-4 Versleutel cookies. Voorkom dat kwaadwillende de inhoud vancookies kunnen inzien en/of aanpassen,zodat de vertrouwelijkheid en integriteit vande inhoud van het cookie wordt gewaarborgd.

• (P) Er moet een beleid met betrekking tot het toepassen van cookies zijn.• (P) Er moeten procedures zijn met betrekking tot het beheren van cookies.• (C) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument/ontwerpwaarin is vastgelegd welke uitgangspunten gelden voor versleutelen van gegevens.

B7-1 Maak gebruik van IntrusionDetectionSystemen (IDS).

Detecteren van aanvallen op webapplicaties. • (P) De inrichting is gebaseerd op een vastgesteld inrichtingsdocument / ontwerpwaarin is vastgelegd welke uitgangspunten gelden voor inzetten van IDS’en.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren.

Als een organisatie IDS heeft ingericht dan moet men dit goedmonitoren en waar nodig is aanpassen. Probleem hier is dat ditsysteem niet goed te monitoren is omdat de log bekijken eentijdrovend proces is.

B7-8 Voer actief controles uit oplogging.

Het detecteren van misbruik eninbraakpogingen.

• (P) Er moeten procedures zijn opgesteld, waarin staat beschreven hoe en wanneercontroles op logging moeten plaatsvinden en hoe taken op dit gebied belegd zijn.• (P) Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren.

Er moet een forensich onderzoek procedure aanwezig zijn als er misbruik is gemaaktof een procedure betreft wat men gaat doen als er veelvuldige inbraakpogingen zijngedaan.

Het is belangrijk dat men goed nadenkt waar de controles opuitgevoerd gaan worden. Men kan namelijk niet alles monitoren.Daarnaast moet men weten wat men gaat doen als men misbruik ofinbraakpoging heeft gedetecteerd. Bijv. Forensich onderzoekprocedure of via de firewall zaken dichtzetten.

B7-9 Governance, organisatie,rollen en bevoegdhedeninzake preventie, detectie enresponse inzakeinformatiebeveiliging dienenadequaat te zijn vastgesteld.

Het managen van de informatiebeveiligingbinnen de organisatie

• Functies en verantwoordelijkheden voor de informatiebeveiliging moeten zijntoegekend.• Er moet overeenstemming over de benodigde methodologieën en processen wordenbereikt. Denk hierbij aan risicoanalyse en met betrekking tot het classificatiesysteem.• Er moet aantoonbaar follow-up worden gegeven in casu verbeteringen wordendoorgevoerd indien log records op kwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of tekortkomingenopleveren en;o Er dient een informatiebeveiligingsplan opgesteld te worden.o Er dient een procebeschrijving aanwezig te zijn ten aanzien van preventie, detectieen response inzake beveiligingsincidenten.

BIJLAGE G. FINALE NORMENKADER EN REKENMODEL Overzicht

Norm Opzet Bestaan TotaalB-05 0% 0% 0%B-06 0% 0% 0%B0-7 0% 0% 0%B0-8 0% 0% 0%B0-9 0% 0% 0%B0-12 0% 0% 0%B0-13 0% 0% 0%B0-14 0% 0% 0%B1-1 0% 0% 0%B1-2 0% 0% 0%B1-3 0% 0% 0%B2-1 0% 0% 0%B3-1 0% 0% 0%B3-2 0% 0% 0%B3-3 0% 0% 0%B3-4 0% 0% 0%B3-5 0% 0% 0%B3-6 0% 0% 0%B3-7 0% 0% 0%B3-15 0% 0% 0%B3-16 0% 0% 0%B5-1 0% 0% 0%B5-2 0% 0% 0%B5-3 0% 0% 0%B5-4 0% 0% 0%B7-1 0% 0% 0%B7-8 0% 0% 0%B7-9 0% 0% 0%

Acceptatie 70 procent

Alle wijzigingen worden altijd eerst getest voordatdeze in productie worden genomen en worden viawijzigingsbeheer doorgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een procesbeschrijving vanwijzigingsbeheer en dat dit proces effectief isgeïmplementeerd.

Procesbeschrijving ten aanzien van wijzigingsbeheer. Procesbeschrijving is geaccordeerd op het juiste niveauen toegekend aan een verantwoordelijke functionaris.Stel vast adhv de procesbeschrijving dat:- het een eigenaar heeft;- deze is voorzien van een datum en versienummer;- een documenthistorie (wat, wanneer en door wieaangepast) is opgenomen;- deze actueel, juist en volledig is;- deze door het juiste (organisatorische) niveauvastgesteld/geaccordeerd is.

2 5 0 0

Aangepast van default score naarhoge score. Voor changemanagement is het belangrijk dat erwordt beschreven hoe het procesverloopt (incl. de volgende 5stappen: impact analyse,goedkeuring van geauthoriseerdepartij, functionaliteit testen en eenback-out procedure hebben).

(P) Alle wijzigingen worden op een gestructureerdewijze geregistreerd.

Procedurebeschrijving ten aanzien van het vastsleggenvan wijzigingen.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.Stel vast dat wijzigingen gestructureerd zijn vastgelegd.

1 3 0 0

(P) Er is vastgelegd welke functionarissen wijzigingenmogen aanvragen.

Procesbeschrijving ten aanzien van wijzigingsbeheerbeschrijft welke functionarissen wijzigingen mogenaanvragen.

Stel vast dat een lijst van functionarissen die aanvragenmogen doen voor wijzigingen is opgenomen in deprocedure en dat deze actueel is.

1 3 0 0

(P) Er moet een impactanalyse uitgevoerd worden.

(P) Er worden alleen geautoriseerdewijzigingsverzoeken (Request for Change (RFC)) inbehandeling genomen.

(P) Gerealiseerde wijzigingen worden voorimplementatie getest.

(P) Voor elke wijziging is een terugvalscenario(fallback) opgesteld, denk hierbij aanbeheersprocedures en verantwoordelijkheden bijuitvoering van het terugvalscenario.

(C) Zorg voor een gescheiden ontwikkel-, test- (,acceptatie-) en productieomgeving (OTAP).(P) Zorg dat procedures zijn gedocumenteerd envastgesteld voor het overdragen van de ene naar deandere omgeving (van ontwikkel naar test, van testnaar acceptatie en van acceptatie naar productie).

Een procesbeschrijving betreft het overdragen van deene naar de andere omgeving.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.

1 3 0 0

(R) Wijzigingen worden geëvalueerd, waarbij in elkgeval vastgesteld wordt of de wijziging niet totincidenten heeft geleid.

Procesbeschrijving omtrent het periodiek monitoren vanwijzigingen die zijn doorgevoerd.

Procedurebeschrijving is geaccordeerd op het juisteniveau en toegekend aan een verantwoordelijkefunctionaris.Stel vast dat periodiek de wijzigingen wordengemonitored/geëvalueerd.

1 3 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

Een beschrijving omtrent wijzigingsverzoeken en testenis opgenomen in de procesbeschrijving vanwijzigingsbeheer.

52 Toevoeging00

Stel vast dat voor één wijziging het proces is uitgevoerdconform de opgestelde procedurebeschrijving:- er is een impactanalyse voor de wijziging uitgevoerd;- de wijziging is geautoriseerd alvorens deze inbehandeling is genomen;- de wijziging is getest alvorens deze geïmplementeerd is;- de wijziging minimaal van ontwikkel- naar test- enproductieomgeving is overgedragen met goedkeuring vande juiste persoon;- er is een terugvalscenarion opgesteld.

Maak gebruik van een hardeningsproces, zodatalle ICT-componenten zijn gehard tegen aanvallen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een beschrijving van hethardeningsproces en dat dit proces effectief isgeïmplementeerd en dat deze:o een eigenaar heeft;o een datum en versienummer heeft;o een historie bevat;o actueel is;o geaccordeerd op het juiste niveau.

Procesbeschrijving ten aanzien van hardeningsproces. Procesbeschrijving is geaccordeerd op het juiste niveau.Stel vast dat het hardeningsprocess voor alle relevanteICT-componenten geldt.Stel vast dat voor één ICT-component het proces isuitgevoerd conform de opgesteldeprocedurebeschrijving.

2 5 0 0

(P) Zorg voor een beschrijving van de hardeningstandaard voor alle type systeem componenten endat dit consistent is met de industrie geaccepteerdehardening standaard. Deze hardening standaardmoet bij nieuwe vulnerabilities geupdate worden.Afwijkingen moeten worden gedocumenteerd engeaccepteerd door de eigenaar van de webapplicatieen beveiligingsfunctionaris.

Hardeningsdocument is gedocumenteerd inclusief deafwijkingen.

Procesbeschrijving is geaccordeerd op het juiste niveau.Stel vast dat het hardeningsdocument actueel is envolgens de standaard van de leverancier is beschreven.

2 5 0 0

Toevoeging(P) Zorg voor een actueel overzicht van de hoogstnoodzakelijke netwerkprotocollen en dat dit overzichtcontinue wordt onderhouden.

Procesbeschrijving ten aanzien van het actualiserenvan het overzicht van de hoogst noodzakelijkenetwerkprotocollen.

Procesbeschrijving is geaccordeerd op het juiste niveau.Periodiek actualiseren van het overzicht van de hoogstnoodzakelijke netwerkprotocollen. 1 3 0 0

(P) Zorg voor een actueel overzicht van de hoogstnoodzakelijk services.

Procesbeschrijving ten aanzien van het actualiserenvan het overzicht van de hoogst noodzakelijk services.

Procesbeschrijving is geaccordeerd op het juiste niveau.Periodiek actualiseren van het overzicht van de hoogstnoodzakelijk services. 1 3 0 0

6 16 0 0 04.2 11.2 15.4

rood rood rood0 0 0

0% 0% 0%

De laatste (beveiligings)patches zijngeïnstalleerd en deze worden volgens eenpatchmanagement proces doorgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een beschrijving van hetpatchmanagementproces en dat dit proces effectiefis geïmplementeerd.

Procesbeschrijving ten aanzien van patchmanagement is opgesteld voor servers, databases,applicaties en firewalls en onderdeel van het changemanagement proces.

De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat één patch het proces is uitgevoerdconform de opgestelde procedurebeschrijving.

2 5 0 0

Toevoeging(P) Er moet een procedure zijn ingericht waarinstaat beschreven hoe de organisatie omgaat metupdates: hoe snel implementeert de organisatie eenkritieke patch, welke stadia moet de patchdoorlopen, wie draagt de verantwoordelijkheid, etcetera?

Procesbeschrijving bevat een omschrijving van hoede organisatie omgaat met updates: hoe snelimplementeert de organisatie een kritieke patch,welke stadia moet de patch doorlopen, wie draagt deverantwoordelijkheid, et cetera?


1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Penetratietests worden periodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.






1 3 0 0

(P) Pentests worden niet alleen bij nieuwbouw en bijgrote wijzigingen uitgevoerd, maar moeten periodiek(jaarlijks) worden herhaald.

Procesbeschrijving waarin wordt aangegeven dat eenpentest minimaal 1x per jaar wordt uitgevoerd.

De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat er in het jaar een penetratietest isuitgevoerd.

2 5 0 0

Toevoeging(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aande gestelde eisen en/of verwachtingen oftekortkomingen opleveren.



1 3 0 0

(P) Als het resultaat van een pentest de hoogstmogelijke score heeft behaald dan moet nadat debevindingen zijn opgelost een nieuwe penetratietestworden uitgevoerd.

Procesbeschrijving ten aanzien van het opnieuwuitvoeren van een penetratietest nadat de gevondenbevindingen met de hoogst mogelijke score zijnopgelost.

Stel vast of er een nieuwe penetratietest is uitgevoerdnadat de bevindingen van een eerdere penetratietestmet de hoogste score zijn opgelost. 1 3 0 0

Toevoeging7 19 0 0 0

4.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

Vulnerability assessments (security scans)worden periodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een scopedefinitie (denk hierbij aanhost- of netwerkgebaseerde VA, te onderzoeken IP-adressen en/of type besturingssysteem), planningen kwaliteitseisen.

Procesbeschrijving ten aanzien van vulnerabilityassessments is opgesteld met een scopedefinitie.


2 5 0 0

(P) Zorg dat de resultaten van de vulnerabilityassessment worden vastgelegd in een rapportage,waarbij duidelijk is aangegeven welke informatie derapportage moet bevatten.


Vulnerability assessment is volgens rapportageformatopgesteld.

1 3 0 0

(P) Vulnerability scan worden niet alleen bijnieuwbouw en bij grote wijzigingen uitgevoerd, maarmoeten periodiek (jaarlijks) worden herhaald.


De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat er 4x in het jaar een vulnerability scan isuitgevoerd.

2 5 0 0

Toevoeging(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aande gestelde eisen en/of verwachtingen oftekortkomingen opleveren.

Verantwoordelijkheid van het opstellen van een planindien geimplementeerde maatregelen niet aan degestelde eisen en/of verwachtingen hebben voldaanof tekortkomingingen hebben opgeleverd isvastgelegd in de procedure beschrijving vanvulnerability assessments.


1 3 0 0

(P) Als het resultaat van een vulnerability scan dehoogst mogelijke score heeft behaald dan moetnadat de bevindingen zijn opgelost een nieuwevulnerability scan worden uitgevoerd.


Stel vast of er een nieuwe penetratietest is uitgevoerdnadat de bevindingen van een eerdere penetratietestmet de hoogste score zijn opgelost. 1 3 0 0


4.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

Ontwerp en richt maatregelen in met betrekkingtot toegangsbeveiliging/toegangsbeheer Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor beleid ten aanzien vantoegangsbeveiliging (identiteiten toegangsbeheer).

Beleidsdocument ten aanzien van toegangsbeveiligingis opgesteld.

Het beleid is geaccordeerd op het juiste niveau.1 3 0 0

(P/C) Zorg voor een wachtwoordbeleid en technischemaatregelen om sterke wachtwoorden af te dwingen.

Wachtwoordbeleid is opgesteld. Het beleid is geaccordeerd op het juiste niveau.Technische maatregelen om sterke wachtwoorden af tedwingen is volgens het beleid ingesteld.

2 5 0 0 Wachtwoordbeleid verhoogd van de defaultscore naar de hoogste score.

(P/C) De inrichting van het identiteit- entoegangsbeheer is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke functies (identiteit-, authenticator, profiel- entoegangsbeheer) waar (centraal/decentraal) wordenuitgevoerd.(P) Het inrichtingsdocument/ontwerp: heeft eeneigenaar, is voorzien van een datum enversienummer, is actueel en is op het juiste niveaugeaccordeerd.

Inrichtingsdocument is opgesteld waarin is vastgelegdwelke functies (identiteit-, authenticator, profiel- entoegangsbeheer) waar (centraal/decentraal) wordenuitgevoerd.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van het identiteiten toegangsbeheer isgebaseerd op het inrichtingsdocument.Het inrichtingsdocument/ontwerp: heeft een eigenaar, isvoorzien van een datum en versienummer. 1 3 0 0

(P) Zorg voor een procedurebeschrijving metbetrekking tot toegangsbeveiliging voor identiteit- entoegangsbeheer (autorisaties) voor netwerken,besturingssystemen, informatiesystemen, informatieen -diensten.

Een procedurebeschrijving met betrekking tottoegangsbeveiliging voor identiteiten toegangsbeheer(autorisaties) voor netwerken, besturingssystemen,informatiesystemen, informatie en -diensten isopgesteld (in dienst, functiewijziging en uit dienst).

De procesbeschrijving is geaccordeerd op het juisteniveau.Stel vast dat voor tenminste één (beheer)account hetproces is uitgevoerd conform de opgesteldeprocesbeschrijving.

2 5 0 0

(P/A) Zorg voor een actueel overzicht van personendie beheeraccounts hebben en dat dit overzichtcontinue wordt onderhouden.

Een procesbeschrijving om beheeraccounts teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van personendie beheeraccounts hebben.

1 3 0 0

(P/A) Zorg voor een actueel overzicht van personendie een gebruikersaccount hebben en dat ditoverzicht continue wordt onderhouden.

Een procesbeschrijving om gebruikersaccounts teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van personendie gebruikeraccounts hebben.

1 3 0 0

(R) Zorg dat periodiek wordt getoetst of het systeemvoldoet aan het overzicht van personen diebeheeraccounts hebben.

Een procesbeschrijving om beheeraccounts periodiekte reviewen.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek toetsen of het systeem voldoet aan hetoverzicht van de personen die beheeraccounts hebbenen nagaan of de accounts nog noodzakelijk zijn.

1 3 0 0

(P/A) Accounts die de webapplicatie gebruiken,hebben niet meer rechten dan vereist voor hetfunctioneren van de webapplicatie.

Een procesbeschrijving omtrent functies en rechten inde webapplicatie.

De procedurebeschrijving is geaccordeerd op het juisteniveau.Stel middels een steekproef vast dat één account nietmeer rechten heeft dan vereist voor het functionerenvan de webapplicatie (bv. beheeraccounts).

1 3 0 0

(P/A) Er moeten (actuele) overzichten zijn met alleautorisaties voor de webapplicatie.

Een procesbeschrijving om autorisatie(S)/(-groepen) teonderhouden.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek actualiseren van het overzicht van autorisatiesvoor de webapplicatie.

1 3 0 0

(P/R) Er moet een procesbeschrijving zijn voor hetcontroleren van de gebruikersaccounts en debijbehorende autorisaties.

Een procesbeschrijving om gebruikaccounts periodiekte reviewen.

De procesbeschrijving is geaccordeerd op het juisteniveau.Periodiek toetsen of het systeem voldoet aan hetoverzicht van de gebruikeraccounts.

1 3 0 0

(R) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen oftekortkomingen opleveren.

Een procesbeschrijving omtrent follow up indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingen

De procesbeschrijving is geaccordeerd op het juisteniveau.Aantoonbare follow up bij review controls. 1 3 0 0

13 37 0 0 09.1 25.9 35

rood rood rood0 0 0

0% 0% 0%

Niet (meer) gebruikte websites en/of informatie moetworden verwijderd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een procedurebeschrijving met betrekking totwebsitebeheer.

Een procedurebeschrijving met betrekking totwebsitebeheer.

De procedurebeschrijving is geaccordeerd op hetjuiste niveau. 2 5 0 0

(P) Er moet een actueel overzicht zijn van de websites dieoperationeel zijn. Zorg dat dit overzicht onderdeel is van hetproces wijzigingsbeheer.(P) Iedere website heeft een eigenaar.

Een procesbeschrijving om alle digitale productendie via DigiD worden aangeboden teonderhouden.Een actueel overzicht van alle digitale producteninclusief de eigenaar die via DigiD wordenaangeboden in de procedurebeschrijving isopgenomen.

Peridiek actualiseren van het overzicht van alledigitale producten incl. eigenaar die via DigiDworden aangeboden.

1 3 0 0

(R) Voer periodiek controles uit of de operationele websites nogworden gebruikt en/of informatie bevat die kan wordenverwijderd.

Een procedurebeschrijving met betrekking tot eenperiodieke controle op de inhoud van alle digitaleproducten die via DigiD aangeboden worden doorde eigenaren.

Periodieke toetsen of alle digitale producten dievia DigiD worden aangeboden actueel enrelevant zijn. 1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Leg afspraken met leveranciers vast in een overeenkomst Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een overeenkomst (bijvoorbeeld contract, ServiceLevel Agreement (SLA) of Diensten Niveau Overeenkomst (DNO))waarin de beveiligingseisen en -wensen zijn vastgelegd en op hetjuiste (organisatorische) niveau is vastgesteld/geaccordeerd.

Een overeenkomst tussen de verschillendepartijen waarin de beveiligingseisen en -wensenzijn vastgelegd.

De overeenkomst is geaccordeerd op hetjuiste niveau.

1 3 0 0

(P) Zorg dat de verantwoordelijkheid van de DigiD normen vanLogius in de overeenkomst zijn opgenomen.

De verantwoordelijkheid van de DigiD normenvan Logius zijn opgenomen in de overeenkomst.

De overeenkomst is geaccordeerd op hetjuiste niveau. 2 5 0 0

(P) In de overeenkomst is opgenomen dat de leverancier eencompliance verplichting heeft voor de DigiD normen waar zeverantwoordelijk voor zijn. Dit dient middels een TPM verklaringaantoonbaar worden gesteld.

Indien van toepassing, stel vast dat:- een TPM verklaring aanwezig is.

Rapportages van de dienstleverancier overde geleverde dienstverlening- voldoen alle normen;- is de scope conform de scope in deovereenkomst.

1 3 0 0

4 11 0 0 02.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Er moet gebruik worden gemaakt van eenDemilitarised Zone (DMZ), waarbijcompartimentering wordt toegepast en deverkeersstromen tussen deze compartimentenwordt beperkt tot alleen de hoogst noodzakelijke Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de hele infrastructuur (DMZ) isgebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten/principes gelden voor detoepassing om het interne netwerk te beveiligen(zoals van de DMZ). Deze ontwerp- eninrichtingskeuzes moeten zijn onderbouwd en op hetjuiste (organisatie)niveau zijn verantwoord.

Inrichtingsdocument is opgesteld waarin is vastgelegdwelke uitgangspunten/principes gelden voor detoepassing van de hele infrastructuur.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.De inrichting van de hele infrastructuur is gebaseerd ophet inrichtingsdocument.

1 3 0 0

Toevoeging(P) De plaatsing van servers en aansluiting vaninterne netwerkcomponenten en netwerkkoppelingenmet externe netwerken zijn duidelijk en schematischgedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact vanwijzigingen goed kunnen worden bepaald.

Documentatie waarin duidelijk en schematisch deplaatsing van servers en aansluiting van internenetwerkcomponenten en netwerkkoppelingen metexterne netwerken is weergegeven.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.

1 3 0 0

Toevoeging(P/C) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.


Het document is geaccordeerd op het juiste niveau.(Beveiligings)instellingen zijn volgens het documentingesteld.

1 3 0 0

(C) Vaststellen dat het netwerk in verschillendecompartimenten is opgedeeld.

Stel vast dat het netwerk in verschillendecompartimenten is opgedeeld. 2 5 0 0

(C) Vaststellen dat de verkeersstromen tussen decompartimenten worden beperkt.

Stel vast dat de verkeersstromen tussen decompartimenten worden beperkt. 2 5 0 0

7 19 0 0 04.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

Beheer- en productieverkeer zijn van elkaargescheiden Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de hele infrastructuur (DMZ) isgebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten/principes gelden voor detoepassing om het interne netwerk te beveiligen(zoals van de DMZ). Deze ontwerp- eninrichtingskeuzes moeten zijn onderbouwd en op hetjuiste (organisatie)niveau zijn verantwoord.








Toevoeging(P) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.




(P) Vaststellen dat de verkeersstromen tussenbeheer en productieverkeer gescheiden zijn.

Stel vast dat de verkeersstromen tussen beheer enproductieverkeer gescheiden zijn. 2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

Netwerktoegang tot de webapplicaties is voor allegebruikersgroepen op een zelfde wijze ingeregeld Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting van de hele infrastructuur (DMZ) isgebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten/principes gelden voor detoepassing om het interne netwerk te beveiligen(zoals van de DMZ). Deze ontwerp- eninrichtingskeuzes moeten zijn onderbouwd en op hetjuiste (organisatie)niveau zijn verantwoord.








Toevoeging(P) De (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd datduidelijk is waarom voor bepaalde instellingengekozen is (verantwoording en onderbouwing).Besteed hierbij speciale aandacht aan dedefaultwaarden voor systeeminstellingen.




(P) Vaststellen dat netwerktoegang tot dewebapplicatie voor alle gebruikers identiek is.

Stel vast dat de netwerktoegang tot de webapplicatievoor alle gebruikers identiek is. 2 5 0 0

5 14 0 0 03.5 9.8 13.3

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van veilige beheermechanismen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg dat een ontwerpdocument met betrekking totbeheermechanismen zijn vastgesteld.Het gebruik van ‘backdoors’ moet absoluut uitgesloten zijn. Eenbackdoor voor beheer is bijvoorbeeld een beheerinterface waarvoorgeen authenticatie nodig is maar die draait op poort 8888 en daardoormoeilijk te ontdekken zou moeten zijn (‘security through obscurity’). Dekans is echter groot dat kwaadwillenden backdoors vroeg of laatontdekken, en erin slagen om deze te misbruiken.

Een ontwerpdocument met betrekking tot beheermechnismen(bv. SSL verbinding, pincodefunctionaliteit, firewall rules,gescheiden LAN/WAN, poortafscherming) is opgesteld.

Het ontwerpdocument is geaccordeerd op het juiste niveau.

1 3 0 0

(P) Vaststellen dat de beheermechanismen in het ontwerpdocumentgeïmplementeerd zijn.

- Stel vast dat de beheermechnismen actief zijn.2 5 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

De webapplicatie valideert de inhoud van eenHTTP-request voor die wordt gebruikt Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8









Toevoeging(P) Er moet aantoonbaar follow-up worden gegevenin casu verbeteringen worden doorgevoerd indiengeïmplementeerde maatregelen niet voldoen aan degestelde eisen en/of verwachtingen of tekortkomingenopleveren.






Stel vast of er een nieuwe penetratietest is uitgevoerdnadat de bevindingen van een eerdere penetratietestmet de hoogste score zijn opgelost.


Toevoeging(C) Validatie vindt plaats op in ieder gevaldynamische onderdelen van de URL, queryparameters, form parameters, cookies, HTTP-headers, XML en bestanden.- In het geval de invoer niet voldoet aan de type-,lengte-, formaat- en controle op valide karaktersweigert de applicatie deze invoer.- Criteria gelden voor het filteren van de inhoud vaneen HTTP-request op basis van ongewenste invoer.

Stel vast dat validatie plaatsvindt op de URL, queryparameters, form parameters, cookies, HTTP-headers,XML en bestanden.Stel vast als de invoer niet voldoet dat deze geweigerdwordt.Stel vast dat criteria is ingesteld om inhoud te filteren vaneen HTTP-request.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

De webapplicatie controleert voor elk HTTPverzoek of de initiator geauthenticeerd is en dejuiste autorisaties heeft Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















Toevoeging(C) Voor onderdelen van de webapplicatie waarmeetransacties door een gevalideerde gebruiker kunnenworden uitgevoerd:- zijn de waarde van cookies is gekoppeld aan het IP-adres waarnaar deze waarde is verstuurd;- zijn de formulierpagina’s voorzien van eendynamisch token;- accepteert de webapplicatie alleen verzoekenwaarbij de inhoud van de Referer-headerovereenkomt met de URL van de betreffendewebapplicatie

Stel vast dat de waarde van cookies is gekoppeld aanhet IP-adres waarnaar deze waarde is verstuurd;Stel vast dat de formulierpagina’s voorzien zijn van eendynamisch token;Stel vast dat de webapplicatie alleen verzoekenaccepteert waarbij de inhoud van de Referer-headerovereenkomt met de URL van de betreffendewebapplicatie.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

De webapplicatie normaliseert invoerdata voorvalidatie Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















Toevoeging(C) Normalisatie als:- Omzetten van NULL karakters naar spaties.- Coderen van bijzondere karakters in een uniformecodering (bijvoorbeeld UTF-8).- Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.- Verwijderen van overbodige spaties en regeleinden.- Verwijderen van onnodige witruimtes.- Omzetten van backslashes naar forward slashes- Omzetten van mixed case strings naar lower casestrings.

Stel vast dat de webapplicatie de invoerdata voorvalidatie normaliseert als:- Omzetten van NULL karakters naar spaties.- Coderen van bijzondere karakters in een uniformecodering (bijvoorbeeld UTF-8).- Normaliseren van padverwijzingen als ‘/./’ en ‘/../’.- Verwijderen van overbodige spaties en regeleinden.- Verwijderen van onnodige witruimtes.- Omzetten van backslashes naar forward slashes- Omzetten van mixed case strings naar lower casestrings.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

De webapplicatie codeert dynamische onderdelenin de uitvoer Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















Toevoeging(C) Vaststellen dat de webapplicatie dynamischeonderdelen in de uitvoer codeert.

Stel vast dat de webapplicatie dynamische onderdelen inde uitvoer codeert. 2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

Voor het raadplegen en/of wijzigen van gegevensin de database gebruikt de webapplicatie alleengeparametriseerde queries Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















ToevoegingDe webapplicatie maakt gebruik vangeparameteriseerde queries bij het benaderen vandatabases.

Stel vast dat de webapplicatie gebruik maakt vangeparameteriseerde queries bij het benaderen vandatabases.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

De webapplicatie valideert alle invoer, gegevensdie aan de webapplicatie worden aangeboden,aan de serverzijde Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















Toevoeging(C) Voor elke controle die de webapplicatie uitvoertaan de clientzijde, is een equivalent aanwezig aan deserverzijde.

Stel vast dat voor elke controle die de webapplicatieuitvoert aan de clientzijde, een equivalent aanwezig isaan de serverzijde.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

De webapplicatie staat geen dynamische fileincludes toe of beperkt de keuze mogelijkheid(whitelisting) Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















Toevoeging(C) De webapplicatie maakt geen gebruik vandynamische file includes.

Stel vast dat de webapplicatie geen gebruik maakt vandynamische file includes. 2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

Een (geautomatiseerde) blackbox scan wordtperiodiek uitgevoerd Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.

Procesbeschrijving ten aanzien van blackbox scan(tester zonder voorkennis gaat kijken of erkwetsbaardheden in de webapplicatie bestaan) isopgesteld.





Blackbox scan is volgens rapportageformat opgesteld.















4.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

Zet de cookie attributen ‘HttpOnly’ en ‘Secure’ Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Zorg voor een opdrachtomschrijving,scopedefinitie, planning en kwaliteitseisen.



als B0-8

















ToevoegingHet set cookie command bevat de secure flag en deHTTPOnly flag.

Stel vast dat het set cookie command bevat de secureflag en de HTTPOnly flag.

2 5 0 0

8 22 0 0 05.6 15.4 21

rood rood rood0 0 0

0% 0% 0%

Voer sleutelbeheer in waarbij minimaalgegarandeerd wordt dat sleutels nietonversleuteld op de servers te vinden zijn Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Procedure en procesbeschrijving rondom hetbeheer van certificaten.(P) Een inrichtingsdocument rondom het beheer vancertificaten is opgesteld.

Een procedurebeschrijving/inrichtingsdocumentrondom het beheer van certificaten met de volgendedetails:- Hoe worden sleutels gegenereerd voor verschillendetoepassingen?- Hoe worden certificaten voor publieke sleutelsgegenereerd en verkregen?- Hoe sleutels worden bewaard, inclusief eeninstructie hoe geautoriseerde gebruikers toegang totsleutels kunnen krijgen?- Hoe het wijzigen of actualiseren van sleutels moetgeschieden?- Hoe wordt omgaan met sleutels die zijgecompromitteerd?- Hoe sleutels moeten worden herroepen, ingetrokkenof gedeactiveerd?- Hoe sleutels hersteld moeten worden die verloren ofgecompromitteerd zijn?- Hoe sleutels worden gearchiveerd?- Hoe sleutels worden vernietigd?- Hoe activiteiten in verband met sleutelbeheerworden vastgelegd en gecontroleerd?- Welke minimale sleutellengtes moeten wordentoegepast?- Welke encryptie-algoritmen moeten wordentoegepast?

De procesbeschrijving is geaccordeerd op het juisteniveau.Het inrichtingsdocument is geaccordeerd op het juisteniveau.Het inrichtingsdocument/ontwerp: heeft een eigenaar,is voorzien van een datum en versienummer, is actueel(en maakt eventueel onderdeel van wijzigingsbeheer).

1 3 0 0

(C) Vaststellen dat de sleutels beveiligd zijnopgeslagen en niet onversleuteld kunnen wordengeëxporteerd.

Stel vast dat sleutels beveiligd zijn opgeslagen volgenshet inrichtingsdocument en niet onversleuteld kunnenworden geëxporteerd.

2 5 0 0Toevoeging

3 8 0 0 0

2.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van versleutelde(HTTPS)verbindingen Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp, waarin is vastgelegdwelke uitgangspunten gelden voor de toepassing vanversleutelde verbindingen (SSL/TLS):- waarom worden verbindingen door middel van SSLbeveiligd;- welke verbindingen worden door middel van SSLbeveiligd;- periodieke controle op het gebruik van SSLverbindingen.

Een inrichtingsdocument is opgesteld waarin isvastgelegd welke uitgangspunten gelden voor detoepassing van versleutelde verbindingen (SSL/TLS):- waarom worden verbindingen door middel van SSLbeveiligd;- welke verbindingen worden door middel van SSLbeveiligd;- periodieke controle op het gebruik van SSLverbindingen.

Het inrichtingsdocument is geaccordeerd op het juisteniveau.Het inrichtingsdocument/ontwerp: heeft een eigenaar, isvoorzien van een datum en versienummer en is actueel.

1 3 0 0

(C) Er vindt een redirect plaats van HTTP naarHTTPS op het moment dat een (contact) formulierwordt opgevraagd.

Stel vast in de configuratie van de webserver dat er eenredirect plaats vindt van HTTP naar HTTPS op hetmoment dat een (contact) formulier wordt opgevraagd. 2 5 0 0 Dit wordt door de

pentestondervangen.

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Sla gevoelige gegevens versleuteld ofgehashed op Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin isvastgelegd welke uitgangspunten gelden voorversleutelen van gegevens.

Een document is opgesteld omtrent gevoeligeinformatie en de versleuteling van gegevens.(Criteria: wat is gevoelige informatie en hoewordt dit geclassificeerd en versleuteld?)

Het document is vastgesteld door management.

1 3 0 0

(P) Vaststellen dat een dataclassificatie analyseis uitgevoerd (incl. een weergave van degevonden issues, de classificaties en decorrectieve handelingen ondernomen).

Een procesbeschrijving is opgesteld over hoede dataclassificatie analyse uitgevoerdt dient teworden (stappenplan).

Stel vast dat een dataclassificatie analyse isuitgevoerd op tenminste de gegevens dieworden gebruikt in de DigiD producten. 2 5 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Versleutel cookies Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Er moet een beleid met betrekking tot hettoepassen van cookies zijn.

Beleid met betrekking tot het toepassen van cookies. Beleid is geaccordeerd op het juiste niveau.1 3 0 0

(P) Er moeten procedures zijn met betrekking tot hetbeheren van cookies.

Een procedures zijn met betrekking tot het beherenvan cookies.

De procedure is geaccordeerd op het juiste niveau.1 3 0 0

(C) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument/ontwerp waarin is vastgelegdwelke uitgangspunten gelden voor versleutelen vangegevens.

Stel vast dat cookies versleuteld zijn volgens hetinrichtingsdocument.

2 5 0 0


2.8 7.7 10.5

rood rood rood0 0 0

0% 0% 0%

Maak gebruik van IntrusionDetectionSystemen (IDS) Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) De inrichting is gebaseerd op een vastgesteldinrichtingsdocument / ontwerp waarin isvastgelegd welke uitgangspunten gelden voorinzetten van IDS’en.

Inrichtingsdocument is opgesteld waarin isvastgelegd welke uitgangspunten gelden voorinzetten van IDS’en.

Het inrichtingsdocument is geaccordeerd op hetjuiste niveau.De inrichting van IDS is geplaatst volgens engebaseerd op het inrichtingsdocument.

2 5 0 0


Verantwoordelijkheid van het opstellen van eenplan indien geimplementeerde maatregelen nietaan de gestelde eisen en/of verwachtingenhebben voldaan of tekortkomingingen hebbenopgeleverd is vastgelegd in de procedurebeschrijving omtrent IDS'en.


1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Voer actief controles uit op logging Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Er moeten procedures zijn opgesteld, waarinstaat beschreven hoe en wanneer controles oplogging moeten plaatsvinden en hoe taken op ditgebied belegd zijn.

Een procedure waarin staat beschreven hoe enwanneer controles op logging moetenplaatsvinden en hoe taken op dit gebied belegdzijn is opgesteld.

De procedure is geaccordeerd op het juisteniveau.

2 5 0 0


Verantwoordelijkheid van het opstellen van eenplan indien geimplementeerde maatregelen nietaan de gestelde eisen en/of verwachtingenhebben voldaan of tekortkomingingen hebbenopgeleverd is vastgelegd in de procedurebeschrijving omtrent controles op logging.


1 3 0 0

3 8 0 0 02.1 5.6 7.7

rood rood rood0 0 0

0% 0% 0%

Governance, organisatie, rollen en bevoegdheden inzakepreventie, detectie en response inzakeinformatiebeveiliging dienen adequaat te zijn vastgesteld Opzet Bestaan Opzet op orde Bestaan op orde Opzet Bestaan Score opzet Score bestaan(P) Geactualiseerd (organisatiebreed)informatiebeveiligingsbeleid

Een organisatiebreedinformatiebeveiligingsbeleid is opgesteld.

Een organisatiebreedinformatiebeveiligingsbeleid is vastgesteld ophet juiste niveau.

2 5 0 0

(P) Functies en verantwoordelijkheden voor deinformatiebeveiliging moeten zijn toegekend.

Het informatiebeveiligingsbeleid heeft eenbeschrijving met betrekking tot debeveiligingsorganisatie.

Stel vast dat functies, taken enbevoegdheden op het niveau van eenfunctionaris zijn belegd.

1 3 0 0

(P) Er moet overeenstemming over de benodigdemethodologieën en processen worden bereikt. Denk hierbijaan risicoanalyse en met betrekking tot hetclassificatiesysteem.

Een procesbeschrijving van de totstandkomingvan het huidige informatiebeveiligingsbeleid.

Stel het proces vast voor het opstellen en/ofactualiseren van hetinformatiebeveiligingsbeleid (denk aan deuitgevoerde risicoanalayse en de vastleggingvan management overleg omtrentinformatiebeveiliging).

1 3 0 0

(P) Er dient een informatiebeveiligingsplan (nadat een risico-en GAP-analyse is uitgevoerd) opgesteld te worden.

Een recent informatiebeveiligingsplan isopgesteld.

Stel vast dat een recentinformatiebeveiligingsplan (incl. planning enprioriteiten) is vastgesteld op het juisteniveau.

2 5 0 0

(P) Er moet aantoonbaar follow-up worden gegeven in casuverbeteringen worden doorgevoerd indien log records opkwaadwillend misbruik duiden, geïmplementeerdemaatregelen niet voldoen aan de gestelde eisen en/ofverwachtingen of tekortkomingen opleveren en; Er dient eenprocebeschrijving aanwezig te zijn ten aanzien van preventie,detectie en response inzake beveiligingsincidenten.

Een procedurebeschrijving ten aanzien vanpreventie, detectie en response inzakebeveiligingsincidenten.

Een procedurebeschrijving is geaccordeerdop het juiste niveau.

1 3 0 0

Aangepast van default score naar hoge score.Voor beveiligingsincidenten is het belangrijkdat er wordt beschreven hoe het procesverloopt als er beveiligingsincidenten optreden(op het gebied van preventie, detectie enresponse).

7 19 0 0 04.9 13.3 18.2

rood rood rood0 0 0

0% 0% 0%

2015 DigiD Hajjouji, M

Documents

Transcript of 2015 DigiD Hajjouji, M