2Staff


 

Neem contact met ons op

IT-beveiligingsassessments DigiD onder verantwoordelijkheid van Register EDP-Auditors

Minister Spies van Binnenlandse Zaken heeft de Kamer geïnformeerd over enkele specifieke maatregelen n.a.v. geconstateerde lekken in gemeentelijke websites. Organisaties die gebruik maken van DigiD, moeten jaarlijks hun ICT-beveiliging toetsen op basis van een ICT-beveiligingsassessment onder verantwoordelijkheid van een Register EDP-Auditor (RE), ingeschreven in het register van de NOREA. Deze organisaties dienen de conclusies te rapporteren aan Logius, de ICT-uitvoeringsdienst van BZK.

Zelf doen of uitbesteden?

De toetsing dient voor de meeste organisaties uiterlijk 31-12-2012 te zijn uitgevoerd. 2Staff kan daarbij ondersteunen. De beveiligings assessments worden uitgevoerd op basis van de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC, voorheen GOVCERT.NL). Ook een ‘hack’-test, ofwel een zogenaamde penetratietest maakt deel uit van deze richtlijnen.

Ten behoeve van de assessments wordt een gefaseerde aanpak gehanteerd, omdat naar verwachting ‘de markt op korte termijn niet kan voldoen aan de benodigde expertise’. Grootgebruikers van DigiD, zoals de Belastingdienst en UWV en de Zorgverzekeraars dienen voor het eind van het jaar de beveiligingsassessment te hebben uitgevoerd, terwijl de overige organisaties als gemeenten, provincies en waterschappen een jaar langer de tijd krijgen. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren.

Het assessment in detail

Algemeen : ICT Beveiligingsrichtlijnen

De ICT- beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC) vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. Deze vormen tevens de basis van de 2Staff beveiligingsassessment. De beveiligingsrichtlijnen zijn breed toepasbaar voor ICT- oplossingen die gebruik maken van webapplicaties. Hierdoor zijn ze zowel door afnemers, als door dienstaanbieders te gebruiken voor aan- en uitbestedingen, toezicht en onderlinge afspraken.

De beveiligingsrichtlijnen zijn mede tot stand gekomen aan de hand van best-practices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen.

De beveiligingsrichtlijnen geven een overzicht van beveiligingsmaatregelen die webapplicaties moeten nemen om een bepaalde mate van veiligheid te bereiken. De maatregelen hebben niet alleen betrekking op de webapplicatie, maar ook op de beheeromgeving en de omringende harden softwareomgeving die noodzakelijk zijn om de webapplicatie te laten functioneren.

Uitvoering: De feitelijke audit

De initiele audit bewaakt de beveiligingsrichtlijnen op hoofdlijnen.
Vervolgens worden in de 2e Fase de maatregelen verder uitgewerkt en gedetailleerd met voorstellen voor inrichting, beheer en ontwikkeling.
De Audit zal worden uitgevoerd onder verantwoordelijkheid van een Register EDP-Auditor (RE), ingeschreven in het register van de NOREA.
Eventuele noodzakelijke IT Technische Internet Audit (Interne Vulnerability Audit en Externe Vulnerability Audit) vormen automatisch een onderdeel van de Assesment.
Indien voor zogeheten self-assessment gekozen is kunnen deze Internet Audits ook separaat worden aangevraagd.

Is er haast bij het toetsen van de ICT-beveiliging? Of is een vacature lastig de juiste EDP-auditor te vinden?

Wilt u gebruik maken van 1 van onze diensten meld u dan aan via ons contactformulier en we nemen binnen 8 uur contact met u op.
Contact

2Staff B.V. 
Europalaan 2
5232 BV 's-Hertogenbosch 

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl