Nieuwe spelregels voor DigiD-aansluitingen


Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

Vanuit mijn beroepsgroep, de IT-auditors, is er gelukkig een uitgewerkte versie hoe een dergelijke beoordeling op een gestandaardiseerde manier uitgevoerd moet worden. Deze is er eigenlijk om ons te helpen, maar hier kan je als organisatie natuurlijk goed gebruik van maken om inzichtelijk te krijgen hoe de controlerende partij kijkt. Voor het betreffende stuk, lees hier meer over. (Met name bijlage 2 vanaf pagina 9.) Kortom, tijd voor een wijziging in de normen! In deze blog het waarom, de verschillen en de overeenkomsten. Inclusief wat dit voor een organisatie betekent.

Waarom een nieuwe norm?

Digitaal gaan we steeds verder en kunnen we steeds meer online regelen. Er wordt ook steeds meer (verplicht) gekoppeld aan het DigiD-(autorisatie)platform, en dus moet hier ook met de tijd meegegaan worden en zorgen dat er een juiste beheersing is van de aanwezige beveiligingsmaatregelen.

De initiële aanleiding komt vanuit de herziening van de onderliggende raamwerken. Deze vernieuwing van de DigiD-normen komt voort uit het feit dat het Nationaal Cyber Security Centrum (NCSC) in 2015 de ICT-beveiligingsrichtlijnen voor webapplicaties heeft vervangen. De uitwerkingen die gebaseerd zijn op deze richtlijn hobbelen er achteraan.

Verschillen met de nieuwe norm?

Vanuit het in de inleiding genoemde document worden drie nieuwe onderdelen genoemd. Deze kan ik natuurlijk netjes opsommen maar ik wil hierbij ook mijn visie geven wat ik bij organisaties zou gaan inregelen. Vandaar dat ik de eerste twee punten heb samengepakt:

Normen met betrekking tot logging en monitoring (inclusief incidentdetectie en opvolging):

  • Kijk hierbij vooral naar de invulling van de normen C.06 & C.07 (en eventueel U/NW.04)
  • Ben je als organisatie in staat afwijkende verkeersstromen te detecteren tussen het standaard verkeer? Heb je als organisatie door dat wanneer er in de logging een afwijkend patroon volgt? En hoeveel tijd zit er dan tussen de gebeurtenis en detectie? En welke (automatische) acties ga je uitvoeren indien een afwijkend patroon zich voordoet?
  • Deze acties zowel te detecteren en opvolgen op netwerk-, server- en applicatieniveau, of liever nog een combinatie van gebeurtenissen op deze domeinen. Dit vraagt waarschijnlijk een samenwerking tussen verschillende beheereenheden.

Veilig programmeren normen:

  • Kijk hierbij vooral naar de invulling van de normen U/WA.03 & U/WA.04.
  • Invoer- en uitvoer van gegevens en invulvelden inclusief controles zodat hier geen manipulatie op plaats kan vinden.
  • Voldoe aan, en controleer tegen, de OWASP top 10. Dit kan zowel getoetst worden vanuit de broncode als ook de werkende applicatie. Dit kan je als organisatie zelf controleren en ten minste eenmaal per jaar extern laten toetsen.
  • Zorg dat je als organisatie een proces ingericht hebt om dit op gestructureerde wijze aan te pakken en eventuele afwijkingen die uit dit proces komen op te volgen en zowel voor de korte als lange termijn op te lossen.

Kortom, de focus zal blijven liggen op de processen, de kwaliteit van deze processen en de mate waarin een organisatie in staat is om deze kwaliteit te detecteren en bij te sturen (dus, PDCA).

Overeenkomsten met de oude norm!

Dit kan ik op meerdere manieren heel complex beschrijven, maar eigenlijk betreft het gewoon een andere indeling van de oude normen.

Voor de auditor is dit ook direct een goed toetsingsmoment naar de documentatiekwaliteit van de organisatie. Als elk document inderdaad elk jaar ‘zorgvuldig’ gereviewd wordt zal komend jaar blijken of dit juist en volledig wordt gedaan. Bijvoorbeeld:

  • Staat het oude normnummer nog op het document? (zie omnummertabel pagina 31)
  • Dekt het aangepaste document voldoende de nieuwe norm af?
  • Hebben de hierboven beschreven ‘nieuwe’ normen voldoende aandacht gekregen?

Maar ook de aanvraag voor het pentest-onderzoek zal herzien moeten worden. Deze moet de juiste (nieuwe) genummerde normen ondersteunen. Dit is belangrijk zodat de organisatie die de pentest uitvoert ook de juiste maatregelen zal gaan testen. Wordt dit niet gedaan, dan zal er een ‘reparatie’-document geschreven moeten worden waarmee wordt aangetoond dat wel degelijk het juiste getest is.

Voor de vervallen normen (B0-13, B1-03, B3-05, B3-15, B5-01, B7-09) wil je natuurlijk als organisatie nog wel invulling aan blijven geven. Zorg dat de aandacht voor die maatregelen niet verslapt!

En wat moet ik nu veranderen met deze nieuwe norm?

Dan rest natuurlijk de vraag: wat moet je als organisatie anders gaan doen? Het antwoord is vrij simpel. Blijven verbeteren. De nieuwe norm legt ondanks de overeenkomsten en verschillen de lat weer wat hoger. Ook blijven de componenten ‘controle’ en ‘aantoonbaarheid’ heel belangrijk. Zonder deze twee kan je als organisatie niet blijvend aantonen dat je het geheel aan maatregelen op orde hebt. En precies dat is wat er gevraagd wordt en wat je natuurlijk als kwaliteitsgerichte organisatie voor elkaar wil hebben.

Tot slot nog een tip. Bekijk vooral ook de DigiD-normen in de bredere strekking van het oorspronkelijke normenkader (verdieping) deze vindt u hier.

In mijn tijd als IT auditor én als Informatiebeveiliging Consultant heb ik vele uitdagingen hiermee gezien in organisaties. Kan ik je helpen dit voor jouw organisatie op orde te krijgen?

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Patching: Theoretisch niet moeilijk

    Hét proces voor het op orde houden van de updates op al je machines. In elke norm voor informatie-beveiliging (ISO27001, BIR, BIG, NEN7510) komt patching terug en ook bij de DigiD-audit wordt de patching gecontroleerd. Hoe kan je in jouw organisatie ook dit proces voldoende op orde krijgen?

    Lees verder