DigiD audit - SafeHarbour
14.09.2016

Normen DigiD audit 2016 ongewijzigd – of toch niet?

Het normenkader voor de DigiD-assessments over 2016 blijft ongewijzigd. Dit betekent dat voor dit jaar de huidige normen van kracht zijn. Toch kunt u bij de audit voor verrassingen komen te staan omdat er nu anders door de auditoren wordt gekeken. Dit heeft te maken met de handreiking voor de auditoren die is aangepast.

DigiDOrganisaties die gebruik maken van een DigiD-aansluiting, moeten jaarlijks hun ICT-beveiliging toetsen op basis van een ICT-beveiligingsassessment onder verantwoordelijkheid van een Register EDP-Auditor (RE). Aangesloten organisaties moeten het eerstvolgende assessmentrapport inleveren bij Logius vóór 1 mei 2017. Voor nieuwe aansluitingen geldt er een verplicht assessment 2 maanden na ingebruikname.

Formele aspecten van de audit

De werkzaamheden in het kader van deze audit richten zich op het geven van oordelen per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’. Dit gaat over de maatregelen gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting. Het rapport wordt uitsluitend verstrekt ten behoeve van de betreffende organisatie en Logius.

Scope en beoordeling van de maatregelen

Het DigiD ICT-beveiligingsassessment wordt uitgevoerd op de webomgeving van DigiD- aansluiting van de gebruikmakende organisatie. De opdracht omvat het onderzoeken van de opzet en het bestaan van maatregelen en procedures gericht op de ICT-beveiliging van de webomgeving van betreffende DigiD-aansluiting(en). De opdracht omvat geen werkzaamheden met betrekking tot de werking van interne beheersmaatregelen van DigiD-aansluiting.

Wijzigingen handreiking auditoren

Ondanks dat het normenkader niet veranderd is, zijn er toch wijzigingen in de handreiking waar u rekening mee moet houden. We zetten de belangrijkste op een rij:

Norm B0-08

Ten aanzien van de uitvoering van de vulnerabilitytest (norm B0-09) is vorig jaar al de wijziging doorgevoerd dat op grond van een risicoanalyse besloten moest worden hoe vaak een dergelijke securitytest moest worden uitgevoerd. Deze lijn in nu doorgetrokken in de norm B0-08. Ook bij de penetratietest wordt nu verwacht dat op grond van een risico inschatting moet worden bepaald of 1x per jaar testen voldoende is. De auditor zal nu ook vragen om een actieplan waarin deze weging is opgenomen.

Norm B0-12 en B2-1

Voor sommige organisaties was het onduidelijk hoe de normen B0-12 en B2-1 zich tot elkaar verhouden. Beide normen gaan namelijk over het toegangsbeheer. In de handreiking is nu duidelijk aangegeven dat norm B0-12 over de procedurele kant gaat en norm B2-1 gaat over de techniek.

Norm B0-14

Als we kijken naar de contracten met de leveranciers (B0-14) is nu uitdrukkelijk bepaald dat er gedocumenteerde afspraken moeten zijn met de leverancier over de informatiebeveiliging. Een artikel in het contract of een addendum met specifieke eisen of normen zijn noodzakelijk geworden.

Norm B51

Ten aanzien van het sleutelbeheer (Norm B51) is een uitgebreidere uitleg beschreven. De nieuwe toevoeging gaat in op het beveiligd opslaan van de sleutels.

Norm B5-3

Bij de versleuteling van gegevens (norm B5-3) is nu expliciet aangegeven dat persoonsgegevens moeten worden geclassificeerd op grond van de Wbp.

Norm B7-1

Bij norm B7-1 is nu expliciet aangegeven dat de meldingen uit de IDS/IPS moeten worden beoordeeld. Het is aan de auditor om te beoordelen of dit op een adequate wijze gebeurt. We willen zien dat de meldingen bij iemand binnenkomen en afgehandeld worden. Deze aanpassingen zien we ook terug als het gaat om de beoordeling van de log. Dat geldt ook voor een zichtbare controle en afhandeling van signaleringen.

Derdenverklaring

Een belangrijk punt is de verantwoordelijkheid van de auditor van de organisatie ten aanzien van de TPM (derdenverklaring) van een leverancier die door een andere auditor is opgesteld.

Omdat bij de DigiD-assessments sprake is van de carve-out methode geldt dat de IT-auditor van de organisatie slechts verwijst naar het rapport van de IT-auditor van de leverancier. De IT- auditor van de organisatie moet wel vaststellen dat zijn eigen werkzaamheden plus de werkzaamheden van de IT-auditor van de leverancier de juiste en volledige scope afdekken. Daar is geen review van de werkzaamheden van de IT-auditor van de leverancier voor nodig.

De TPM van de IT-auditor zal zeker een voorbehoud maken voor de manier waarop de organisatie gebruik maakt van het systeem. Het voorbehoud dat in de TPM gemaakt wordt zal zich waarschijnlijk richten op de inrichting en het gebruik van het systeem. Wij gaan in de controle op deze voorbehouden in.

DigiD audit via SafeHarbour? Dit hebben wij nodig:

  • Akkoord op deze audit
  • Een TPM van de IT-auditor
  • Nummer van de DigiD-aansluiting
  • Naam van de DigiD-aansluiting

Op basis van de verstrekte TPM nemen we contact op om te bespreken welke inhoudelijke onderdelen tijdens een audit besproken en bekeken gaan worden.

Aan de slag met de DigiD audit

Neem contact met ons op via mail of door te bellen naar 085 208 208 9.