DigiD audits op gemeentelijke websites

673 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
673
On SlideShare
0
From Embeds
0
Number of Embeds
29
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DigiD audits op gemeentelijke websites

  1. 1. NUP live!Eén digitale overheid: betere service, meer gemak
  2. 2. Is uw gemeentelijke website veilig? Bart Geerdink KINGNUP Live!, 8 maart 2012, Bart Geerdink
  3. 3. Aankondiging DigiD audits bij gemeenten • Minster Donner kondigt audit aan in oktober 2011 n.a.v Lektober • Veel risico’s en lastige uitvoerbaarheid • Nieuwe Minster Spies nu voorzichtiger: ruime deadline voor gemeenten, voorlopig geen handhaving • NCSC publiceert Richtlijn informatiebeveiliging op webapplicaties • Logius publiceert de Norm voor de assessments (gebaseerd op de richtlijnen van NCSC) • Assessment = audit + penetratietest • Termijn voor uitvoeren assessement voor gemeenten is eind 2013, grootverbruikers moeten voor eind 2012 voldoen (o.a. Belastingdienst, UWV, DUO, SVB)NUP Live!, 8 maart 2012, Bart Geerdink
  4. 4. Rolverdeling NCSC,Logius en KING/VNG Logius • Beheert en bewaakt de veiligheid van DigiD • Audit via de Rijksauditdienst • Logius laat pentesten uitvoeren • Risicoanalyse van Logius en leveranciers NCSC • Waarborgt de digitale veiligheid bij de overheid door monitoring en standaardisatie (ICT Beveiligingsrichtlijnen voor webapplicaties) VNG/KING • Behartigen de belangen van gemeenten en ondersteunen bij informatiebeveiligingNUP Live!, 8 maart 2012, Bart Geerdink
  5. 5. Relatie met andere standaarden en normen • OWASP (Open Web Application Security Project • ISO 2700x NEN-ISO/IEC 27001 ‘Managementsystemen voor informatiebeveiliging’ NEN-ISO/IEC 27002 ‘Code voor informatiebeveiliging’ NEN-ISO/IEC 27005 ‘Information security risk management’ • Platform voor InformatieBeveiliging (PVIB): Basisnormen Beveiliging en Beheer ICT-infrastructuur • Nederlandse Overheid Referentie Architectuur (NORA): Dossier InformatiebeveiligingNUP Live!, 8 maart 2012, Bart Geerdink
  6. 6. KING start met impactanalyse • Aanleiding: uitvoerbaarheid audits • In opdracht van BZK en VNG • Doel: gestandaardiseerde aanpak • Verwachten d.m.v. kennisdeling en bundelen audit en pentest- activiteiten eficiency te bewerkstelligen; besparing tijd en geld • Pilot met 10 gemeenten en hun leveranciers • Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers • Planning: resultaten in mei gevolgd door planning audits overige gemeenten.NUP Live!, 8 maart 2012, Bart Geerdink
  7. 7. Afbakening Scope voor DigiD Audit • Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm • Logius geeft aan: de internet-facing webpaginas, infrastructuur die met DigiD gekoppeld is. • Pentest richt zich met name op de frontoffice applicaties, is de voordeur goed op slot? • EDP audit richt zich ook wat breder op het beheer van het systeemlandschap staat de achterdeur niet open‘ Voor bepalen scope nu gesprekken met: • EDP-IT Auditors voor bepalen scope audit • Pentesters voor bepalen scope penetratietesten • Voorinventarisatie ICT infrastructuur bij gemeenten voor vaststellen representatieve steekproefNUP Live!, 8 maart 2012, Bart Geerdink
  8. 8. Starting Gateway • Onderzoek in opdracht van VNG en KING • KING en VNG actief structureel ondersteunen • Gestart in december 2011 • Afronding eind maart • Interviews • Voorstel: Gemeentelijke informatiebeveiligingsdienst, signaleringsdienst, oplossingsdienst, voorlichting en preventiedienst, kenniscentrum • Resultaat: helder beeld wat gemeenten van VNG/KING verwachten.NUP Live!, 8 maart 2012, Bart Geerdink

×