Beveiligingsassessment voor DigiD gebruikende organisaties

Den Haag, 6 februari 2012 – Minister Spies (bzk) heeft besloten dat alle DigiD gebruikende organisaties een beveiligingsassessment moeten laten uitvoeren op de ICT-beveiliging rond het gebruik van DigiD.

De Minister komt tot het besluit naar aanleiding van een aantal lekken in gemeentelijke websites welke aan het licht kwamen in het derde kwartaal van 2011.

Als norm voor het ICT-beveiligingsassessment dient de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). De richtlijn bevat normen voor basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging. Ook een penetratietest (zgn. ‘hack-test’) maakt deel uit van het assessment.

Het onderzoek dient te worden uitgevoerd onder de verantwoordelijkheid van een Register EDP-auditor die in het register van de NOREA is ingeschreven.

De beveiligingsassessments zullen gefaseerd worden doorgevoerd: ‘grootgebruikers’ van DigiD dienen te zorgen dat het assessment uiterlijk eind 2012 is uitgevoerd, andere organisaties uiterlijk een jaar later.

Hier kunt u de kamerbrief van de Minister downloaden.

Indien u wilt weten wat Duijnborgh Audit voor u kan betekenen m.b.t. dit assessment, klik dan hier.

 

Update 17/8/2012:

KING (het Kwaliteits Instituut Nederlandse gemeenten) heeft in opdracht van BZK en VNG een impactanalyse uitgevoerd. De analyse is uitgevoerd onder negen gemeenten, hun leveranciers en betrokken auditors en pentesters. Het doel van de impactanalyse is te komen tot een gestandaardiseerde aanpak voor gemeenten voor het uitvoeren van het jaarlijkse ICT-beveiligingsassessment. Belangrijke bevinding is dat op dit moment sprake is van onvoldoende gevoel van urgentie, terwijl de doorlooptijd van het hele assessment minimaal op ongeveer 6 maanden wordt geschat. Geen enkele van de onderzoicht gemeenten is op dit moment helemaal klaar voor het assessment.

Beveiligingsassessment voor DigiD gebruikende organisaties

Den Haag, 6 februari 2012 – Minister Spies (bzk) heeft besloten dat alle DigiD gebruikende organisaties een beveiligingsassessment moeten laten uitvoeren op de ICT-beveiliging rond het gebruik van DigiD.

De Minister komt tot het besluit naar aanleiding van een aantal lekken in gemeentelijke websites welke aan het licht kwamen in het derde kwartaal van 2011.

Als norm voor het ICT-beveiligingsassessment dient de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). De richtlijn bevat normen voor basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging. Ook een penetratietest (zgn. ‘hack-test’) maakt deel uit van het assessment.

Het onderzoek dient te worden uitgevoerd onder de verantwoordelijkheid van een Register EDP-auditor die in het register van de NOREA is ingeschreven.

De beveiligingsassessments zullen gefaseerd worden doorgevoerd: ‘grootgebruikers’ van DigiD dienen te zorgen dat het assessment uiterlijk eind 2012 is uitgevoerd, andere organisaties uiterlijk een jaar later.

Hier kunt u de kamerbrief van de Minister downloaden.

Indien u wilt weten wat Duijnborgh Audit voor u kan betekenen m.b.t. dit assessment, klik dan hier.

 

Update 17/8/2012:

KING (het Kwaliteits Instituut Nederlandse gemeenten) heeft in opdracht van BZK en VNG een impactanalyse uitgevoerd. De analyse is uitgevoerd onder negen gemeenten, hun leveranciers en betrokken auditors en pentesters. Het doel van de impactanalyse is te komen tot een gestandaardiseerde aanpak voor gemeenten voor het uitvoeren van het jaarlijkse ICT-beveiligingsassessment. Belangrijke bevinding is dat op dit moment sprake is van onvoldoende gevoel van urgentie, terwijl de doorlooptijd van het hele assessment minimaal op ongeveer 6 maanden wordt geschat. Geen enkele van de onderzoicht gemeenten is op dit moment helemaal klaar voor het assessment.