2. Is uw gemeentelijke
website veilig?
Bart Geerdink
KING
NUP Live!, 8 maart 2012, Bart Geerdink
3. Aankondiging DigiD audits bij gemeenten
• Minster Donner kondigt audit aan in oktober 2011 n.a.v Lektober
• Veel risico’s en lastige uitvoerbaarheid
• Nieuwe Minster Spies nu voorzichtiger: ruime deadline voor
gemeenten, voorlopig geen handhaving
• NCSC publiceert Richtlijn informatiebeveiliging op webapplicaties
• Logius publiceert de Norm voor de assessments (gebaseerd op de
richtlijnen van NCSC)
• Assessment = audit + penetratietest
• Termijn voor uitvoeren assessement voor gemeenten is eind 2013,
grootverbruikers moeten voor eind 2012 voldoen (o.a. Belastingdienst,
UWV, DUO, SVB)
NUP Live!, 8 maart 2012, Bart Geerdink
4. Rolverdeling NCSC,Logius en KING/VNG
Logius
• Beheert en bewaakt de veiligheid van DigiD
• Audit via de Rijksauditdienst
• Logius laat pentesten uitvoeren
• Risicoanalyse van Logius en leveranciers
NCSC
• Waarborgt de digitale veiligheid bij de overheid door monitoring en
standaardisatie (ICT Beveiligingsrichtlijnen voor webapplicaties)
VNG/KING
• Behartigen de belangen van gemeenten en ondersteunen bij
informatiebeveiliging
NUP Live!, 8 maart 2012, Bart Geerdink
5. Relatie met andere standaarden en normen
• OWASP (Open Web Application Security Project
• ISO 2700x
NEN-ISO/IEC 27001 ‘Managementsystemen voor
informatiebeveiliging’
NEN-ISO/IEC 27002 ‘Code voor informatiebeveiliging’
NEN-ISO/IEC 27005 ‘Information security risk
management’
• Platform voor InformatieBeveiliging (PVIB):
Basisnormen Beveiliging en Beheer ICT-infrastructuur
• Nederlandse Overheid Referentie Architectuur (NORA):
Dossier Informatiebeveiliging
NUP Live!, 8 maart 2012, Bart Geerdink
6. KING start met impactanalyse
• Aanleiding: uitvoerbaarheid audits
• In opdracht van BZK en VNG
• Doel: gestandaardiseerde aanpak
• Verwachten d.m.v. kennisdeling en bundelen audit en pentest-
activiteiten eficiency te bewerkstelligen; besparing tijd en geld
• Pilot met 10 gemeenten en hun leveranciers
• Contacten met EDP auditors, pentesters, diverse
CMS/Midoffice/formulieren/hosting-leveranciers
• Planning: resultaten in mei gevolgd door planning audits overige
gemeenten.
NUP Live!, 8 maart 2012, Bart Geerdink
7. Afbakening Scope voor DigiD Audit
• Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op
te pakken, maar de audit beperkt zich tot de norm
• Logius geeft aan: de internet-facing webpagina's, infrastructuur die met
DigiD gekoppeld is.
• Pentest richt zich met name op de frontoffice applicaties, 'is de voordeur
goed op slot'?
• EDP audit richt zich ook wat breder op het beheer van het
systeemlandschap 'staat de achterdeur niet open‘
Voor bepalen scope nu gesprekken met:
• EDP-IT Auditors voor bepalen scope audit
• Pentesters voor bepalen scope penetratietesten
• Voorinventarisatie ICT infrastructuur bij gemeenten voor vaststellen
representatieve steekproef
NUP Live!, 8 maart 2012, Bart Geerdink
8. Starting Gateway
• Onderzoek in opdracht van VNG en KING
• KING en VNG actief structureel ondersteunen
• Gestart in december 2011
• Afronding eind maart
• Interviews
• Voorstel: Gemeentelijke informatiebeveiligingsdienst,
signaleringsdienst, oplossingsdienst, voorlichting en preventiedienst,
kenniscentrum
• Resultaat: helder beeld wat gemeenten van VNG/KING verwachten.
NUP Live!, 8 maart 2012, Bart Geerdink