Datasheet DigiD audit en penetratietest
description
Transcript of Datasheet DigiD audit en penetratietest
Beleid
Techn
iekM
ens
De grote incidenten rondom Diginotar en Lektober hebben informatiebeveiliging
bij de overheid breder op de kaart gezet. Toenmalig demissionair minister Spies
heeft in februari 2012 in een brief aan de Tweede Kamer aangegeven dat alle
gemeenten die DigiD gebruiken uiterlijk eind 2013 moeten voldoen aan de norm
ICT-beveiligingsassessment DigiD1. Pinewood en Mazars bieden u een efficiënte
en bewezen aanpak om deze verplichte toetsing en penetratietest uit te voeren.
Datasheet
DigiD audit en penetratietest
Pilot impact-analyse DigiD
Om de kwetsbaarheden van de informatiehuishou-
ding bij organisaties die DigiD gebruiken te onder-
vangen is er in 2012 een impact-analyse ICT-be-
veiligingsassessment DigiD uitgevoerd. Pinewood
heeft in samenwerking met Mazars Management
Consultants meegewerkt aan deze impactanalyse.
Deze analyse had als doel een efficiënte uitvoering
en eenduidige toepassing van de ICT-beveiligings-
richtlijnen bij gemeenten te bewerkstelligen. De
uitkomsten bieden handvatten voor een gestan-
daardiseerde aanpak voor het uitvoeren van de
ICT-beveiligingsassessment bij gemeenten.
Penetratietest belangrijk onderdeel van audit
Tijdens deze door KING geïnitieerde impact-ana-
lyse DigiD heeft Pinewood in samenwerking met
Mazars enkele audits uitgevoerd. Aan de hand van
deze analyse is vastgesteld dat een penetratietest
aan bepaalde eisen moet voldoen ten einde vol-
doende bruikbaar te zijn voor de IT-audit(or). Op
basis van de ervaringen uit deze pilot hebben Ma-
zars en Pinewood een methode ontwikkeld, waar-
mee gemeenten verzekerd zijn dat ze een audit
laten uitvoeren die voldoet aan de eisen die Logius
hieraan stelt. Door de ervaringen uit de pilot kun-
nen Pinewood en Mazars bovendien een efficiënte
en bewezen aanpak aanbieden aan gemeenten.
“Pinewood en Mazars bieden u een
efficiënte en bewezen aanpak voor uw ICT-
beveiligingsassessment DigiD”
Afgezien van het feit dat een penetratietest een
belangrijk onderdeel is in de normering, levert een
penetratietest ook informatie op over de invulling
van een aantal normatieve maatregelen welke in
de webapplicatie, dan wel bij IT-dienstverleners,
dienen te zijn getroffen. In samenwerking met Ma-
zars is een mapping gemaakt van de DigiD normen
en de uit te voeren acties in de penetratietest. De
penetratietest die Pinewood uitvoert voldoet in elk
geval aan de eisen die auditors daaraan stellen.
Een waarschuwing is hier op zijn plaats. In de
markt worden door vele partijen penetratietesten
aangeboden. Er is helaas geen standaard of norme-
ring voor de penetratietest zelf. Het gevolg is dat er
vaak “goedkope” penetratietests worden aangebo-
den. Die zijn dan weinig bruikbaar voor de DigiD-
audit. Wij verwijzen graag naar de bevindingen die
KING daar over heeft2.
Pinewood bv
Delftechpark 57
2628 XJ Delft
T (015) 251 36 36
www.pinewood.nl
1 Logius, Norm ICT-beveiligingsassessment DigiD, versie 1.0, 21 februari 20122 KING, Eindrapportage impactanalyse ICT-beveiligingsassessment DigiD, versie 1.0, 23 juli 2012
Voordelen
Organisaties die gebruik maken van DigiD moeten
jaarlijks hun ICT-beveiliging, voor zover die DigiD
raakt, toetsen op basis van een ICT-beveiligings-
assessment. Uitvoering van dit ICT-beveiligings-
assessment door Pinewood en Mazars biedt de
volgende voordelen:
+ Wij bieden een efficiënte en bewezen aanpak;
+ Wij bieden de mogelijkheid van een pre-pentest
en pre-audit in samenwerking met Mazars om
uw organisatie optimaal voor te bereiden op de
ICT-beveiligingsassessment;
+ Onze aanpak voldoet aan de eisen die Logius stelt
aan de ICT-beveiligingsassessments;
+ Wij hebben veel ervaring met de ICT-beveili-
gingsrichtlijnen voor webapplicaties van het
Nationaal Cyber Security Centrum (NCSC) die als
basis dienen voor de ICT-beveiligingsrichtlijnen
DigiD;
+ Alle bevindingen worden overzichtelijk gerap-
porteerd aan de hand van het normenkader
zoals bepaald door Logius. Tevens ontvangt u
adviezen en quick wins over verbeteringen die u
kunt doorvoeren om uw informatiebeveiliging te
verbeteren.
“Mazars en Pinewood hebben een methode
ontwikkeld waarmee gemeenten verzekerd zijn
dat ze een audit laten uitvoeren die voldoet aan de
eisen die Logius hieraan stelt”
Informatie
Wilt u meer informatie over Pinewood en Mazars,
of heeft u vragen over de ICT-beveiligingsassess-
ment DigiD, neemt u dan direct contact op met
onze security adviseurs via [email protected], of
bel (015) 251 36 36.
Wij maken graag vrijblijvend een afspraak om de
mogelijkheden met u te bespreken.
Andere relevante datasheets:
• Pinewood penetratietest
• Pinewood security review