De norm voor de beveiliging van DigiD is vastgesteld. Uiterlijk eind 2013 moeten alle gemeenten aan deze norm voldoen.
De Vereniging van Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten adviseren gemeenten te wachten tot de uitkomsten van een aantal pilots bekend zijn, die rond de zomer worden verwacht.
Gemeenten met veel authenticaties bij DigiD moeten eind dit jaar al voldoen aan de norm, die is gebaseerd op de beveiligingsrichtlijnen voor webapplicaties. Leverancier Logius adviseer de hele set van deze NCSF-richtlijnen in te voeren, hoewel de norm bestaat uit de richtlijnen die de grootste risico’s moeten vermijden. Gemeenten kunnen een stappenplan volgen:
1) zelf toetsen aan de hand van de richtlijnen
Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.
2) maatregelen treffen
Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.
3) penetratietest uitvoeren
Laat een pentratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.
4) bevindingen penetratietest oplossen
Neem maatregelen om de bevindingen op te lossen.
5) audit uitvoeren
Laat een audit uitvoeren door een RE-auditor.
6) bevindingen naar Logius sturen
Geef een reactie