3)303.13003—

j

t!)

04)

130U0)(3):13(1)

(-9

‘-tt:t:

incl).t-

“t,

t-t)

ii

4-)4-

01!)C

L030)t..(04

-

13030303:

‘t-

t!4-)

t!4-

t!0

0t1

m8E7J

EO

rI

0(9

ui

r’it4

tSc•1=

‘S

îeJJ

t)

Aanleiding opdracht

Oorde&: Goedkeurend met beperking

1 Bevindingen General IT Controls 6

1.1 W1.Wijzigingsbeheer op orde 6

L2 L1.Wachtwoordbeheer: systeeminstehingen voor wachtwoorden niet altijd

conform de beveiligingsrichtlijn 6

1,3 L2,Gebruikersbeheer: beheerders voeren op verzoek mutaties uit in het primaire

proces 6

1.4 L3,Beveiliging van corriponenien op orde met uitzondering van 6

1.5 01,Overig: backup en restore op orde 7

2 Voortgang ten opzichte van 2015 8

2.1 Lii Beheersing kwetsbaarheden tTcomponenten op orde 8

2.2 01.1 Uitwijktest uitgevoerd, knelpunten geïdentificeerd en verholpen 8

3 Verantwoording onderzoek 9

3.1 Object van onderzoek, afbakening en definities 9

3.2 Werkzaamheden en afbakening3,3 Criteria 10

3,4 Gehanteerde Standaard 10

3,5 Verspreiding rapport 10

4 Ondertekening 11

Bijlage: Management reactie op assurancerapport General IT Controls Leonardo

FEZ 12

Het flnancële informatiesy,teem Leonardo wordt door nagenoeg alle onderdelenvan het minterie van Veil ghed en Justitie (VenJ) gebruikt en is aan de pnma’reprocessyrtemen zoals Grtffe en rekening courant gedetineerden gekopeldOm de ntegritet van de gegevers te waarborgen is een stese vai maatregeirnin en om Leonardo getroffen. Een deel van deze r aatregelen Is gerealiseerd inde ITinfrastructuur en beheerp ocessen bij SSC1CT. SSC-CT is een sharedservice organische van BZK1 de ITdenstcn Irvert voor meederedepartementen.

Dnd 2015 is dooi dc Auditdens R’jK (ADR) n opdCL[t vdn et mi iiste ie vônVel gfed en Justitie (VenJ) een verkennend onderzoek uftgevoerd naa demogel jke riscos m de IT nfrastructuur va Leonardo. In dt onderzoek zijnbevindngen geconstateerd ten aanzie van d beheersng van ITkwetsbaa1 eden en het testen va i de u twijkvoorzeninge t

Daarnaast heeft de controlerend accountant van VenJ en dc conioIerendaccountant van De Raad voor de Rechtspraak verzocht zekerheid te verschaffenover de beheersing van de General IT Controls ten behoeve van de jaarreke&ngcontrole over 2016,

Door de systeemeigenaar (VenJ/DFEZ) Is daarom aan de ADR verzocht om eenfollow up onderzoek uit te voeren naar de eerdere bevindingen, a’smede omzekerheid (assurance) to vorschaffen over de beheersing van de General flCortrms op basis van het genorieke normenkader dat door de Audtd enst Rijknjksbreed wordt gehanteerd voor de beoordehng van General IT Controls, D tnormenkader omvat de onderwerpen wijzigngsbeheer, wachtwoordhcheer,çjebruikersbeheer beveihgng van componenten en beheer vanbacku pvoorzieningen2,

t zK;M n stene vp ennenondsE zske-2 Refsrent e Opdrschtbeveet g ng met kerme k 2016 0000105075 d d 27 je 2016 opdrachtge erE W

Oezem

4 ven 13 1 Gene 5 IT Contro Lecnerdc,

Op grond van ons onderzoek zijn wij met redelijke mate van zekerheid van oordeeldat in opzet, bestaan en werking de beheersmaatregelen en procedures van detechnische 1T omgeving van Leonardo in voldoende mate voldoen aan de getoetstenorm met de volgende beperkingen:

1) Tijdens ons onderzoek is vastgesteld dat beheerders mutaties in het prima reproces var Ven] uitvoeren, Dit betreft mutaties ten behoeve van de jaarafsluiting, door VenJ çjemandateerde wijzigingen of mutaties ten behoeve veriricidentopiossing. Het beleid omtrent de verantwoording van door SSC-ICTdoorgevoerde mutaties is medio 2016 door Ven) aangescherpt, maar was tentijde van het onderzoek nog niet doorgevoerd bij SSCICT. Hierdoor kar nogniet kan worden gesproken over een volledig beheerste situatie,

Op basis van de systeemlogging is door ons aanvullend onderzoek naar de doorbeheerders Ingevoerde mutatles uitgevoerd. Hierbij is geen doorbreking van dedoor Ven] vereiste functiescheldingen In het primaire proces geconstateerd.Daarnaast Is door SSC-1CT aangetoond dat door beheerders uitgevoerdemutaties zijn geregistreerd in het supportsysteem Topdesk.

Op basis dit aanvullende onderzoek zijn wij van mening dat deze beperking nietleidt tot een afkeurende verklaring.

2) Ten aanzien vandeisvastgesteld dat de richtlijnenvoor de geldigheid en complexifit van whtwoorden niet worden gevolgd;tevens is een achterstand In het doorvoeren van so[twarepatches in het

geconstateerd.

Omdat de alIeen via een extra authenticatie te benaderen zijn ener geen kritische kwetsbaarheden op de servers zijn aangetroffen achten wij derisico’s beperkt en zijn wij van mening dat deze beperking niet leidt tot eenafkeurende verklaring.

3) Een aantal beheersingsmaatregeien is medio 2016 ingevoerd. Ten aanzien onsoordeel over de werking over de periode 1 januari tot 30 september 2016 leve tdit de volgende beperking op:a) Het proces voor het detecteren van kwetsbaarheden door SSC-ICT is vanaf

mei 2016 geformaliseerd;b) De inperklng van risicovoile softwareservices (hardening) op Llnuxservers is

per 1 september 2016 uitgevoerd; de hardenlng van Wlndowsservers wasnog in onderzoek.

S vn 13 1 Generai IT controis Leonsrdc

WLWijzîgngsbeheer op ordeWijzigingen in de ITlnfrastructuur van Leonardo worden procesmotig doorgevoerd, De noodzakelijke functiescheidingen in het proces zijn aangebracht.Middels een steekproef over de wijzigingen in de onderzoekspenode hebb n wevastgesteld dat deze door de systeemeigenaar zijn geautonseerd door degebrulkersorganisatle zijn getest en na goedkeuring zijn geimp e ienteerd,

LLWachtwoordbeheer: systeeminstellingen voor wachtwoorden i icta!tijd conform de beveiHgingsrichtlijnDe beveiligingsrichtlijnen voor waLhtwoorden voor gehruiker van Oracie cBSvoldoen aan de beveiligingsrichtlijnei

Ten aanzien vandelsvastgesteld dat de systee-nstellingen voor de geldigheid en complexiteit van wachtwoorden niet aar de

norr voldoen Dit risico wordt beperkt doordatgebrukers een extraauthenticatle moeten doorlopen.

Ten aanzien van Oracle cBS beheerders is een afwijking ten opzichte van devoorgeschreven norm voor de maximale geldigheid van wachtwoordenvasigesteld

2Gebruikersbeheer: Beheerders vo n op verzoek mutaties uit in hetprimaire procesTijdens ons onderzoek Is vastgesteld dat beheerders mutatles in het pr malre procesvan VenJ uitvoeren Dit betreft mutaties ten behoeve van de jaarafsluiting (15, 16januari 2016), door VenJ gemandateerde wijzigingen of mutaties ten behoeve vanincidentoplossing, Het beleid omtrent de verantwoording van door SSC-ICT doorgevoerde mutaties is medio 2016 door Ven] aangescherpt. De verantwoording overdit beleid door SSC-ICT was ten tijde van het onderzoek nog niet afgerond waardoornog niet gesproken kan worden over een volledig beheerste situatie.

Aanvullend onderzoek naar de door beheerders uitgevoerde mutaties heeft geendoorbreking van de door Ven] vereiste functiescheidingen in het primaire procesaangetoond. Daarnaast is vastgesteld dat de door beheerders in 2016 uitgevoerdemutaties zijn te herleiden naar in Topdesk geregistreerde seruicemeldingen.

L3Bevelliging van componenten op orde niet uitzondering vanserverDoor te toepassing van steppingstones voor de toegang tot beheerconsoles, beveiliging van het netwerk middels firewalis, patching van software, de wekelijksetoetsing op kwetsbaarheden en afhandeling hiervan middels de reguliere beheer-processen zijn de onderliggende IT-componenten van Oracle cBS beschermdtegen ongeautoriseerde toegang, verandering, verminking en oneigenlijkgebruik.

Ten aanzien vandezijnafwijkingen in het patchprocesgeconstateerd waardoor een achterstand in het patchlevel is ontstaan Er zijnechter geen kritische kwetsbaarheden op deze servers geconstateerd.

6 vn 13 1 Gene ai rr Contr2ia Leonardo

11Pl

in‘4

Voortciang ten opzichte van 2015

21 L31 Beheersing kwetsbaarheden ITcomponenten op ordeTijdens het vorige onderzoek in 2015 is geconstateerd dat de processen van hetSecure Operation Center (SOC) niet aansloten op de beheerprocessen. Een vandc gevolgen was dat niet alle kwetsbaarheden in de software tijdig werdengepatchh

Vastgesteld is dat het afhandelen van de resultaten van de kwetsbaarhedenscansprocesmatig is ingericht. De kwetsbaarhedenscans worden vanaf mei 2016wekelijks uitgevoerd en critical en high kwetsbaarheden worden via Topdeskafgehandeld

01.1 Uitwijktest uitgevoerd, knelpunten geïdentificeerd en verholpenTijdens het vorige onderzoek kwam naar voren dat de beoogde uitwijktijd vanvier uur niet mogehk was.

Begin 2015 is het uitwijkdraaiboek opgesteld en is in augustus 2016 een uitwijktest gehouden. Ondanks dat de afgesproken norm van 4 uur nog niet is gehaald(het was 6 uur), is inzicht gekregen in de knelpunten van de technische inrichtingvan de uitwijkvoorzieningen en de te volgen procedurestappen. Het merendeelvan de knelpunten Is overigens al tijdens de uitwijktest verholpen.

S van 13 1 General IT Centrale Leenarda

Object van onderzoek, afbakening en definities

Het object van onderzoek betreft de general IT-controls ten behoeve van de ITdienst Leonardo, zoals deze binnen de datacenters van SSC-CT wordt onderhouden. In scope zijn de volgende beheerprocessen:

Wijzigingsbeheer;Wachtwoordbeheer;

- Gebruikersbeheer;Beveihg:ng van camponenten;

- Back-up en recovery.

De scope is weergegeven In afbeeidmg 1. Het blauw gearceerde dce (de infra

structuur van SSC-ICT voor zover relevant voor Leonardo) als ook de (gencrieke)beheerprocessen bij SSC-ICT zijn in scope van dit onderzoek

Buiten de scope vallen de werkplekken van de eindgebruikers, de netwerkentussen de eindgebruikers en de datacenters, telewerkvoorzieningen, alsmedeautorisatiebeheer van eindgebruikers dat door DFEZ wordt uitgevoerd.

Beheerprocossen op departemant,Ven] bijv. gebruikers- en

(tunctioneel)wijzlglngenbehaerAppllcatle

Database /middleware Beheerprocessen IT-dlenstverlener,

scc icr zoals wijzigings-, gebruikers- enDomein GDI wachtwoordbeheer, beveiliging van

componenten cmi back-up & recovery

T-lntrastructuur

Afbeelding 1. Visuele weergave scope

Werkzaamheden en afbakeningHet onderzoek is uitgevoerd in de periode van 11juli tot 30 september 2016. Deuit te voeren werkzaamheden en te hanteren normenkader is vastgelegd in eenapdrachtbevestiging (ons kenmerk 2016-0000105975).

Door SSC-ICT is op basis van het gehanteerde normenkader per norm informatieaangeleverd over de beheersingsmaatregelen die relevant waren voor de tetoetsen normen. Dit betrof ondermeer procesbeschrijvingen, verslagen,architectuurdocumenten, systeemoverzichten en kwetsbaarhedenscans Op basisvan deze informatje hebben interviews met beleidsmedewerkers, projectielders,applicatiebeheerders, technischbeheerders, netwerkbeheerders en securitybeheerders plaatsgevonden. Daarbij zijn ondermeer instellingen, wijzigingen enrechten van beheerders nagelopen, Het geheel Is begeleid door een projectleidervan SSC-ICT uit het ERP team en de informatiebeveiligingscoördinator.

9 van 13 1 General IT controis Leonardo

De bevindingen zijn per norm vastgelegd en voor hoor/wederhoor afgestemdmet SSC-ICT. De bevindingen en onderliggende stukken zijn vastgelegd in hetdossiersysteem van de ADR,

De werkzaamheden hebben plaats gevonden conform de vastlegging in deopdrachtbevestiging, met uitzondering van de netwerkscan met het Flukemeetinstrument. In plaats hiervan is gebruik gemaakt van de scanresultaten vanhet Secure Operation Center (SOC) van SSC-1CT.

Criterie

Het onderzoek heeft plaatsgevonden aan de hand van het normenkader GeneralIT Controls van de ADR (zie bijlage 1). De normen zijn in opzet, bestaan enwerking getoetst over de periode 1januari 2016 tot en met 30 september 2016.

nrue nnceDeze opdracht is uitgevoerd volgens de Richtlijn voor assuranceopdrachten doorILauditors (NOREA 3000),

ifersprving rapputDe opdrachtgever, E,W. Bezem, is eigenaar van dt rapport.

De ADR is de interne auditdienst van het Rijk. Het rapport over dt onderzoek isprimair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministeriewaarvoor de ADR een rapport heeft geschreven, het rapport binnen zes wekenna oplevering door de ADR op de website van de rijksoverheid plaatst, tenziJdaarvoor een uitzondering geldt. De minister van Financidn stuurt elk halfjaareen overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachterapporten en plaatst dit overzicht op de vebsite.

Gelet op de mogelijke vertrouweljkheid van de Informatie in het rapport inzakespecifieke risico’s, tools, werkwijzen en bevindingen die rnogel!jk inzicht geven inspecifieke kwetsbaarheden in de rrinfrastructuur van de overheid betekent dtdat het ministerie van Ven] kan besluiten delen van dit rapport of het gehelerapport niet te publiceren.

10 van 13 1 Genera’ fl ContrOs Leonardo

-4cilii

E

0

w>0

00

-4

0

ci

0

0ci

00

t

0

100

lul

cv>cv

Dc

00 t0

0tiL)

cr

0Lfl0wcu>

îxiggsbeheerWi;zloinnan in IT voorzieninoen en “‘-—‘—

Samenvattin,.Overal c s opzet te beoordelen —_________________________________________

Toninht:n

Overe c lsl bestaan/we’k Te beoordelenToelchtino

Beoordeelde Normen Wgz:gmgsbehee’ veSt pia’ts conform de volgende vijf normen:W1.1 : W ja3irrgen zijoceectoriseerd.

Wi.2 : W:lzipinneri worden getest.

W1.3 : Wijzigingen worden goedgekeurd met irechtneriino van testresultaten.

W1.4 Functesched no bestaat tussen het anovragen, qoeokevren en don-voeren vu’i WTJZ:ninsen.W1.5 : Periodieke controle op eauto4Jeevrg4;jjgenqer5

Werjktap,pn per NormW1.1 Wijzigingen zijn geai’toriseerd.

Toelcimiec Operationeel: t’iijziçirsen dieren ver te voren te zijn gaastor searS door de ssteemeigenaar (deze ksr notnadelegeerd of os, een anJere wijze vester nwnord,ud zijn zoals in een char’ge ade Sony board (CABfl.BIR formulering;

‘ Er bohoort een gocofnar’”osprccec vos’ n,cz.eo lOT voorzmr r;er te worden vestgeste d en gemptemerteerd (StR6.1.4)

Gerelateerd aan: EIP 6 1 4Testwertzee 1 edsiopzet )nJiner__ — —

Te beoordelenLe’ / t r j Bzai’idpg,pr’j,.,_ —

te beoordelen

W1,2 Wijzigingen worden getest.Touhl Ing Operationeel: Wijziçj’nge wordes getest sri een ardere omgeving dan de productieorrrgeving. Bij het testen is

aandacht voer de belarp ijsle tedni fsk il’sc[,e fus etsu e’tv t»rdrkli erbij,.sas erzsteCtscri tof tebt 4oo1Bill formulering:

Facilitaiteri vo r o twskbe g t ten en pr d rts b ho £ L z u gun hcder o t hel r ben van on eveegde toegangtot of wijzig nger 1 1 et productsesystnesr te vermir ds,r r (BI 10 1 4)

Fr belrore,. eer eerJ r j. riO’s te w rdnn VCrl3eril . v rr 5. w intorscel yvinr’r.s’r, upgraden er r “s.’e vers,,.en er behoort ee geeel kte test ver het systerm of de systemen te worder u tgevcnrd tjdens ontwikkel ng envoorafgaand aan dc acceptate (StR 10 3.2).

Vee aanpassingen (zoals updates) een ss,ftc Cremet es rompo ent n van de lerhrescl’e r’frastructoer wordteatgesteld dat deze de jusste werking von de tesh, isri e cc porenter n cl in ervaar Lrc’rgen (StR 12 S 2)Gerelateerd aan: StR 10.1.4, StR 10.3 2 en BiR 12.5 2

ÏeSrwertz,,T bn.,,.opzet bev:nd,nger:

T beoordelenbests- / osri’ “ Bavindsoges:

Te beoordelen

W1.3 : Wijzigingen worden noedgekeurd met inachtneming van testresultaten.Toe ici-tino Details: Wz’aingei worden door de systcnm.igzrsnr goedgefeord op bevis van gedocenncntonrde testresultate en

ous dearse doorgevoerd n de prodertseomgeswg

BIR formulering:Er behoort een nondkr nccp ome scor r ccce tOt ssorz e-nr;e. te werden vastgest&d ee ge ni,lerr.srteerd (StR

6.1.4).- Er belorer aanveard nus:-.’vr s te wo’der vaeteented ‘, cor r .v. ‘ormaheeystenrsr, uygrales cii n e,.ce -5

es e- hel o -t een gschktn test van het systeem of de cynte.’r’C te dnn uhgesoerd tijde’ 5 ort,bkkei

voorafgaand aas de accep/ JOIR 10.3 2)

Tentwerkzeamhrrcleopzet Bevindingen:

Te beoordelen

bes5aa werk egTe beoordelen

W1,4: Functleschelding bestnsen het aanvra en oedkeuren en doorvoeren van )jz)flin en0,,,.,.,.,,.,.,.,.,,_,,.,.,.Toe ichting Operationeel: Er dient funct esche d ng te zijn ingericht tussen het aanvragen, goedkeuren en doo voeren van

wijzigingen om onbevoegde er o bed ede w Jeig ngen te beperken N erna S T cci o gen af e of proces map opu tvoarend s veau rechten hebben o ii eer gehele cyclus ve handel ngen T 05 krO s h irifor-na ssysteere te

BIR formulering:- Nie-nand -s ecn o,ijer vaLs of prei es v op u tv ere’ u 1 een cc. hO’ h’-’ r n eer geEn yc 115 5

handelingen in een kr t sch informat csysteern te beheersen (81Fl 10.1 3).

Testwerkzaamhedenopzat/bestas 1 Bevrndinger:

Te beoordelen

werkng Bevindingen:

Te beoordelen

Wi.5 : Periodieke controle o ongeautoriseerde wijzigingen.Toelicht:ng Details: Er Siert per ‘-dec cont-ole plaats te vinder’ op wijz.gi”çer San hel systeern, zodanig dat oneigeri

wijzigingen worden ges’gna’eerdGebaseerd op: StR 10 10 2

Testworkzambedenopzet Bevindingen.

Te beoordelenbeotean / werk rg Bevindingen’

Te beoordelen

Categorie *

Doelste no hehenret ssm 1(1 1 01

L1WachtoordbeheerSynterree voor wachtwoordbeheer beho En hEte stIef te orje en moeton bewerkstel Igen dat wachtwoc der van gasot te

t w rd.c koze!5jLR 11 .

SamenvDttîngDeeret torclus a opzet Te beoordelen

ToeDoe al toet1. ioie hestaansoorkino TE beoordelen

Toeechtinn‘enordoetde tlorm_n ‘laclitwoordoeleer oebeur’ ccrform de notneede Ze0n rolt-ree:

Lii t WhtrdonEscrdeT0erloOekqevllZLi.2 Wahtvr-olde-r zdi ver adeauote Sterkte1.1.3 t Twee-fattor aathenticet e wordt Sebreikt bi; onvertrousnde zoonsk14jyctlevesesslesvel)oe__115: Wachtweorden worden efleet versleu1eggpsjyge

1.6 t Gebru kersvccounts der ee eebt ged ewordjne een voo af in eate)d eentat foutygjnlognefl_LJ werknem wordt aandacht bentecd ee nyg viechtwoordbeheer

ta en erNorm___

Werkzaamhedenopzet

erIndleila nerroli,inrE

OperatIoneel: 010 rsCcI-t oo0rder vet çebrvttrs no bolreerde s dIe-ree per odhEk te iie. dro g ij igd Een pond practce In bjmeormaal 50 dagen (BIS) Voer t nee einctitroco doe (or(eooroveto Oj seen euwvctoenI) drnnt deze s-vJzrgng al drect b;nersie gebruis afgea.-. onor t0 wsrdrn. tiecet,rolrze vet shsiO_emjccorrfs <3 een een e Gordsr°r; ZijO fl1301 rondewecht.corden een systvemeo_o0etsdienar roet le .ea-ornaetrclzn 10 z-n hrierrcht (denk breroT aan een erveVppe

erocedo e).

666. formulering:Wetlti-enrdvri hzzbee een neId ke,dszaa eO’ rroxi nee 3 rioranden DerL 001 0 eEt iie. rat tord te w dvii

On,r.zTJ ‘000neur Oct r-azhis-eo-d verlopen is rood: ket arceent çebzkEzud(etrstt 5 3 2)- zra-brvnnrdve d OCIESC. 2. en rit hEn oorkti o-d.r Elbo 1 eer. zee belekia ge 1: reOidencee-, hij 1W eegebro koerden gewijzigd (BIS 1 t S 3 3)

1532/3

deen

_____

Te beoordeler

________

Sea ndnger

____________

doguato sterkte.Operationeel. Evr-v,ectlro..rerd et 0310E d’ree EO lIne tro zr(r, a .dms dort muilifacio a sleetratEe gebw k teworden Ieder wcitvioord boee; elIrIsters S 51fancr eriece tekens, zowel hoofd ets Ce °e letter’ m nstens dét rjrnne erén sne zal sober,.

Te baoordelei

deen.

e wordt oebruikt bli oneirtrouwde zoneistwee factorynnl1catretew)deenbrurkt

666. formulering:

Toegang tot kritIsche toepansleqen of Itepaso 05C Tel ecn hcog ho ig word ve leend op bene een hneofacttrautheotze le (616.11511)

her warh.v,cerd r’c dt ee1 orooed op het sther’ t’jd -el ngese- S’ «.. dl geen rfo-r-r’t ng e°d d dbaotot de eethcnl.catreeegevcns (BIS II 5 1 2)

__________________ _______________ _______________

Gebaerd op: BIS 11.5. t 12

_________________________________________________________________

Sealodugen:

_____________________________________________________________

________

Te beoordelenevrndingen:

Te beoordelen

in.Details: Na een periode cao man maal 15 rrrnuten nact.wteit dient een ncoae te vnrloperr Een voorbeeld hiervan Is het

eutornatrnth vergrendelen eer een ererkstatlor na een periode neen gnbrulkernh nut le hebben Ontaa leen

_________

606. formulering:De pe ode van inactivr er van een wnrkstetlon In eantg steld op maelnaa tS m nuten. Daarr a wordt de FC ee grerdcld Bi

rnatuyijgjt de oensevorbroken wordt StR 1t55fl —

L1.1 t Wachtwoorden wordenloot t’---q

r5ei kzaamiederzpzet

etaar, / i eik rg

11.2 t Woclrtwoa don zijn von

d/a-kzaarnhndee6ev ei

,isslaae / er1’ 1

11 3 : Twee-factor autlnentlcattoet drIng

666. fornruleringr- Bij eete-rr gehEsre eerW eer OrOiC troLlE-irte t’1.5t5.iig e rit Slerke aatl’vtt -,tv(ts.r btW) een geblE.lkern plaats (31511.6 1Gebaseerd op: BES 11 6.1.3 en SANS 1 vsword Cctstrotkon Gnide’nes 2014

bestaan / vierling

L1,4 t Inactinve sessies verlopTcenichl,ng

Leslean / nerking

no, 61011 ‘1 6.1

BevindlngerTe Esenorrielon

11.5 t Wachtwoorden wordenToe!ithkng

Te beoordelen

leen versleutnld ctpqeslatteri,

Werkzaerrfedeepoetabenlaar

werk ng

Details: Wathtwocrdee mcoen ‘int r- orig ccle eo--ir (c’antnol( worden oogeelegerr, mee- denen r’ paats deenvanvers esrteid te wnrrlen

dnen,Te beoordele:ndrnen,Te beoordele

806. formulering:- Wvdl’twoorOen worden noo:rn or’grne-e vorm (pa ‘rcexO) opgeniagon of verstoord, maar In peels daarnon e.Trrrt beeonrtne1d

de hastiwaarde vee het rnecrtwoord opgeslagen (BIS 11 2 3 1)

Gebaseerd op: BIS Ii 2.3 1

L1,6: Gebrulkeraaccounts dienenToe rOt ng

daanlfout1evelDetails: Nadat maaimaal S keer achter elkaar een toet of wechtwoord Is opgegeven voor een arcount d ent deze geblokkeerdIe worden en geen nieuws 1 lootrog nneo te accepteren om zo brute rorce aanval en tngeis le gaan

OJm

h.

to0

E3

ott_r.

t,0

no

‘

ottn

0_c0

Ot

t-tot-

0no,?

-

‘t:><-‘

t:

0t—toto0t

=Otttt

Qo-t::t,

00r0t,

to0—to—‘t.3

-to

-t:,—

toto

ttoto

2

;i

totno

.0C

iii1 o3

-t:too:,tcto

00000

t0t:flj000

_Jj_1-t

0

0

E0

:00

to

t,

t:

t:

-to

t..

to0

to.0

t-

ci0

no

.tot

to

0

t:

0

t,

t0

to

n0

E

to

t

totot

t,::

ttt;—

tt

ttt’

ttt

tt

ttt

tt

ttt

t

ttt

tt

t-tt

tt

t-

t

ttt

tt

tt

ijt—

to

—t

t

)0fl

<L ro “- 9

r3

: c,ET

w 0 0 0 0 0

z

00 t,

0 0 0.

0

1 t, 0 0 0.

t t

21 t

t,.2

—02

0

ert

tt

1*0

t

0

to

t

20’

o0

3‘3

-tt

021

.

3 S

902

3:3

g 0 21

Dotads; Act c’e men to ig cao Ir Ir e wtrtkverkeere-tde e op reE State zodat beve g jn deirter eipeboerten no n 1 00 v oej daS om v order gnjetectoerd Hrcr moet men doeken nar m sbr door geli u o vanrn>ormahenynte en(ourcde e cd ti eate)dev rraehedzjr d t gr 0 degg 1 d dejaarrek big hein oedenCOR fermtdo Ing’

Logbe rchten werden neem chtvh kna nre-rgnvat D ertoe z jn syntr code gbnr tIto gene ere agobiL ore nSeen 1 itorria 01 eed Euent lint Soorg wia mee ldm7e en olerrrop oeper aan de Echo rnrga na o gage eino d n Er t van pchgn bij we ke dreorpelwea de rr S p r en aLr roproepen gqt1ereerd e 0 den )itiR 10 10 1 4)Nete,erke b ro n e zIjne o nee heb e errearre1 voo retwe k o t wg o te be e nte een dat

eorrpatervertn od ogen c tn°o rat not air m r et Otr jS zrjr met het tongen obebi d von de bedrijfotoeparoreqen (Big11° 7)

14 BIR1I47e N He d n 75 etttrtn atm van dntet ‘1

t leit g

Inr’eoarm red ‘n000 t

bent en / werk, g

Datad Zo wIeg btner de toet no ie Inirert uctuur e ndt plaats conforo doe tçangop ntvr do zg’r vantge egd In eenoper000 ee bele dode om t ve rm T & rp ake Ie vnn o Ir’ S oj t en i vortmoec deen on t ode o’twe bio

COR to muleringGroepe t rmat cd e loten gebru k n 01 t t ynt’rr b t r op ren Ee ie e e S g cl ed (IR

114 5)Genaneerdq)p0eRio 1 5

______

—

________

-

__

Ie beoordelenBoeindl eenTo bomen minIem

L3,7 t Net vnrkverke reinon tht ig

direnboon doen —

Boei dlnSerm __ — —

le bto rd’Ien

0 eirtar cr 0 m v Backue & Recoverv wordt do Intearite t een InforannOe en IT voor? erbnaen oehandhafd (StR 10 51

Op het moment dat ch dalaveri es plaatsvindt door ecn calamitert Is het van belang vent te stelen dat dc data d e

race 0 latcgcr re Ir dat geva drer t orriercok pia 111 te vinden roerde betrouebnvrheld mci het harkup els re cv pr

jorores

S rere trol cl II ig

Details, Om te bepa crr er back-up s ook correct ku leen wordt. 1 terugg ‘zet Is cc Cdl belang te bepa n of de rocavery

nrocedure betrouwbaar heeftg[gpctroreerd

_____________________

sta formulering:cr0 jrr (geteste pro er. mes noor back-up e recovery nar ror-nat t. voo he rrchtr ig en to t e stel van verve k rgen

Gebaseerd os: BIR OC 5 1 1

SamenvattingOverall cc clan opzet/bestaan Te bcoordelen

TOve-all to dure sterk rg te beoorde(ec

—

cc rdc’ld No m 3ack&Recavepy 4gyloot taal dc aed ve de vo(gpde normenDe ene citete teteeeeens dre de back up bevat sla ski arrekesn

O12:kurygevens werden ee een ve/Wo locatebewac d zedae/jntenpjyen de back d bI 8013 Het kar -raar

sta en01 1: De per(odic’te(t en liet to yens dle de bocku bevats tea aan bi voor dsa’earroken(no krltrsc amen,

fooiclrti g Details: De pnrrod ci eO vai le back-up ti nsra sn te slurten bIj dc. mce n cel teebestane perrade waarover gegeuns

verte en mogen akea Stel vast dat de back up d ja lie nysteme ei data besta de omvat de relevant Ii voo dc

kennStR formulerrng:ga k upstra cr er vjr e stJesteld op bas var t soort gcgv rs ( et nde data aren enz) de me ermuvi

oegcst ic per rdc 1uur v r g gevu 5 vcrlnr rr ger rake orde y rw -aan to1im,tba b ck up Ci hrste tjc (Blik

(LGebaseerd try BIS tol 1 2

We kzreml di0 et

Te heoorde(

barst arr/ vr rk op LBevrJan_ —

ode(e

01,2: De back-up gegevens v rrr5pen cciii jocatie bewaard zodat de mle rltelt vond! gk-u ebordbji tk —

toe 00 Details’ S l vast nadat Dl t Is t pand dat de back-up tjtilj en ve loOp to s 10 is plo el o snelle t’ jze de

rock up wo-d1 oppas age i Stel valt dat dc e ge opel ba k up een 0 s tJt en t. epde jam gm e opdusd,rrsoeafstaidv debror m5pei dat mcie nejJe/ cakm te dndan se leN cl hcctt op de back u

BIG formule ing

Back cps o d r bewaard op ccii locale 0 zcda g Is gO ovsi date r Ir Our 0 t sp nO. jke tcut net dl

‘ote aar otadoar tot de er ie van d renlst atro(BIR 10 5.1 —_ ——

Gebaseerdqp’BIR10513 — ——

werkocam ccciopzet la0(graen,,,_

Te bcoerdelen

tcstian / verk r Bevdgadr;Te beoordelen

013: Het kunnen terugzettenToelc t g

We kzaaml cdviopzet

in de back-vs, (recovervl wordt oerlotilekoetest,

RU flrtr,,nn

best en / t cml ng drnen - -- -

Te beoerdele

_________ ___________________

Deze handreiking geeft rit Itig aan de uit te voeren werkzaamheden. Als de klant ande e(compe serende) Interne rraatrege en heeft getreDen die h te Ifda do beoogn zul en dezeqdertifceerdmoete v orden er rrteten v order,b’z 5d i- is gs u e o, ak dat tine zj Ca tt des iziy ysbheeiwachtwoordbeheer, gebru kersbeheer ei behee van beveihgi gsccn ponenten eideisteunenee rdoor een eyeteengerchte benade ing frees jk is md en uit de beoorde rig blikt dat ,tgesteund kan worden op eer ge eral ml cent al ze overwoger rroeten w den of conpanserendeijerkzaanheden kun ien worder vcrr tht weer -nee aanactooid In sierden dat een epp atto it al g-d rerde het jaar heeft gefur rbonerd

Deze handrelent eer eye ee ar val ek, waarb een sys ee 1 uit de v Iqendezo iponenter bestaat.

eppl raDe,databese,bestur ngasysteem(n t serk) 0 iigev iig

_________________ ___________

De centrale aanpak per corn i ge hreven eft of de systeerr test wordt uitgevoerd U teraard diente rst Inkek t worden of een p ocedjrc en of be cd h e o t e it is 1 gerief t (controle van decp,”t) a r “es d tsn tsr Ii

Waarden Oordee —________

___________

cloldoende Voldaetn onvoldoende ir ata aa iclggteldka,,

________________

—

“)nealdoende

________ ________________ _____________________ _________ ____________

Te benarde en

_______________________________________ ___________________________

Detail: Basalre mnurmatiebeveilgl,g Rijksd eest (Bil) 2012 diert e uitgargspunt voor de Ir ditdagygt,g,gormuleyrde r ormen

BIR Bron.rch lii

__________________________ ___________________ _______________________________

Detail: Harden ng E,n operationeel product op basis van de DaBIRo

____________________

Bron:ljtgH

r

_______ ________________ ________

Deteik: ii e Oper Wei Ap’1 rat a Cc,r i Prect (DNASP) i gw th op het srbeieren ee” dsveil j[ cd var de s ft nrc daar het in kaart bre gc van s tur y 1 51 os er St pract es 0 wasp

__

*

DWASP Bron: os / ve v csvuea or /inbes ahOllnfari Cli rDetails: Handboek A d Dag Rjksaverlred (HAR0), wardt earbevolcn e S r cht ijr omt erd het

— gjoereejj,,e audte rithtl eer omtrent het nerr gstegjgraeve

_____

bAR DeLais: SANS Passv,artl Const uction Gjidel nes” 2014, is toegevoegd als eer vulling op r thtlijneno itrent wachtwaaidbeb eer opdat BIR 11 5 3 is net ajeri aa 1 va zie het efereetiekader

van de B S korrt uit 2004, is t naar aciueel en t t verande ate na d artik” u t 2010 is abstract ev”rwacht dat gebruikers kennis netten v n eet op e iets eet kop d t pu t In ti d t eI b celnz”tbaar acht

SANS POG 2 14 Bron: / i. in S 15 ‘rg 5c- r ty een rees aires

Detail. turop en Dr on Agen y far Nat vork and Irformat a De ur ty (ENISh) uls ceer r In lineoptrend de vel gbe d ver van algaritme en kar als referent e kader vae v” lige hal’ furct e wardree Al aritmes In sier end oaramcte rs real 2014Bron’ 5 / iv cv rr “a eucpae erin , d t ty

1 5 al ete reoort

0rio

ou

OH

0—

rQfO

CI

cu

cO

cn

Cç

0UJ

0

cl)

—oO

:crn

ai

1

Ministerie van Veiligheid en Justitie

> Retouradrea Postbus 20301 2500 EH Den Haag

Ministerie van FinanciënAuditdienst Rijk

In opdracht van Directeur FEZ is door de ADR onderzoek gedaan naar de GeneralIT Controls in het financiële informatiesysteem Leonardo, Dit onderzoek is in hetderde kwartaal van 2016 uitgevoerd en is een vervolg op eerder verkennendonderzoek door de ADR naar de ITInfrastructuur Leonardo (2015, kenmerkADR/2015/1691). Op basis van de onderzoeksresultaten verleent de ADR eengoedkeurend oordeel met beperking. Deze assurance verklaring komt tegemoetaan het verzoek van de controlerend accountant van VenJ en de controlerendaccountant van de Raad voor de rechtspraak om zekerheid te verschaffen overde beheersing van de General IT Controls (CITC) ten behoeve van hunjaarrekeningcontrole over 2016.

Het onderzoek betreft de opzet, bestaan en werking van de beheersmaatregelenen procedures van de technische IT-omgeving van Leonardo, De ADR oordeelt datdeze voldoen aan het ADR normenkader General IT Controls met de volgendebeperkingen:

1. Door SSC ICT worden gecontroleerd, met toestemming van desysteemeigenaar bij Ven), mutaties uitgevoerd in Leonardo, Dit is volgens deADR niet wenselijk. Er is daarbij geen doorbreking van de door Ven) vereistefu

2. Voor dewordt niet voldaan aan de richtlijnen voor geldigheiden complexiteit van wachtwoorden en is er een achterstand in het doorvoerenvan softwarepatches, De risico’s in deze zijn beperkt.

3, Een aantal beheersmaatregelen is medio 2016 ingevoerd, Met betrekking totde assurance verklaring over de periode 1 januari tot 30 september behelstdat een beperking, Het betreft het proces voor het detecteren vankwetsbaarheden en de inperking van softwareservices op de servers (voor eendeel van die softwareservlces Is het onderzoek nog niet afgerond),

Ten aanzien van de geconstateerde beperkingen merken we graag het volgendeop:

1. De door SSC-ICT uitgevoerde mutaties betreffen mutaties als gevolg vancorrecties in het correctieweekend (uitgevoerd onder leiding van DFEZ),gemandateerde datafixes en voor een beperkt aantal meldingen, DFEZ zalscherper controleren op de naleving van gemaakte afspraken ten aanzien van

DIrectIe nencleelEconomIsche Zeker,

Turfmerkt 1472511 EX Den HaagPeotbus 203012500 EH Den HaagwwwrljksoverhsldnI/venjContactpersoonT 070 370 79 11F 070 370 79 04

ProjectraemOnderzeeksprogremrnaLeonardo

Datum 1 december 2016 Ons kenmerk

Onderwerp Reactie op assurancerapport General IT Controls LeonardoUw kenmerk2016-0010207904

Bf beantwoording de datumen ons kenmerk vermelden,Wilt u slechts édn zaak In uwbrief behandelen,

PagIna 1 ver, 2

het gebruikersbeheer door SS&ICT en bekijken op welke wijze deze mutaties DirectIe Finandeel

kunnen worden voorkomen Economeche Zaken

2. We beamen de conclusie uit het rapport dat de risico’s beperkt zijn doordat de Datdesbetreffende appilcatie slechts benaderd kan worden middels een extra 1 december 2016

authenticatie. Deze authenticatie voldoet volledig ten aanzien van de on kenmerk

geldigheid en complexiteit van wachtwoorden DFEZ acht deze beheersing voorde beperkte groep gebruikers die het betreft dan ook als afdoende. Tenaanzien van de servers waar deze applicatie op draait, zal DFEZ aan SSCICTverzoeken het patchbeleid van de servers aan te scherpen,

3. In samenspraak met SSC ICT zal een roadmap worden opgesteld waarin dedoor de ADR gesignaleerde risico’s worden meegenomen. Deze roadmap richtzich op de acijviteiten van het SOC, het operating systern (Windows/Linux) ende Leonardo applicatie. DFEZ zal zich verder ook richten op het verkrijgen vaneen ISAE 3402 verklaring op Leonardo.

Ik dank u tot slot voor het uitvoeren van het onderzoek,

Met vriendelijke groet,

drs. E,W. Bezem

Pagina 2 van 2

Auditdienst RijkPostbus 202012500 EE Den Haag(070) 342 77 00