Upload
kinggemeenten
View
405
Download
0
Embed Size (px)
Citation preview
NUP live!NUP live!Eén digitale overheid: betere service, meer gemak
Is uw gemeentelijke website veilig?
Bart GeerdinkKING
NUP Live!, 8 maart 2012, Bart Geerdink
Aankondiging DigiD audits bij gemeenten• Minster Donner kondigt audit aan in oktober 2011 n.a.v Lektober
• Veel risico’s en lastige uitvoerbaarheid
• Nieuwe Minster Spies nu voorzichtiger: ruime deadline voor gemeenten, voorlopig geen handhaving
• NCSC publiceert Richtlijn informatiebeveiliging op webapplicaties
• Logius publiceert de Norm voor de assessments (gebaseerd op de richtlijnen van NCSC)
• Assessment = audit + penetratietest
• Termijn voor uitvoeren assessement voor gemeenten is eind 2013, grootverbruikers moeten voor eind 2012 voldoen (o.a. Belastingdienst, UWV, DUO, SVB)
NUP Live!, 8 maart 2012, Bart Geerdink
Rolverdeling NCSC,Logius en KING/VNGLogius
• Beheert en bewaakt de veiligheid van DigiD
• Audit via de Rijksauditdienst
• Logius laat pentesten uitvoeren
• Risicoanalyse van Logius en leveranciers
NCSC
• Waarborgt de digitale veiligheid bij de overheid door monitoring en standaardisatie (ICT Beveiligingsrichtlijnen voor webapplicaties)
VNG/KING
• Behartigen de belangen van gemeenten en ondersteunen bij informatiebeveiliging
NUP Live!, 8 maart 2012, Bart Geerdink
Relatie met andere standaarden en normen
• OWASP (Open Web Application Security Project
• ISO 2700xNEN-ISO/IEC 27001 ‘Managementsystemen voor
informatiebeveiliging’NEN-ISO/IEC 27002 ‘Code voor informatiebeveiliging’NEN-ISO/IEC 27005 ‘Information security riskmanagement’
• Platform voor InformatieBeveiliging (PVIB):Basisnormen Beveiliging en Beheer ICT-infrastructuur
• Nederlandse Overheid Referentie Architectuur (NORA):Dossier Informatiebeveiliging
NUP Live!, 8 maart 2012, Bart Geerdink
KING start met impactanalyse• Aanleiding: uitvoerbaarheid audits
• In opdracht van BZK en VNG
• Doel: gestandaardiseerde aanpak
• Verwachten d.m.v. kennisdeling en bundelen audit en pentest-activiteiten eficiency te bewerkstelligen; besparing tijd en geld
• Pilot met 10 gemeenten en hun leveranciers
• Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers
• Planning: resultaten in mei gevolgd door planning audits overige gemeenten.
NUP Live!, 8 maart 2012, Bart Geerdink
Afbakening Scope voor DigiD Audit
• Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm
• Logius geeft aan: de internet-facing webpagina's, infrastructuur die met DigiD gekoppeld is.
• Pentest richt zich met name op de frontoffice applicaties, 'is de voordeur goed op slot'?
• EDP audit richt zich ook wat breder op het beheer van het systeemlandschap 'staat de achterdeur niet open‘
Voor bepalen scope nu gesprekken met:• EDP-IT Auditors voor bepalen scope audit• Pentesters voor bepalen scope penetratietesten• Voorinventarisatie ICT infrastructuur bij gemeenten voor vaststellen
representatieve steekproef
NUP Live!, 8 maart 2012, Bart Geerdink
Starting Gateway
• Onderzoek in opdracht van VNG en KING
• KING en VNG actief structureel ondersteunen
• Gestart in december 2011
• Afronding eind maart
• Interviews
• Voorstel: Gemeentelijke informatiebeveiligingsdienst, signaleringsdienst, oplossingsdienst, voorlichting en preventiedienst, kenniscentrum
• Resultaat: helder beeld wat gemeenten van VNG/KING verwachten.
NUP Live!, 8 maart 2012, Bart Geerdink