Onlangs heeft de DigiD-werkgroep van de Norea de nieuwe NOREA Handreiking ICT Beveiligingsassessment DigiD 4.0 gepubliceerd. In deze blog staan we kort stil bij de belangrijkste toevoeging aan de handreiking: Het toetsen van de werking van een aantal normen.
Toetsing Werking
In het verleden beperkte de audit op de DigiD-aansluiting zich altijd tot het toetsen van de opzet en het bestaan van ingerichte maatregelen. De opzet betreft een procedure of procesbeschrijving en het bestaan toon je aan middels één voorbeeld dat de betreffende procedure daadwerkelijk wordt nageleefd. Zoals vorig jaar reeds aangekondigd wordt voor 5 normen het toetsen van de werking toegevoegd aan de audit. Bij werking moet achteraf over een periode aangetoond worden dat de procedure altijd is nageleefd.
Voor het toetsen van de werking betreft 2023 nog een overgangsjaar: Vanaf inleverperiode 1 januari - 1 mei 2024 (over 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking, vanaf inleverperiode 1 januari -1 mei 2025 is dit verplicht.
In de nieuwe handreiking worden handvatten gegeven voor het toetsen van de werking en hoe het overgangsjaar 2023 onderdeel mag zijn van de audit: Concreet houdt dit in dat voor ENSIA/DigiD-jaar 2023 een proef-audit op de werking uitgevoerd mag worden, waarover wordt gerapporteerd in een interne rapportage met mogelijke verbeteracties. Deze interne rapportage is uitsluitend bestemd voor de eigen organisatie en eventuele bevindingen worden niet gerapporteerd aan toezichthoudende instanties. Wij voeren de proefaudit, conform de handreiking, uit over een periode van 3 maanden voorafgaand aan de datum van de reguliere ENSIA/DigiD audit (oordeelsdatum).
De periode van drie maanden lijkt misschien kort, maar geeft voor voldoende informatie om te bepalen in hoeverre de organisatie klaar is voor de toetsing op werking en om eventuele aanbevelingen begin 2024 op te volgen. De handreiking geeft nog geen uitsluitsel over welke periode in 2024 werking getoetst dient te worden. Dit zal naar waarschijnlijkheid 6 maanden worden voorafgaand aan de oordeelsdatum. Het is dus ook zaak om de aanbevelingen uit de proefaudit zo snel mogelijk op te volgen.
Inhoudelijk vatten we hieronder per norm nog samen wat ten aanzien van werking wordt getoetst en wat je aanvullend moet doen om de werking aan te tonen:
1. U/TV.01 Toegangsbeveiliging
Hiervoor moet aangetoond worden dat het proces van toegangsbeveiliging en rechtenbeheer voldoende gecontroleerd heeft plaatsgevonden. Mutaties in rollen en toekennen van rollen moeten geautoriseerd zijn en zorg dat autorisatiecontroles met voldoende frequentie en diepgang worden uitgevoerd en vastgelegd. Verstrek bij de audit een overzicht van relevante personeelsmutaties vanuit de HR-afdeling. De auditor zal een deelwaarneming doen op een aantal mutaties en uitgevoerde controles of deze conform de procedures zijn uitgevoerd.
2. U/WA.02 Incidentbeheer
Draag zorg dat er voldoende controles ingericht zijn dat beveiligingsincidenten worden onderkend en conform de procedure worden afgehandeld. Verstrek bij de audit een overzicht van alle incidenten met het label beveiligingsincident en/of datalek. De auditor zal een deelwaarneming doen of deze incidenten op de juiste manier zijn afgehandeld.
3. C.08 Wijzigingenbeheer
Hiervoor moet aangetoond worden dat wijzigingen niet ongecontroleerd doorgevoerd kunnen worden. Verstrek daarnaast bij de audit een overzicht van alle wijzigingen. Afhankelijk van de software betreffen dit bijvoorbeeld updates en/of formulierwijzigingen. De auditor zal een deelwaarneming doen of deze wijzigingen conform de procedure zijn doorgevoerd.
4. C.07 Logging en signalering (niet in scope voor aansluithouder)
Hiervoor moet aangetoond worden dat logging en bijbehorende alarmmeldingen zorgvuldig ingericht zijn geweest. De auditor zal een deelwaarneming doen op logregistraties met bijbehorende alarmeringen en naleving van de opvolging.
5. C.09: Patchmanagement (niet in scope voor de aansluithouder)
Dit is vergelijkbaar met wijzigingenbeheer (C.08) maar dan specifiek gericht op patches van ondersteunende ICT-voorzieningen. Hier dient aangetoond te worden dat patches gedurende de controleperiode tijdig zijn doorgevoerd. De auditor zal een deelwaarneming uitvoeren op de uitgevoerde patches en het naleven van het patchmanagementbeleid.
Audit voorbereiding
Bij alle nomen gaan wij ervanuit dat de organisatie zelf interne controles uitvoert en eventuele fouten al heeft voorkomen of heeft gedetecteerd en gecorrigeerd. De auditor zal om die reden bij één gevonden fout in de deelwaarneming een “voldoet niet” rapporteren. Het is dus zaak om zelf deze interne controles op te zetten en hierover duidelijk te rapporteren. Dit zal worden meegenomen in de beoordeling van werking.
Met een goede opzet van de procedures en interne controles zal de toets op werking niet heel veel extra administratieve last met zich meebrengen. Onze ervaring is dat het belangrijkste aandachtspunt aantoonbaarheid betreft. De lijntjes zijn in de praktijk vaak kort, waardoor veel mondeling wordt afgehandeld. Formaliseer zo’n mondelinge afspraak dan bijvoorbeeld nog met een bevestiging per mail en bewaar alle stukken.
De proefaudit over 2023 zal helpen om helemaal klaar te zijn voor het controlejaar 2024.
Heeft u vragen over deze blog of wilt u weten wat 2-Control kan betekenen voor uw organisatie? Neem dan hier contact op met één van onze auditors.