Upload
hoangdat
View
217
Download
0
Embed Size (px)
Citation preview
3)303.13003—
j
t!)
04)
130U0)(3):13(1)
(-9
‘-tt:t:
incl).t-
“t,
t-t)
ii
4-)4-
01!)C
L030)t..(04
-
13030303:
‘t-
t!4-)
t!4-
t!0
0t1
m8E7J
EO
rI
0(9
ui
r’it4
tSc•1=
‘S
îeJJ
t)
Aanleiding opdracht
Oorde&: Goedkeurend met beperking
1 Bevindingen General IT Controls 6
1.1 W1.Wijzigingsbeheer op orde 6
L2 L1.Wachtwoordbeheer: systeeminstehingen voor wachtwoorden niet altijd
conform de beveiligingsrichtlijn 6
1,3 L2,Gebruikersbeheer: beheerders voeren op verzoek mutaties uit in het primaire
proces 6
1.4 L3,Beveiliging van corriponenien op orde met uitzondering van 6
1.5 01,Overig: backup en restore op orde 7
2 Voortgang ten opzichte van 2015 8
2.1 Lii Beheersing kwetsbaarheden tTcomponenten op orde 8
2.2 01.1 Uitwijktest uitgevoerd, knelpunten geïdentificeerd en verholpen 8
3 Verantwoording onderzoek 9
3.1 Object van onderzoek, afbakening en definities 9
3.2 Werkzaamheden en afbakening3,3 Criteria 10
3,4 Gehanteerde Standaard 10
3,5 Verspreiding rapport 10
4 Ondertekening 11
Bijlage: Management reactie op assurancerapport General IT Controls Leonardo
FEZ 12
Het flnancële informatiesy,teem Leonardo wordt door nagenoeg alle onderdelenvan het minterie van Veil ghed en Justitie (VenJ) gebruikt en is aan de pnma’reprocessyrtemen zoals Grtffe en rekening courant gedetineerden gekopeldOm de ntegritet van de gegevers te waarborgen is een stese vai maatregeirnin en om Leonardo getroffen. Een deel van deze r aatregelen Is gerealiseerd inde ITinfrastructuur en beheerp ocessen bij SSC1CT. SSC-CT is een sharedservice organische van BZK1 de ITdenstcn Irvert voor meederedepartementen.
Dnd 2015 is dooi dc Auditdens R’jK (ADR) n opdCL[t vdn et mi iiste ie vônVel gfed en Justitie (VenJ) een verkennend onderzoek uftgevoerd naa demogel jke riscos m de IT nfrastructuur va Leonardo. In dt onderzoek zijnbevindngen geconstateerd ten aanzie van d beheersng van ITkwetsbaa1 eden en het testen va i de u twijkvoorzeninge t
Daarnaast heeft de controlerend accountant van VenJ en dc conioIerendaccountant van De Raad voor de Rechtspraak verzocht zekerheid te verschaffenover de beheersing van de General IT Controls ten behoeve van de jaarreke&ngcontrole over 2016,
Door de systeemeigenaar (VenJ/DFEZ) Is daarom aan de ADR verzocht om eenfollow up onderzoek uit te voeren naar de eerdere bevindingen, a’smede omzekerheid (assurance) to vorschaffen over de beheersing van de General flCortrms op basis van het genorieke normenkader dat door de Audtd enst Rijknjksbreed wordt gehanteerd voor de beoordehng van General IT Controls, D tnormenkader omvat de onderwerpen wijzigngsbeheer, wachtwoordhcheer,çjebruikersbeheer beveihgng van componenten en beheer vanbacku pvoorzieningen2,
t zK;M n stene vp ennenondsE zske-2 Refsrent e Opdrschtbeveet g ng met kerme k 2016 0000105075 d d 27 je 2016 opdrachtge erE W
Oezem
4 ven 13 1 Gene 5 IT Contro Lecnerdc,
Op grond van ons onderzoek zijn wij met redelijke mate van zekerheid van oordeeldat in opzet, bestaan en werking de beheersmaatregelen en procedures van detechnische 1T omgeving van Leonardo in voldoende mate voldoen aan de getoetstenorm met de volgende beperkingen:
1) Tijdens ons onderzoek is vastgesteld dat beheerders mutaties in het prima reproces var Ven] uitvoeren, Dit betreft mutaties ten behoeve van de jaarafsluiting, door VenJ çjemandateerde wijzigingen of mutaties ten behoeve veriricidentopiossing. Het beleid omtrent de verantwoording van door SSC-ICTdoorgevoerde mutaties is medio 2016 door Ven) aangescherpt, maar was tentijde van het onderzoek nog niet doorgevoerd bij SSCICT. Hierdoor kar nogniet kan worden gesproken over een volledig beheerste situatie,
Op basis van de systeemlogging is door ons aanvullend onderzoek naar de doorbeheerders Ingevoerde mutatles uitgevoerd. Hierbij is geen doorbreking van dedoor Ven] vereiste functiescheldingen In het primaire proces geconstateerd.Daarnaast Is door SSC-1CT aangetoond dat door beheerders uitgevoerdemutaties zijn geregistreerd in het supportsysteem Topdesk.
Op basis dit aanvullende onderzoek zijn wij van mening dat deze beperking nietleidt tot een afkeurende verklaring.
2) Ten aanzien vandeisvastgesteld dat de richtlijnenvoor de geldigheid en complexifit van whtwoorden niet worden gevolgd;tevens is een achterstand In het doorvoeren van so[twarepatches in het
geconstateerd.
Omdat de alIeen via een extra authenticatie te benaderen zijn ener geen kritische kwetsbaarheden op de servers zijn aangetroffen achten wij derisico’s beperkt en zijn wij van mening dat deze beperking niet leidt tot eenafkeurende verklaring.
3) Een aantal beheersingsmaatregeien is medio 2016 ingevoerd. Ten aanzien onsoordeel over de werking over de periode 1 januari tot 30 september 2016 leve tdit de volgende beperking op:a) Het proces voor het detecteren van kwetsbaarheden door SSC-ICT is vanaf
mei 2016 geformaliseerd;b) De inperklng van risicovoile softwareservices (hardening) op Llnuxservers is
per 1 september 2016 uitgevoerd; de hardenlng van Wlndowsservers wasnog in onderzoek.
S vn 13 1 Generai IT controis Leonsrdc
WLWijzîgngsbeheer op ordeWijzigingen in de ITlnfrastructuur van Leonardo worden procesmotig doorgevoerd, De noodzakelijke functiescheidingen in het proces zijn aangebracht.Middels een steekproef over de wijzigingen in de onderzoekspenode hebb n wevastgesteld dat deze door de systeemeigenaar zijn geautonseerd door degebrulkersorganisatle zijn getest en na goedkeuring zijn geimp e ienteerd,
LLWachtwoordbeheer: systeeminstellingen voor wachtwoorden i icta!tijd conform de beveiHgingsrichtlijnDe beveiligingsrichtlijnen voor waLhtwoorden voor gehruiker van Oracie cBSvoldoen aan de beveiligingsrichtlijnei
Ten aanzien vandelsvastgesteld dat de systee-nstellingen voor de geldigheid en complexiteit van wachtwoorden niet aar de
norr voldoen Dit risico wordt beperkt doordatgebrukers een extraauthenticatle moeten doorlopen.
Ten aanzien van Oracle cBS beheerders is een afwijking ten opzichte van devoorgeschreven norm voor de maximale geldigheid van wachtwoordenvasigesteld
2Gebruikersbeheer: Beheerders vo n op verzoek mutaties uit in hetprimaire procesTijdens ons onderzoek Is vastgesteld dat beheerders mutatles in het pr malre procesvan VenJ uitvoeren Dit betreft mutaties ten behoeve van de jaarafsluiting (15, 16januari 2016), door VenJ gemandateerde wijzigingen of mutaties ten behoeve vanincidentoplossing, Het beleid omtrent de verantwoording van door SSC-ICT doorgevoerde mutaties is medio 2016 door Ven] aangescherpt. De verantwoording overdit beleid door SSC-ICT was ten tijde van het onderzoek nog niet afgerond waardoornog niet gesproken kan worden over een volledig beheerste situatie.
Aanvullend onderzoek naar de door beheerders uitgevoerde mutaties heeft geendoorbreking van de door Ven] vereiste functiescheidingen in het primaire procesaangetoond. Daarnaast is vastgesteld dat de door beheerders in 2016 uitgevoerdemutaties zijn te herleiden naar in Topdesk geregistreerde seruicemeldingen.
L3Bevelliging van componenten op orde niet uitzondering vanserverDoor te toepassing van steppingstones voor de toegang tot beheerconsoles, beveiliging van het netwerk middels firewalis, patching van software, de wekelijksetoetsing op kwetsbaarheden en afhandeling hiervan middels de reguliere beheer-processen zijn de onderliggende IT-componenten van Oracle cBS beschermdtegen ongeautoriseerde toegang, verandering, verminking en oneigenlijkgebruik.
Ten aanzien vandezijnafwijkingen in het patchprocesgeconstateerd waardoor een achterstand in het patchlevel is ontstaan Er zijnechter geen kritische kwetsbaarheden op deze servers geconstateerd.
6 vn 13 1 Gene ai rr Contr2ia Leonardo
11Pl
in‘4
Voortciang ten opzichte van 2015
21 L31 Beheersing kwetsbaarheden ITcomponenten op ordeTijdens het vorige onderzoek in 2015 is geconstateerd dat de processen van hetSecure Operation Center (SOC) niet aansloten op de beheerprocessen. Een vandc gevolgen was dat niet alle kwetsbaarheden in de software tijdig werdengepatchh
Vastgesteld is dat het afhandelen van de resultaten van de kwetsbaarhedenscansprocesmatig is ingericht. De kwetsbaarhedenscans worden vanaf mei 2016wekelijks uitgevoerd en critical en high kwetsbaarheden worden via Topdeskafgehandeld
01.1 Uitwijktest uitgevoerd, knelpunten geïdentificeerd en verholpenTijdens het vorige onderzoek kwam naar voren dat de beoogde uitwijktijd vanvier uur niet mogehk was.
Begin 2015 is het uitwijkdraaiboek opgesteld en is in augustus 2016 een uitwijktest gehouden. Ondanks dat de afgesproken norm van 4 uur nog niet is gehaald(het was 6 uur), is inzicht gekregen in de knelpunten van de technische inrichtingvan de uitwijkvoorzieningen en de te volgen procedurestappen. Het merendeelvan de knelpunten Is overigens al tijdens de uitwijktest verholpen.
S van 13 1 General IT Centrale Leenarda
Object van onderzoek, afbakening en definities
Het object van onderzoek betreft de general IT-controls ten behoeve van de ITdienst Leonardo, zoals deze binnen de datacenters van SSC-CT wordt onderhouden. In scope zijn de volgende beheerprocessen:
Wijzigingsbeheer;Wachtwoordbeheer;
- Gebruikersbeheer;Beveihg:ng van camponenten;
- Back-up en recovery.
De scope is weergegeven In afbeeidmg 1. Het blauw gearceerde dce (de infra
structuur van SSC-ICT voor zover relevant voor Leonardo) als ook de (gencrieke)beheerprocessen bij SSC-ICT zijn in scope van dit onderzoek
Buiten de scope vallen de werkplekken van de eindgebruikers, de netwerkentussen de eindgebruikers en de datacenters, telewerkvoorzieningen, alsmedeautorisatiebeheer van eindgebruikers dat door DFEZ wordt uitgevoerd.
Beheerprocossen op departemant,Ven] bijv. gebruikers- en
(tunctioneel)wijzlglngenbehaerAppllcatle
Database /middleware Beheerprocessen IT-dlenstverlener,
scc icr zoals wijzigings-, gebruikers- enDomein GDI wachtwoordbeheer, beveiliging van
componenten cmi back-up & recovery
T-lntrastructuur
Afbeelding 1. Visuele weergave scope
Werkzaamheden en afbakeningHet onderzoek is uitgevoerd in de periode van 11juli tot 30 september 2016. Deuit te voeren werkzaamheden en te hanteren normenkader is vastgelegd in eenapdrachtbevestiging (ons kenmerk 2016-0000105975).
Door SSC-ICT is op basis van het gehanteerde normenkader per norm informatieaangeleverd over de beheersingsmaatregelen die relevant waren voor de tetoetsen normen. Dit betrof ondermeer procesbeschrijvingen, verslagen,architectuurdocumenten, systeemoverzichten en kwetsbaarhedenscans Op basisvan deze informatje hebben interviews met beleidsmedewerkers, projectielders,applicatiebeheerders, technischbeheerders, netwerkbeheerders en securitybeheerders plaatsgevonden. Daarbij zijn ondermeer instellingen, wijzigingen enrechten van beheerders nagelopen, Het geheel Is begeleid door een projectleidervan SSC-ICT uit het ERP team en de informatiebeveiligingscoördinator.
9 van 13 1 General IT controis Leonardo
De bevindingen zijn per norm vastgelegd en voor hoor/wederhoor afgestemdmet SSC-ICT. De bevindingen en onderliggende stukken zijn vastgelegd in hetdossiersysteem van de ADR,
De werkzaamheden hebben plaats gevonden conform de vastlegging in deopdrachtbevestiging, met uitzondering van de netwerkscan met het Flukemeetinstrument. In plaats hiervan is gebruik gemaakt van de scanresultaten vanhet Secure Operation Center (SOC) van SSC-1CT.
Criterie
Het onderzoek heeft plaatsgevonden aan de hand van het normenkader GeneralIT Controls van de ADR (zie bijlage 1). De normen zijn in opzet, bestaan enwerking getoetst over de periode 1januari 2016 tot en met 30 september 2016.
nrue nnceDeze opdracht is uitgevoerd volgens de Richtlijn voor assuranceopdrachten doorILauditors (NOREA 3000),
ifersprving rapputDe opdrachtgever, E,W. Bezem, is eigenaar van dt rapport.
De ADR is de interne auditdienst van het Rijk. Het rapport over dt onderzoek isprimair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministeriewaarvoor de ADR een rapport heeft geschreven, het rapport binnen zes wekenna oplevering door de ADR op de website van de rijksoverheid plaatst, tenziJdaarvoor een uitzondering geldt. De minister van Financidn stuurt elk halfjaareen overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachterapporten en plaatst dit overzicht op de vebsite.
Gelet op de mogelijke vertrouweljkheid van de Informatie in het rapport inzakespecifieke risico’s, tools, werkwijzen en bevindingen die rnogel!jk inzicht geven inspecifieke kwetsbaarheden in de rrinfrastructuur van de overheid betekent dtdat het ministerie van Ven] kan besluiten delen van dit rapport of het gehelerapport niet te publiceren.
10 van 13 1 Genera’ fl ContrOs Leonardo
-4cilii
E
0
w>0
00
-4
0
ci
0
0ci
00
t
0
100
lul
cv>cv
Dc
00 t0
0tiL)
cr
0Lfl0wcu>
îxiggsbeheerWi;zloinnan in IT voorzieninoen en “‘-—‘—
Samenvattin,.Overal c s opzet te beoordelen —_________________________________________
Toninht:n
Overe c lsl bestaan/we’k Te beoordelenToelchtino
Beoordeelde Normen Wgz:gmgsbehee’ veSt pia’ts conform de volgende vijf normen:W1.1 : W ja3irrgen zijoceectoriseerd.
Wi.2 : W:lzipinneri worden getest.
W1.3 : Wijzigingen worden goedgekeurd met irechtneriino van testresultaten.
W1.4 Functesched no bestaat tussen het anovragen, qoeokevren en don-voeren vu’i WTJZ:ninsen.W1.5 : Periodieke controle op eauto4Jeevrg4;jjgenqer5
Werjktap,pn per NormW1.1 Wijzigingen zijn geai’toriseerd.
Toelcimiec Operationeel: t’iijziçirsen dieren ver te voren te zijn gaastor searS door de ssteemeigenaar (deze ksr notnadelegeerd of os, een anJere wijze vester nwnord,ud zijn zoals in een char’ge ade Sony board (CABfl.BIR formulering;
‘ Er bohoort een gocofnar’”osprccec vos’ n,cz.eo lOT voorzmr r;er te worden vestgeste d en gemptemerteerd (StR6.1.4)
Gerelateerd aan: EIP 6 1 4Testwertzee 1 edsiopzet )nJiner__ — —
Te beoordelenLe’ / t r j Bzai’idpg,pr’j,.,_ —
te beoordelen
W1,2 Wijzigingen worden getest.Touhl Ing Operationeel: Wijziçj’nge wordes getest sri een ardere omgeving dan de productieorrrgeving. Bij het testen is
aandacht voer de belarp ijsle tedni fsk il’sc[,e fus etsu e’tv t»rdrkli erbij,.sas erzsteCtscri tof tebt 4oo1Bill formulering:
Facilitaiteri vo r o twskbe g t ten en pr d rts b ho £ L z u gun hcder o t hel r ben van on eveegde toegangtot of wijzig nger 1 1 et productsesystnesr te vermir ds,r r (BI 10 1 4)
Fr belrore,. eer eerJ r j. riO’s te w rdnn VCrl3eril . v rr 5. w intorscel yvinr’r.s’r, upgraden er r “s.’e vers,,.en er behoort ee geeel kte test ver het systerm of de systemen te worder u tgevcnrd tjdens ontwikkel ng envoorafgaand aan dc acceptate (StR 10 3.2).
Vee aanpassingen (zoals updates) een ss,ftc Cremet es rompo ent n van de lerhrescl’e r’frastructoer wordteatgesteld dat deze de jusste werking von de tesh, isri e cc porenter n cl in ervaar Lrc’rgen (StR 12 S 2)Gerelateerd aan: StR 10.1.4, StR 10.3 2 en BiR 12.5 2
ÏeSrwertz,,T bn.,,.opzet bev:nd,nger:
T beoordelenbests- / osri’ “ Bavindsoges:
Te beoordelen
W1.3 : Wijzigingen worden noedgekeurd met inachtneming van testresultaten.Toe ici-tino Details: Wz’aingei worden door de systcnm.igzrsnr goedgefeord op bevis van gedocenncntonrde testresultate en
ous dearse doorgevoerd n de prodertseomgeswg
BIR formulering:Er behoort een nondkr nccp ome scor r ccce tOt ssorz e-nr;e. te werden vastgest&d ee ge ni,lerr.srteerd (StR
6.1.4).- Er belorer aanveard nus:-.’vr s te wo’der vaeteented ‘, cor r .v. ‘ormaheeystenrsr, uygrales cii n e,.ce -5
es e- hel o -t een gschktn test van het systeem of de cynte.’r’C te dnn uhgesoerd tijde’ 5 ort,bkkei
voorafgaand aas de accep/ JOIR 10.3 2)
Tentwerkzeamhrrcleopzet Bevindingen:
Te beoordelen
bes5aa werk egTe beoordelen
W1,4: Functleschelding bestnsen het aanvra en oedkeuren en doorvoeren van )jz)flin en0,,,.,.,.,,.,.,.,.,,_,,.,.,.Toe ichting Operationeel: Er dient funct esche d ng te zijn ingericht tussen het aanvragen, goedkeuren en doo voeren van
wijzigingen om onbevoegde er o bed ede w Jeig ngen te beperken N erna S T cci o gen af e of proces map opu tvoarend s veau rechten hebben o ii eer gehele cyclus ve handel ngen T 05 krO s h irifor-na ssysteere te
BIR formulering:- Nie-nand -s ecn o,ijer vaLs of prei es v op u tv ere’ u 1 een cc. hO’ h’-’ r n eer geEn yc 115 5
handelingen in een kr t sch informat csysteern te beheersen (81Fl 10.1 3).
Testwerkzaamhedenopzat/bestas 1 Bevrndinger:
Te beoordelen
werkng Bevindingen:
Te beoordelen
Wi.5 : Periodieke controle o ongeautoriseerde wijzigingen.Toelicht:ng Details: Er Siert per ‘-dec cont-ole plaats te vinder’ op wijz.gi”çer San hel systeern, zodanig dat oneigeri
wijzigingen worden ges’gna’eerdGebaseerd op: StR 10 10 2
Testworkzambedenopzet Bevindingen.
Te beoordelenbeotean / werk rg Bevindingen’
Te beoordelen
Categorie *
Doelste no hehenret ssm 1(1 1 01
L1WachtoordbeheerSynterree voor wachtwoordbeheer beho En hEte stIef te orje en moeton bewerkstel Igen dat wachtwoc der van gasot te
t w rd.c koze!5jLR 11 .
SamenvDttîngDeeret torclus a opzet Te beoordelen
ToeDoe al toet1. ioie hestaansoorkino TE beoordelen
Toeechtinn‘enordoetde tlorm_n ‘laclitwoordoeleer oebeur’ ccrform de notneede Ze0n rolt-ree:
Lii t WhtrdonEscrdeT0erloOekqevllZLi.2 Wahtvr-olde-r zdi ver adeauote Sterkte1.1.3 t Twee-fattor aathenticet e wordt Sebreikt bi; onvertrousnde zoonsk14jyctlevesesslesvel)oe__115: Wachtweorden worden efleet versleu1eggpsjyge
1.6 t Gebru kersvccounts der ee eebt ged ewordjne een voo af in eate)d eentat foutygjnlognefl_LJ werknem wordt aandacht bentecd ee nyg viechtwoordbeheer
ta en erNorm___
Werkzaamhedenopzet
erIndleila nerroli,inrE
OperatIoneel: 010 rsCcI-t oo0rder vet çebrvttrs no bolreerde s dIe-ree per odhEk te iie. dro g ij igd Een pond practce In bjmeormaal 50 dagen (BIS) Voer t nee einctitroco doe (or(eooroveto Oj seen euwvctoenI) drnnt deze s-vJzrgng al drect b;nersie gebruis afgea.-. onor t0 wsrdrn. tiecet,rolrze vet shsiO_emjccorrfs <3 een een e Gordsr°r; ZijO fl1301 rondewecht.corden een systvemeo_o0etsdienar roet le .ea-ornaetrclzn 10 z-n hrierrcht (denk breroT aan een erveVppe
erocedo e).
666. formulering:Wetlti-enrdvri hzzbee een neId ke,dszaa eO’ rroxi nee 3 rioranden DerL 001 0 eEt iie. rat tord te w dvii
On,r.zTJ ‘000neur Oct r-azhis-eo-d verlopen is rood: ket arceent çebzkEzud(etrstt 5 3 2)- zra-brvnnrdve d OCIESC. 2. en rit hEn oorkti o-d.r Elbo 1 eer. zee belekia ge 1: reOidencee-, hij 1W eegebro koerden gewijzigd (BIS 1 t S 3 3)
1532/3
deen
_____
Te beoordeler
________
Sea ndnger
____________
doguato sterkte.Operationeel. Evr-v,ectlro..rerd et 0310E d’ree EO lIne tro zr(r, a .dms dort muilifacio a sleetratEe gebw k teworden Ieder wcitvioord boee; elIrIsters S 51fancr eriece tekens, zowel hoofd ets Ce °e letter’ m nstens dét rjrnne erén sne zal sober,.
Te baoordelei
deen.
e wordt oebruikt bli oneirtrouwde zoneistwee factorynnl1catretew)deenbrurkt
666. formulering:
Toegang tot kritIsche toepansleqen of Itepaso 05C Tel ecn hcog ho ig word ve leend op bene een hneofacttrautheotze le (616.11511)
her warh.v,cerd r’c dt ee1 orooed op het sther’ t’jd -el ngese- S’ «.. dl geen rfo-r-r’t ng e°d d dbaotot de eethcnl.catreeegevcns (BIS II 5 1 2)
__________________ _______________ _______________
Gebaerd op: BIS 11.5. t 12
_________________________________________________________________
Sealodugen:
_____________________________________________________________
________
Te beoordelenevrndingen:
Te beoordelen
in.Details: Na een periode cao man maal 15 rrrnuten nact.wteit dient een ncoae te vnrloperr Een voorbeeld hiervan Is het
eutornatrnth vergrendelen eer een ererkstatlor na een periode neen gnbrulkernh nut le hebben Ontaa leen
_________
606. formulering:De pe ode van inactivr er van een wnrkstetlon In eantg steld op maelnaa tS m nuten. Daarr a wordt de FC ee grerdcld Bi
rnatuyijgjt de oensevorbroken wordt StR 1t55fl —
L1.1 t Wachtwoorden wordenloot t’---q
r5ei kzaamiederzpzet
etaar, / i eik rg
11.2 t Woclrtwoa don zijn von
d/a-kzaarnhndee6ev ei
,isslaae / er1’ 1
11 3 : Twee-factor autlnentlcattoet drIng
666. fornruleringr- Bij eete-rr gehEsre eerW eer OrOiC troLlE-irte t’1.5t5.iig e rit Slerke aatl’vtt -,tv(ts.r btW) een geblE.lkern plaats (31511.6 1Gebaseerd op: BES 11 6.1.3 en SANS 1 vsword Cctstrotkon Gnide’nes 2014
bestaan / vierling
L1,4 t Inactinve sessies verlopTcenichl,ng
Leslean / nerking
no, 61011 ‘1 6.1
BevindlngerTe Esenorrielon
11.5 t Wachtwoorden wordenToe!ithkng
Te beoordelen
leen versleutnld ctpqeslatteri,
Werkzaerrfedeepoetabenlaar
werk ng
Details: Wathtwocrdee mcoen ‘int r- orig ccle eo--ir (c’antnol( worden oogeelegerr, mee- denen r’ paats deenvanvers esrteid te wnrrlen
dnen,Te beoordele:ndrnen,Te beoordele
806. formulering:- Wvdl’twoorOen worden noo:rn or’grne-e vorm (pa ‘rcexO) opgeniagon of verstoord, maar In peels daarnon e.Trrrt beeonrtne1d
de hastiwaarde vee het rnecrtwoord opgeslagen (BIS 11 2 3 1)
Gebaseerd op: BIS Ii 2.3 1
L1,6: Gebrulkeraaccounts dienenToe rOt ng
daanlfout1evelDetails: Nadat maaimaal S keer achter elkaar een toet of wechtwoord Is opgegeven voor een arcount d ent deze geblokkeerdIe worden en geen nieuws 1 lootrog nneo te accepteren om zo brute rorce aanval en tngeis le gaan
OJm
h.
to0
E3
ott_r.
t,0
no
‘
ottn
0_c0
Ot
t-tot-
0no,?
-
‘t:><-‘
t:
0t—toto0t
=Otttt
Qo-t::t,
00r0t,
to0—to—‘t.3
-to
-t:,—
toto
ttoto
2
;i
totno
.0C
iii1 o3
-t:too:,tcto
00000
t0t:flj000
_Jj_1-t
0
0
E0
:00
to
t,
t:
t:
-to
t..
to0
to.0
t-
ci0
no
.tot
to
0
t:
0
t,
t0
to
n0
E
to
t
totot
t,::
ttt;—
tt
ttt’
ttt
tt
ttt
tt
ttt
t
ttt
tt
t-tt
tt
t-
t
ttt
tt
tt
ijt—
to
—t
t
)0fl
<L ro “- 9
r3
: c,ET
w 0 0 0 0 0
z
00 t,
0 0 0.
0
1 t, 0 0 0.
t t
21 t
t,.2
—02
0
ert
tt
1*0
t
0
to
t
20’
o0
3‘3
-tt
021
.
3 S
902
3:3
g 0 21
Dotads; Act c’e men to ig cao Ir Ir e wtrtkverkeere-tde e op reE State zodat beve g jn deirter eipeboerten no n 1 00 v oej daS om v order gnjetectoerd Hrcr moet men doeken nar m sbr door geli u o vanrn>ormahenynte en(ourcde e cd ti eate)dev rraehedzjr d t gr 0 degg 1 d dejaarrek big hein oedenCOR fermtdo Ing’
Logbe rchten werden neem chtvh kna nre-rgnvat D ertoe z jn syntr code gbnr tIto gene ere agobiL ore nSeen 1 itorria 01 eed Euent lint Soorg wia mee ldm7e en olerrrop oeper aan de Echo rnrga na o gage eino d n Er t van pchgn bij we ke dreorpelwea de rr S p r en aLr roproepen gqt1ereerd e 0 den )itiR 10 10 1 4)Nete,erke b ro n e zIjne o nee heb e errearre1 voo retwe k o t wg o te be e nte een dat
eorrpatervertn od ogen c tn°o rat not air m r et Otr jS zrjr met het tongen obebi d von de bedrijfotoeparoreqen (Big11° 7)
14 BIR1I47e N He d n 75 etttrtn atm van dntet ‘1
t leit g
Inr’eoarm red ‘n000 t
bent en / werk, g
Datad Zo wIeg btner de toet no ie Inirert uctuur e ndt plaats conforo doe tçangop ntvr do zg’r vantge egd In eenoper000 ee bele dode om t ve rm T & rp ake Ie vnn o Ir’ S oj t en i vortmoec deen on t ode o’twe bio
COR to muleringGroepe t rmat cd e loten gebru k n 01 t t ynt’rr b t r op ren Ee ie e e S g cl ed (IR
114 5)Genaneerdq)p0eRio 1 5
______
—
________
-
__
Ie beoordelenBoeindl eenTo bomen minIem
L3,7 t Net vnrkverke reinon tht ig
direnboon doen —
Boei dlnSerm __ — —
le bto rd’Ien
0 eirtar cr 0 m v Backue & Recoverv wordt do Intearite t een InforannOe en IT voor? erbnaen oehandhafd (StR 10 51
Op het moment dat ch dalaveri es plaatsvindt door ecn calamitert Is het van belang vent te stelen dat dc data d e
race 0 latcgcr re Ir dat geva drer t orriercok pia 111 te vinden roerde betrouebnvrheld mci het harkup els re cv pr
jorores
S rere trol cl II ig
Details, Om te bepa crr er back-up s ook correct ku leen wordt. 1 terugg ‘zet Is cc Cdl belang te bepa n of de rocavery
nrocedure betrouwbaar heeftg[gpctroreerd
_____________________
sta formulering:cr0 jrr (geteste pro er. mes noor back-up e recovery nar ror-nat t. voo he rrchtr ig en to t e stel van verve k rgen
Gebaseerd os: BIR OC 5 1 1
SamenvattingOverall cc clan opzet/bestaan Te bcoordelen
TOve-all to dure sterk rg te beoorde(ec
—
cc rdc’ld No m 3ack&Recavepy 4gyloot taal dc aed ve de vo(gpde normenDe ene citete teteeeeens dre de back up bevat sla ski arrekesn
O12:kurygevens werden ee een ve/Wo locatebewac d zedae/jntenpjyen de back d bI 8013 Het kar -raar
sta en01 1: De per(odic’te(t en liet to yens dle de bocku bevats tea aan bi voor dsa’earroken(no krltrsc amen,
fooiclrti g Details: De pnrrod ci eO vai le back-up ti nsra sn te slurten bIj dc. mce n cel teebestane perrade waarover gegeuns
verte en mogen akea Stel vast dat de back up d ja lie nysteme ei data besta de omvat de relevant Ii voo dc
kennStR formulerrng:ga k upstra cr er vjr e stJesteld op bas var t soort gcgv rs ( et nde data aren enz) de me ermuvi
oegcst ic per rdc 1uur v r g gevu 5 vcrlnr rr ger rake orde y rw -aan to1im,tba b ck up Ci hrste tjc (Blik
(LGebaseerd try BIS tol 1 2
We kzreml di0 et
Te heoorde(
barst arr/ vr rk op LBevrJan_ —
ode(e
01,2: De back-up gegevens v rrr5pen cciii jocatie bewaard zodat de mle rltelt vond! gk-u ebordbji tk —
toe 00 Details’ S l vast nadat Dl t Is t pand dat de back-up tjtilj en ve loOp to s 10 is plo el o snelle t’ jze de
rock up wo-d1 oppas age i Stel valt dat dc e ge opel ba k up een 0 s tJt en t. epde jam gm e opdusd,rrsoeafstaidv debror m5pei dat mcie nejJe/ cakm te dndan se leN cl hcctt op de back u
BIG formule ing
Back cps o d r bewaard op ccii locale 0 zcda g Is gO ovsi date r Ir Our 0 t sp nO. jke tcut net dl
‘ote aar otadoar tot de er ie van d renlst atro(BIR 10 5.1 —_ ——
Gebaseerdqp’BIR10513 — ——
werkocam ccciopzet la0(graen,,,_
Te bcoerdelen
tcstian / verk r Bevdgadr;Te beoordelen
013: Het kunnen terugzettenToelc t g
We kzaaml cdviopzet
in de back-vs, (recovervl wordt oerlotilekoetest,
RU flrtr,,nn
best en / t cml ng drnen - -- -
Te beoerdele
_________ ___________________
Deze handreiking geeft rit Itig aan de uit te voeren werkzaamheden. Als de klant ande e(compe serende) Interne rraatrege en heeft getreDen die h te Ifda do beoogn zul en dezeqdertifceerdmoete v orden er rrteten v order,b’z 5d i- is gs u e o, ak dat tine zj Ca tt des iziy ysbheeiwachtwoordbeheer, gebru kersbeheer ei behee van beveihgi gsccn ponenten eideisteunenee rdoor een eyeteengerchte benade ing frees jk is md en uit de beoorde rig blikt dat ,tgesteund kan worden op eer ge eral ml cent al ze overwoger rroeten w den of conpanserendeijerkzaanheden kun ien worder vcrr tht weer -nee aanactooid In sierden dat een epp atto it al g-d rerde het jaar heeft gefur rbonerd
Deze handrelent eer eye ee ar val ek, waarb een sys ee 1 uit de v Iqendezo iponenter bestaat.
eppl raDe,databese,bestur ngasysteem(n t serk) 0 iigev iig
_________________ ___________
De centrale aanpak per corn i ge hreven eft of de systeerr test wordt uitgevoerd U teraard diente rst Inkek t worden of een p ocedjrc en of be cd h e o t e it is 1 gerief t (controle van decp,”t) a r “es d tsn tsr Ii
Waarden Oordee —________
___________
cloldoende Voldaetn onvoldoende ir ata aa iclggteldka,,
________________
—
“)nealdoende
________ ________________ _____________________ _________ ____________
Te benarde en
_______________________________________ ___________________________
Detail: Basalre mnurmatiebeveilgl,g Rijksd eest (Bil) 2012 diert e uitgargspunt voor de Ir ditdagygt,g,gormuleyrde r ormen
BIR Bron.rch lii
__________________________ ___________________ _______________________________
Detail: Harden ng E,n operationeel product op basis van de DaBIRo
____________________
Bron:ljtgH
r
_______ ________________ ________
Deteik: ii e Oper Wei Ap’1 rat a Cc,r i Prect (DNASP) i gw th op het srbeieren ee” dsveil j[ cd var de s ft nrc daar het in kaart bre gc van s tur y 1 51 os er St pract es 0 wasp
__
*
DWASP Bron: os / ve v csvuea or /inbes ahOllnfari Cli rDetails: Handboek A d Dag Rjksaverlred (HAR0), wardt earbevolcn e S r cht ijr omt erd het
— gjoereejj,,e audte rithtl eer omtrent het nerr gstegjgraeve
_____
bAR DeLais: SANS Passv,artl Const uction Gjidel nes” 2014, is toegevoegd als eer vulling op r thtlijneno itrent wachtwaaidbeb eer opdat BIR 11 5 3 is net ajeri aa 1 va zie het efereetiekader
van de B S korrt uit 2004, is t naar aciueel en t t verande ate na d artik” u t 2010 is abstract ev”rwacht dat gebruikers kennis netten v n eet op e iets eet kop d t pu t In ti d t eI b celnz”tbaar acht
SANS POG 2 14 Bron: / i. in S 15 ‘rg 5c- r ty een rees aires
Detail. turop en Dr on Agen y far Nat vork and Irformat a De ur ty (ENISh) uls ceer r In lineoptrend de vel gbe d ver van algaritme en kar als referent e kader vae v” lige hal’ furct e wardree Al aritmes In sier end oaramcte rs real 2014Bron’ 5 / iv cv rr “a eucpae erin , d t ty
1 5 al ete reoort
0rio
ou
OH
0—
rQfO
CI
cu
cO
cn
Cç
0UJ
0
cl)
—oO
:crn
ai
1
Ministerie van Veiligheid en Justitie
> Retouradrea Postbus 20301 2500 EH Den Haag
Ministerie van FinanciënAuditdienst Rijk
In opdracht van Directeur FEZ is door de ADR onderzoek gedaan naar de GeneralIT Controls in het financiële informatiesysteem Leonardo, Dit onderzoek is in hetderde kwartaal van 2016 uitgevoerd en is een vervolg op eerder verkennendonderzoek door de ADR naar de ITInfrastructuur Leonardo (2015, kenmerkADR/2015/1691). Op basis van de onderzoeksresultaten verleent de ADR eengoedkeurend oordeel met beperking. Deze assurance verklaring komt tegemoetaan het verzoek van de controlerend accountant van VenJ en de controlerendaccountant van de Raad voor de rechtspraak om zekerheid te verschaffen overde beheersing van de General IT Controls (CITC) ten behoeve van hunjaarrekeningcontrole over 2016.
Het onderzoek betreft de opzet, bestaan en werking van de beheersmaatregelenen procedures van de technische IT-omgeving van Leonardo, De ADR oordeelt datdeze voldoen aan het ADR normenkader General IT Controls met de volgendebeperkingen:
1. Door SSC ICT worden gecontroleerd, met toestemming van desysteemeigenaar bij Ven), mutaties uitgevoerd in Leonardo, Dit is volgens deADR niet wenselijk. Er is daarbij geen doorbreking van de door Ven) vereistefu
2. Voor dewordt niet voldaan aan de richtlijnen voor geldigheiden complexiteit van wachtwoorden en is er een achterstand in het doorvoerenvan softwarepatches, De risico’s in deze zijn beperkt.
3, Een aantal beheersmaatregelen is medio 2016 ingevoerd, Met betrekking totde assurance verklaring over de periode 1 januari tot 30 september behelstdat een beperking, Het betreft het proces voor het detecteren vankwetsbaarheden en de inperking van softwareservices op de servers (voor eendeel van die softwareservlces Is het onderzoek nog niet afgerond),
Ten aanzien van de geconstateerde beperkingen merken we graag het volgendeop:
1. De door SSC-ICT uitgevoerde mutaties betreffen mutaties als gevolg vancorrecties in het correctieweekend (uitgevoerd onder leiding van DFEZ),gemandateerde datafixes en voor een beperkt aantal meldingen, DFEZ zalscherper controleren op de naleving van gemaakte afspraken ten aanzien van
DIrectIe nencleelEconomIsche Zeker,
Turfmerkt 1472511 EX Den HaagPeotbus 203012500 EH Den HaagwwwrljksoverhsldnI/venjContactpersoonT 070 370 79 11F 070 370 79 04
ProjectraemOnderzeeksprogremrnaLeonardo
Datum 1 december 2016 Ons kenmerk
Onderwerp Reactie op assurancerapport General IT Controls LeonardoUw kenmerk2016-0010207904
Bf beantwoording de datumen ons kenmerk vermelden,Wilt u slechts édn zaak In uwbrief behandelen,
PagIna 1 ver, 2
het gebruikersbeheer door SS&ICT en bekijken op welke wijze deze mutaties DirectIe Finandeel
kunnen worden voorkomen Economeche Zaken
2. We beamen de conclusie uit het rapport dat de risico’s beperkt zijn doordat de Datdesbetreffende appilcatie slechts benaderd kan worden middels een extra 1 december 2016
authenticatie. Deze authenticatie voldoet volledig ten aanzien van de on kenmerk
geldigheid en complexiteit van wachtwoorden DFEZ acht deze beheersing voorde beperkte groep gebruikers die het betreft dan ook als afdoende. Tenaanzien van de servers waar deze applicatie op draait, zal DFEZ aan SSCICTverzoeken het patchbeleid van de servers aan te scherpen,
3. In samenspraak met SSC ICT zal een roadmap worden opgesteld waarin dedoor de ADR gesignaleerde risico’s worden meegenomen. Deze roadmap richtzich op de acijviteiten van het SOC, het operating systern (Windows/Linux) ende Leonardo applicatie. DFEZ zal zich verder ook richten op het verkrijgen vaneen ISAE 3402 verklaring op Leonardo.
Ik dank u tot slot voor het uitvoeren van het onderzoek,
Met vriendelijke groet,
drs. E,W. Bezem
Pagina 2 van 2
Auditdienst RijkPostbus 202012500 EE Den Haag(070) 342 77 00