• Like
  • Save
DigiD audits op gemeentelijke websites
Upcoming SlideShare
Loading in...5
×
 

DigiD audits op gemeentelijke websites

on

  • 642 views

 

Statistics

Views

Total Views
642
Views on SlideShare
614
Embed Views
28

Actions

Likes
0
Downloads
2
Comments
0

1 Embed 28

http://cocreatie.operatienup.nl 28

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    DigiD audits op gemeentelijke websites DigiD audits op gemeentelijke websites Presentation Transcript

    • NUP live!Eén digitale overheid: betere service, meer gemak
    • Is uw gemeentelijke website veilig? Bart Geerdink KINGNUP Live!, 8 maart 2012, Bart Geerdink
    • Aankondiging DigiD audits bij gemeenten • Minster Donner kondigt audit aan in oktober 2011 n.a.v Lektober • Veel risico’s en lastige uitvoerbaarheid • Nieuwe Minster Spies nu voorzichtiger: ruime deadline voor gemeenten, voorlopig geen handhaving • NCSC publiceert Richtlijn informatiebeveiliging op webapplicaties • Logius publiceert de Norm voor de assessments (gebaseerd op de richtlijnen van NCSC) • Assessment = audit + penetratietest • Termijn voor uitvoeren assessement voor gemeenten is eind 2013, grootverbruikers moeten voor eind 2012 voldoen (o.a. Belastingdienst, UWV, DUO, SVB)NUP Live!, 8 maart 2012, Bart Geerdink
    • Rolverdeling NCSC,Logius en KING/VNG Logius • Beheert en bewaakt de veiligheid van DigiD • Audit via de Rijksauditdienst • Logius laat pentesten uitvoeren • Risicoanalyse van Logius en leveranciers NCSC • Waarborgt de digitale veiligheid bij de overheid door monitoring en standaardisatie (ICT Beveiligingsrichtlijnen voor webapplicaties) VNG/KING • Behartigen de belangen van gemeenten en ondersteunen bij informatiebeveiligingNUP Live!, 8 maart 2012, Bart Geerdink
    • Relatie met andere standaarden en normen • OWASP (Open Web Application Security Project • ISO 2700x NEN-ISO/IEC 27001 ‘Managementsystemen voor informatiebeveiliging’ NEN-ISO/IEC 27002 ‘Code voor informatiebeveiliging’ NEN-ISO/IEC 27005 ‘Information security risk management’ • Platform voor InformatieBeveiliging (PVIB): Basisnormen Beveiliging en Beheer ICT-infrastructuur • Nederlandse Overheid Referentie Architectuur (NORA): Dossier InformatiebeveiligingNUP Live!, 8 maart 2012, Bart Geerdink
    • KING start met impactanalyse • Aanleiding: uitvoerbaarheid audits • In opdracht van BZK en VNG • Doel: gestandaardiseerde aanpak • Verwachten d.m.v. kennisdeling en bundelen audit en pentest- activiteiten eficiency te bewerkstelligen; besparing tijd en geld • Pilot met 10 gemeenten en hun leveranciers • Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers • Planning: resultaten in mei gevolgd door planning audits overige gemeenten.NUP Live!, 8 maart 2012, Bart Geerdink
    • Afbakening Scope voor DigiD Audit • Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm • Logius geeft aan: de internet-facing webpaginas, infrastructuur die met DigiD gekoppeld is. • Pentest richt zich met name op de frontoffice applicaties, is de voordeur goed op slot? • EDP audit richt zich ook wat breder op het beheer van het systeemlandschap staat de achterdeur niet open‘ Voor bepalen scope nu gesprekken met: • EDP-IT Auditors voor bepalen scope audit • Pentesters voor bepalen scope penetratietesten • Voorinventarisatie ICT infrastructuur bij gemeenten voor vaststellen representatieve steekproefNUP Live!, 8 maart 2012, Bart Geerdink
    • Starting Gateway • Onderzoek in opdracht van VNG en KING • KING en VNG actief structureel ondersteunen • Gestart in december 2011 • Afronding eind maart • Interviews • Voorstel: Gemeentelijke informatiebeveiligingsdienst, signaleringsdienst, oplossingsdienst, voorlichting en preventiedienst, kenniscentrum • Resultaat: helder beeld wat gemeenten van VNG/KING verwachten.NUP Live!, 8 maart 2012, Bart Geerdink