Naar aanleiding van een analyse van de resultaten van ICT-beveiligingsassessments DigiD van de afgelopen jaren en het uitbrengen van nieuwe beveiligingsrichtlijnen voor webapplicaties door het Nationaal Cyber Security Centrum (NCSC), heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) het normenkader voor het uitvoeren van DigiD ICTbeveiligingsassessments geactualiseerd.

NOREA Handreiking
Naar aanleiding daarvan heeft NOREA een handreiking bij DigiD-assessments geschreven. Doelstelling van deze handreiking is de IT-auditor een uniform toetsbaar kader te bieden voor het zorgvuldig uitvoeren van een DigiD-assessment op basis van de DigiD Norm 2.0.

Kenmerken normenkader
NOREA beschrijft de volgende kenmerken van het nieuwe normenkader:

  • De aanpak is volgens BZK meer risicogericht en heeft de belangrijkste, momenteel relevante dreigingen als uitgangspunt;
  • Een groot deel van het normenkader blijft gelijk;
  • Daar waar het normenkader in de loop van de jaren zijn effect heeft gehad, wordt de audit verlicht;
  • Door inbreng van de nieuwe normen worden nieuwe risico’s afgedekt en wordt hierdoor het normenkader effectiever en actueler;
  • Het kader wordt aangepast aan de nieuwe NCSC nummering;
  • Door een deel van het kader te wijzigen, hoeft ook maar een deel van de (rapportage)templates, handreikingen etc. aangepast te worden;
  • De doorlooptijd van deze wijziging voor houders, NOREA en Logius is te overzien.

Uitgangspunten bij de Norm v2.0
De focus komt zoveel als mogelijk op technische normen te liggen om zo de overlap met de ISO27001/2 en afgeleiden als de Baseline Informatiebeveiliging Rijk/ Gemeenten e.a. te verkleinen.

De focus ligt op thema’s als:

  • Normen met betrekking tot logging en monitoring;
  • Veilig programmeren normen;
  • Normen met betrekking tot incident detectie en opvolging.

Verschillen en overeenkomsten tussen de Norm v1.0 en de Norm v2.0
De Norm v1.0 was gebaseerd op de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties versie 2012. De Norm v2.0 is gebaseerd op de NCSC ICT-Beveiligingsrichtlijnen voor Webapplicaties richtlijnen versie 2015.

Ten opzichte van de Norm v1.0 heeft BZK de volgende normen laten vervallen:

  • B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd.
  • B1-03 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld.
  • B3-05 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.
  • B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.
  • B5-01 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.
  • B7-09 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

De Norm v2.0 wijkt inhoudelijk niet al te veel af van de Norm v1.0, wel kent het normenkader een andere indeling. De investeringen van houders en hun leveranciers in de methodiek en de vele doorgevoerde verbeteringen hoeven daardoor niet verloren te gaan. Wel dient een omnummering plaats te vinden en zal het controledossier op onderdelen herschikt moeten worden. In bijlage 4 van het door NOREA opgestelde document is een omnummertabel voor de Norm v1.0 naar de Norm v2.0 te vinden: https://www.norea.nl/download/?id=2562.

Guardian360 maakt DigiD Norm 2.0 afwijkingen zichtbaar
De security engineers van Guardian360 hebben de DigiD Norm 2.0 geïmplementeerd binnen het Guardian360 platform. Hierdoor hebben organisaties continu inzicht in of er technische afwijkingen van de DigiD Norm 2.0 zijn. Daardoor kunnen zij snel acteren als dat het geval is en snel (weer) voldoen aan de norm. Daarnaast kunnen deze organisaties eenvoudig aantonen dat zij ‘in control’ zijn. Het Guardian360 platform biedt namelijk die bewijzen die nodig zijn om auditors te overtuigen. De scope van onze compliance module beperkt zich tot de volgende onderdelen: Binnen het ‘Uitvoeringsdomein’ hanteren wij de onderdelen “Web applicaties”, “Platformen en webservers” en “Netwerken”. Binnen het ‘Beheersingsdomein’ hanteren wij het onderdeel “Control”.

Tot 1 januari 2018 zal het Guardian360 platform afwijkingen in zowel de DigiD Norm en de DigiD Norm 2 inzichtelijk maken. Omdat de DigiD Norm 2.0 vanaf 1 oktober 2017 van kracht wordt, zullen vanaf 1 januari 2018 alleen afwijkingen van de DigiD Norm 2.0 inzichtelijk gemaakt worden. De ‘oude’ DigiD norm zal dan komen te vervallen in onze dashboards en rapportages. Uiteraard zijn historische gegevens nog wel op te vragen.

Gratis voor Guardian360 klanten
Bestaande klanten van Guardian360 krijgen de DigiD Norm 2.0 tot eind 2017 gratis in hun dashboard te zien.

Network Security Audits
Het Guardian360 platform is in staat om te scannen volgens de ISO27002, NEN7510, OWASP, NCSC, BIG, BIC, DigiD Norm 1.0, DigiD Norm 2.0. De Compliancy audits van Guardian360 laten u zien in hoeverre u voldoet aan de voor u geldende regels op het gebied van informatiebeveiliging. Met Guardian360’s compliance & website security check gaat u voor een optimale compliancy. Alle issues die gevonden worden tijdens de network security audit worden volautomatisch tegen meerdere normen en eisen van informatiebeveiliging gehouden.

Direct pilot aanvragen

Bronnen
https://www.digid.nl