ICT-beveiligingsassessments DigiD

De norm v2.0 is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties.

De norm v2.0 geldt sinds 1 juli 2017 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De norm is gebaseerd op de ICT-beveiligingsrichtlijnen (NSCS, 2015). Voor inhoudelijke vragen over de richtlijn kan men terecht bij NCSC.

Een Register EDP-auditor toetst in een IT-audit of uw organisatie voldoet aan de norm. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

U kunt contact opnemen met uw accountantskantoor voor het vinden van een auditor. In het register van de NOREA, (Nederlandse Orde van Register EDP-Auditors) staan Register EDP-auditors ingeschreven die voldoen aan internationale regelgeving op het terrein van audit en assurance. Een voorbeeld van deze regelgeving is de 'Code of Ethics' en de International Standards on Auditing (ISA's).

Door de NOREA is een handreiking gepubliceerd met een toelichting op formele aspecten bij de opdrachten voor DigiD-assessments. Deze handreiking vindt u op de website van NOREA. Let op: het betreft een handreiking, geen één op één handhaving.

Door NOREA is ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten.

Deze handreiking vindt u eveneens op de website van Norea.

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". 

Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een RE-auditor.

Stap 6: bevindingen naar Logius sturen

1. De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep van de auditors tot stand is gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.
2. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd. Het postadres is:
   
   
   
   Logius
   
   t.a.v. ICT-Beveiligingsassessments
   
   Antwoordnummer 16073
   
   2501 VE Den Haag
   
   
   
   Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.
   
   
   
   Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

U kunt de rapportage ook digitaal versturen naar: DigiDassessment@logius.nl

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er één PDF/A- bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie. Zie de Veelgestelde vragen voor meer informatie over PDF/A en het maken van een PDF/A-bestand.

Indien u de vertrouwelijkheid van uw e-mail wilt waarborgen adviseren wij u het bericht versleuteld op te sturen. Informatie over het versleuteld opsturen van uw assessmentrapportage kunt u vinden onder de veelgestelde vragen.

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.



Voor inhoudelijke vragen over deze methodiek kunt u contact opnemen met KING:

• Telefoonnummer: 070 250 24 00 (bereikbaar op werkdagen tussen 8.00 - 18.00 uur)
• E-mail: ensia@kinggemeenten.nl