Meer weten over deze dienst van Secura? Neem dan contact op met
Serge Olijslagers van Protinus IT via mail of bel 030 7440744
Met bijna 14 miljoen “Digitale Identiteiten” is DigiD relevant en veel gebruikt voor de identificatie en authenticatie van gebruikers van webapplicaties van de overhead, de zorg maar ook steeds meer andere organisaties. Voor het garanderen van de veiligheid van DigiD neemt de overheid veel maatregelen maar stelt zij ook eisen aan de organisaties die DigiD gebruiken in hun webapplicaties.
In de aansluitvoorwaarden is opgenomen dat de aansluithouders verplicht zijn jaarlijks hun DigiD aansluiting en webapplicatie te laten controleren door een RE (Register EDP-Auditor) en het auditrapport te delen met Logius. Voor nieuwe DigiD-aansluitingen geldt dat deze binnen twee maanden na inproductiename moeten worden gecontroleerd. Deze ‘DigiD assessments’ gebeuren op basis van het normenkader van Logius en een uitwerking daarvan in een handreiking van de NOREA, de beroepsorganisatie van IT Auditors. Als onderdeel van het assessment vinden kwetsbaarhedenscans en penetratietesten plaats.
Secura heeft een audit team met inhoudelijke kennis en ervaring die onder leiding van RE’s uw DigiD Assessments kunnen uitvoeren. Met de brede dienstverlening van Secura op digital security zijn alle benodigde auditwerkzaamheden en de technische testen op de webapplicaties die gebruik maken van DigiD in één hand. Het is de focus van Secura de aansluithouder zo optimaal mogelijk voor te bereiden en het DigiD assessment soepel te laten verlopen. Naast het fungeren als klankbord volgen wij de ontwikkelingen nauwgezet en organiseren minimaal één keer per jaar een goed bezocht webinar waarin wij iedereen informeren over de laatste feiten en tips geven hoe om te gaan met de DigiD eisen en assessment.
Deze diensten kunnen apart, of in combinatie met elkaar worden afgenomen. Juist in de combinatie van deze diensten wordt de impact van het DigiD-audit proces voor u tot een minimum teruggebracht. Daarnaast beperkt u het risico op tekortkomingen die naar voren kunnen komen bij de formele DigiD assessment. Uw RE is daarbij het ideale klankbord voor vragen over de uitleg van de DigiD normen.
Overzicht diensten
Secura biedt u diverse diensten aan om te voldoen aan het verplicht gestelde normenkader van Logius. Dit zijn:
Pré-Audit DigiD
Om u optimaal voor te bereiden op de formele DigiD Assessment.
De jaarlijkse audit
Uit te voeren door een Register EDP-auditor (RE).
De technische pentesten
In het assessment verplichte test welke op de webapplicaties die gebruik maken van DigiD
Kwetsbaarheden scans
De periodieke scans op de DigiD infrastructuur
De periodieke testen
Op de, met DigiD ontsloten, webapplicaties.
Beschrijving van de diensten
DigiD Pré-Audit
In een DigiD Pré-Audit kijken wij samen met u naar de, bij u aanwezige, maatregelen. Het onderzoek is kort en nog niet gericht op het geven van ‘assurance’ (zekerheid) maar geeft u inzicht in eventuele tekortkomingen. Met een Pré-Audit kunt u de eventuele tekortkomingen tijdig oplossen. Het is daarmee een goede voorbereiding op de uiteindelijke audit.
DigiD Assessment
Het Logius normenkader, (huidige versie 2.0) dat aan de audit ten grondslag ligt, is afgeleid van de NCSC normen voor veilige webapplicaties. Daar zijn veel technische beveiligingsrichtlijnen een onderdeel van. De Handreiking voor DigiD assessments van de NOREA bevat veel uitleg en bevat aanvullende eisen en aandachtspunten die de RE als uitgangspunt moet hanteren bij het DigiD assessment. Het DigiD Assessment verrichten wij conform de gestelde eisen en de verplicht te hanteren Richtlijn 3000 van de NOREA voor het uitvoeren van Assurance onderzoeken.
DigiD Pentest
Het DigiD normenkader vereist dat de aansluithouder minimaal jaarlijks en na elke grote wijziging in de applicatie, een penetratietest uitvoert op de applicatie (webapplicatietest). Secura voert dit type onderzoek veelvuldig uit op basis van de meest actuele kennis over bedreigingen voor webapplicaties. Naast de diepgaande penetratietest is het ook mogelijk een beperkte penetratietest te laten uitvoeren die enkel ingaat op de gestelde eisen in het Logius normenkader. De test van maatregelen in de webapplicatie rond de gebruikersinvoer, het inloggen en uitloggen, de autorisaties en veel andere aspecten voeren wij uit in een test-acceptatie omgeving waarin demo DigiD accounts beschikbaar zijn. De andere testen voeren wij conform de handreiking van de NOREA uit op de productie omgeving. Over deze testen ontvangt u een rapport met bevindingen, risico-inschattingen en aanbevelingen. Tevens nemen wij een specifiek DigiD-hoofdstuk op, waarin alle relevante bevindingen voor de auditor duidelijk worden toegelicht. Bij eventuele tekortkomingen spreken wij met u, rekening houdend met een herstelperiode, een heronderzoek af.
Kwetsbaarhedenscan
Hierbij scannen wij geautomatiseerd een reeks systemen op bekende zwakheden, zoals verkeerd geconfigureerde servers en ontbrekende patches. De Logius norm schrijft voor dat deze scans periodiek dienen plaats te vinden. Wij adviseren dit minimaal maandelijks (te laten) doen. Secura kan deze scans voor u uitvoeren, waarbij wij alle false-positives (onjuist geïdentificeerde zwakheden) zullen verwijderen door deze handmatig te valideren. U krijgt alleen de relevante zwakheden gerapporteerd. Deze scans voeren wij op de productie-omgeving uit. Zo hebben u en de auditor een correct beeld van de omgeving en zal de opvolging van eventuele kwetsbaarheden effectiever zijn.
Voor onze laatste DigiD Webinar klik hier