Hebben we eindelijk de boel op orde, veranderen ze de Digid-norm weer!

Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat veranderd is en wat je als organisatie nu moet gaan aanpassen. Vanuit mijn beroepsgroep, de IT-auditors, is er gelukkig is er een uitgewerkte versie hoe een dergelijke beoordeling op een gestandaardiseerde manier uitgevoerd moet worden. Deze is er eigenlijk om ons te helpen, maar hier kan je als organisatie natuurlijk goed gebruik van maken om inzichtelijk krijgen hoe de controlerende partij kijkt. Voor het betreffende nieuwe digid-normen, zie https://www.norea.nl/download/?id=2562, specifiek bijlage 2 (vanaf pagina 9).

Kortom, tijd voor een wijziging in de normen! In deze blog het waarom, de verschillen en overeenkomsten. Inclusief wat dit voor een organisatie betekent.

Waarom een nieuwe Digid-norm?

Digitaal gaan we steeds verder en kunnen we steeds meer online regelen. Er wordt ook steeds meer (verplicht) gekoppeld aan het DigiD-(autorisatie)platform, en dus moet hier ook met de tijd meegegaan worden en zorgen dat er een juiste beheersing is van de aanwezige beveiligingsmaatregelen.

De initiële aanleiding komt vanuit de herziening van de onderliggende raamwerken. Deze vernieuwing van de DigiD-normen voort uit het feit dat het Nationaal Cyber Security Centrum (NCSC) in 2015 de ICT-beveiligingsrichtlijnen voor webapplicaties heeft vervangen. Deze uitwerkingen die hierop gebaseerd zijn op deze richtlijn hobbelen erachteraan.

Verschillen in de nieuwe Digid-norm?

Vanuit het in de inleiding genoemde document worden 3 nieuwe onderdelen genoemd. Deze kan ik natuurlijk netjes opsommen, maar ik wil hierbij ook mijn visie geven wat ik bij organisaties zou gaan inregelen. Vandaar dat ik de eerste 2 punten heb samengepakt:

• Normen met betrekking tot logging en monitoring (inclusief incidentdetectie en opvolging)
• Kijk hierbij vooral naar de invulling van de normen C.06 & C.07 (en eventueel U/NW.04)
• Ben je als organisatie in staat afwijkende verkeersstromen te detecteren tussen het standaard verkeer. Heb je als organisatie door dat wanneer er in de logging een afwijkend patroon volgt. En hoeveel tijd zit er dan tussen de gebeurtenis en detectie? En welke (automatische) acties ga je uitvoeren indien een afwijkend patroon zich voordoet?
• Deze acties zowel te detecteren en opvolgen op netwerk-, server- en applicatieniveau, of liever nog een combinatie van gebeurtenissen op deze domeinen. Dit vraagt waarschijnlijk een samenwerking tussen verschillende beheereenheden.
• Veilig programmeren normen
• Kijk hierbij vooral naar de invulling van de normen U/WA.03 & U/WA.04.
• Invoer- en uitvoer van gegevens en invulvelden inclusief controles zodat hier geen manipulatie op plaats kan vinden.
• Voldoe aan, en controleer tegen, de OWASP top 10. Dit kan zowel getoetst worden vanuit de broncode als ook de werkende applicatie. Dit kan je als organisatie zelf controleren en ten minste eenmaal per jaar extern laten toetsen.
• Zorg dat je als organisatie een proces ingericht hebt om dit op gestructureerde wijze aan te pakken en eventuele afwijkingen die uit dit proces komen op te volgen en zowel voor de korte als lange termijn op te lossen.

Kortom, de focus zal blijven liggen op de processen, de kwaliteit van deze processen en de mate waarin een organisatie in staat is om deze kwaliteit te detecteren en bij te sturen (dus, PDCA)

Overeenkomsten met de oude digid-norm!

Dit kan ik op meerdere manieren heel complex beschrijven, maar eigenlijk betreft het gewoon een andere indeling van de oude normen.

Voor de auditor is dit ook direct een goed toetsingsmoment naar de documentatiekwaliteit van de organisatie. Als elk document inderdaad elk jaar ‘zorgvuldig’ gereviewd wordt zal komend jaar blijken of dit juist en volledig wordt gedaan. Bijvoorbeeld:

• Staat het oude normnummer nog op het document? (zie omnummertabel pagina 31)
• Dekt het aangepaste document voldoende de nieuwe norm af?
• Hebben de hierboven beschreven ‘nieuwe’ normen voldoende aandacht gekregen?

Maar ook de aanvraag voor het pentest-onderzoek zal herzien moeten worden. Deze moet de juiste (nieuwe) genummerde normen ondersteunen. Dit is belangrijk zodat de organisatie die de pentest uitvoert ook de juiste maatregelen zal gaan testen. Wordt dit niet gedaan, dan zal er een ‘reparatie’-document geschreven moeten worden waarmee wordt aangetoond dat weldegelijk het juiste getest is.

Voor de vervallen normen (B0-13, B1-03, B3-05, B3-15, B5-01, B7-09) wil je natuurlijk als organisatie nog wel invulling aan blijven geven. Zorg dat de aandacht voor die maatregelen niet verslapt!

En wat moet ik nu veranderen met deze nieuwe digid-norm?

Dan rest natuurlijk de vraag; wat moet je als organisatie anders gaan doen? Het antwoord is vrij simpel. Blijven verbeteren. De nieuwe norm legt ondanks de overeenkomsten en verschillen de lat weer wat hoger. Ook blijven de componenten ‘controle’ en ‘aantoonbaarheid’ heel belangrijk. Zonder deze twee kan je als organisatie niet blijvend aantonen dat je het geheel aan maatregelen op orde hebt. En precies dat is wat er gevraagd wordt. En wat je natuurlijk als kwaliteitsgerichte organisatie voor elkaar wil hebben.

Tot slot nog een tip. Bekijk vooral ook de DigiD-normen in de bredere strekking van het oorspronkelijke normenkader (verdieping) op https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html

In mijn tijd als IT auditor én als Informatiebeveiliging Consultant heb ik vele uitdagingen hiermee gezien in organisaties. Kan ik je helpen dit voor jouw organisatie op orde te krijgen?