DIGID

Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit jaarlijks laten toetsen.

Beveiligingsnorm

De norm v2.0 is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties. De norm v2.0 geldt sinds 1 juli 2017 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De norm is gebaseerd op de ICT-beveiligingsrichtlijnen (NSCS, 2015). Voor inhoudelijke vragen over de richtlijn kan men terecht bij NCSC.

Toetsing

Een Register EDP-auditor toetst in een IT-audit of uw organisatie voldoet aan de norm. Onze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

Door de NOREA is een handreiking gepubliceerd met een toelichting op formele aspecten bij de opdrachten voor DigiD-assessments. Deze handreiking vindt u op de website van NOREA. Let op: het betreft een handreiking, geen één op één handhaving.

Penetratietesten

Door NOREA is ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten. Deze handreiking vindt u eveneens op de website van Norea.

Scope toetsing

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

Aanpak

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een van onze RE-auditoren.

Stap 6: bevindingen naar Logius sturen

De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep van de auditors tot stand is gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.

De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd.

Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.

Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er één PDF/A- bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie. Zie de Veelgestelde vragen voor meer informatie over PDF/A en het maken van een PDF/A-bestand.

Indien u de vertrouwelijkheid van uw e-mail wilt waarborgen adviseren wij u het bericht versleuteld op te sturen. Informatie over het versleuteld opsturen van uw assessmentrapportage kunt u vinden onder de veelgestelde vragen.

Gemeenten en ENSIA

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.

Meer informatie over DIGID audit?

Voor meer informatie over DIGID audits of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.