NUP live!NUP live!Eén digitale overheid: betere service, meer gemak

Is uw gemeentelijke website veilig?

Bart GeerdinkKING

NUP Live!, 8 maart 2012, Bart Geerdink

Aankondiging DigiD audits bij gemeenten• Minster Donner kondigt audit aan in oktober 2011 n.a.v Lektober

• Veel risico’s en lastige uitvoerbaarheid

• Nieuwe Minster Spies nu voorzichtiger: ruime deadline voor gemeenten, voorlopig geen handhaving

• NCSC publiceert Richtlijn informatiebeveiliging op webapplicaties

• Logius publiceert de Norm voor de assessments (gebaseerd op de richtlijnen van NCSC)

• Assessment = audit + penetratietest

• Termijn voor uitvoeren assessement voor gemeenten is eind 2013, grootverbruikers moeten voor eind 2012 voldoen (o.a. Belastingdienst, UWV, DUO, SVB)

NUP Live!, 8 maart 2012, Bart Geerdink

Rolverdeling NCSC,Logius en KING/VNGLogius

• Beheert en bewaakt de veiligheid van DigiD

• Audit via de Rijksauditdienst

• Logius laat pentesten uitvoeren

• Risicoanalyse van Logius en leveranciers

NCSC

• Waarborgt de digitale veiligheid bij de overheid door monitoring en standaardisatie (ICT Beveiligingsrichtlijnen voor webapplicaties)

VNG/KING

• Behartigen de belangen van gemeenten en ondersteunen bij informatiebeveiliging

NUP Live!, 8 maart 2012, Bart Geerdink

Relatie met andere standaarden en normen

• OWASP (Open Web Application Security Project

• ISO 2700xNEN-ISO/IEC 27001 ‘Managementsystemen voor

informatiebeveiliging’NEN-ISO/IEC 27002 ‘Code voor informatiebeveiliging’NEN-ISO/IEC 27005 ‘Information security riskmanagement’

• Platform voor InformatieBeveiliging (PVIB):Basisnormen Beveiliging en Beheer ICT-infrastructuur

• Nederlandse Overheid Referentie Architectuur (NORA):Dossier Informatiebeveiliging

NUP Live!, 8 maart 2012, Bart Geerdink

KING start met impactanalyse• Aanleiding: uitvoerbaarheid audits

• In opdracht van BZK en VNG

• Doel: gestandaardiseerde aanpak

• Verwachten d.m.v. kennisdeling en bundelen audit en pentest-activiteiten eficiency te bewerkstelligen; besparing tijd en geld

• Pilot met 10 gemeenten en hun leveranciers

• Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers

• Planning: resultaten in mei gevolgd door planning audits overige gemeenten.

NUP Live!, 8 maart 2012, Bart Geerdink

Afbakening Scope voor DigiD Audit

• Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm

• Logius geeft aan: de internet-facing webpagina's, infrastructuur die met DigiD gekoppeld is.

• Pentest richt zich met name op de frontoffice applicaties, 'is de voordeur goed op slot'?

• EDP audit richt zich ook wat breder op het beheer van het systeemlandschap 'staat de achterdeur niet open‘

Voor bepalen scope nu gesprekken met:• EDP-IT Auditors voor bepalen scope audit• Pentesters voor bepalen scope penetratietesten• Voorinventarisatie ICT infrastructuur bij gemeenten voor vaststellen

representatieve steekproef

NUP Live!, 8 maart 2012, Bart Geerdink

Starting Gateway

• Onderzoek in opdracht van VNG en KING

• KING en VNG actief structureel ondersteunen

• Gestart in december 2011

• Afronding eind maart

• Interviews

• Voorstel: Gemeentelijke informatiebeveiligingsdienst, signaleringsdienst, oplossingsdienst, voorlichting en preventiedienst, kenniscentrum

• Resultaat: helder beeld wat gemeenten van VNG/KING verwachten.

NUP Live!, 8 maart 2012, Bart Geerdink