Hoofdinhoud
IT-auditor
Het DigiD Assessment moet uitgevoerd worden door een Register EDP-auditor (RE-auditor). De assessmentrapportage en eventuele verbeterrapportage, moet door een RE-auditor worden opgesteld. Hou er bij de planning rekening mee dat expertise voor assessments en pentesten beperkt in de markt aanwezig is.
RE-auditors die DigiD en/of ENSIA Assessments uitvoeren zijn te vinden via de website van NOREA.
NOREA leidraad voor IT-auditors
Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Let op: de handreiking betreft een leidraad voor IT-auditors onderling. Het geeft een bandbreedte aan voor de invulling aan de DigiD normen. Het oordeel is de verantwoordelijkheid van de IT-auditor.
Omvang van het assessment
Het DigiD-Normenkader omschrijft de normen waaraan de DigiD-aansluiting moet voldoen. Op de website van NOREA zijn de ‘NOREA Handreiking ICT-beveiligingsassessment DigiD’ en de FAQ gepubliceerd. Hierin staat de omschrijving van de scope van de toetsing op de DigiD-normen:
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.
"Het perspectief van de burger die inlogt met DigiD en zijn verwachting dat hetgeen daarna gebeurt onder hetzelfde (strenge) beveiligingsregime van het DigiD assessment valt, bepaalt feitelijk de scope en de objecten van onderzoek bij een DigiD assessment. Dit zijn, samengevat, de internet-facing webpagina’s waarmee de interactie naar de gebruiker plaatsvindt nadat deze is geïdentificeerd en geauthentiseerd via DigiD, de systeemkoppelingen en de infrastructuur die met DigiD gekoppeld is en betrekking heeft op het DigiD identificatie en authenticatieproces. Ook de verschillende vormen van beheer op de webapplicatie zijn in scope voor zover relevant voor de doelstelling van de audit."
"De URL www.digid.nl, de token uitwisseling tussen Logius en de webserver, de systemen die gegevens leveren of ophalen uit de webapplicatie, zoals backoffice informatiesystemen vallen buiten de scope. Subsystemen en koppelvlakken zijn in scope indien de primaire authenticatie van het systeem op basis van DigiD tot stand is gekomen."
Voor de originele tekst of vragen betreffende de scope kunt u de NOREA website of uw RE-auditor benaderen.
Assessmentrapportage
De assessmentrapportage bestaat ten minste uit het auditrapport van de aansluithouder. Het is eventueel aangevuld met een assurancerapport van de serviceorganisatie (bijvoorbeeld een TPM zie hiervoor 'Uitbesteden aan een serviceorganisatie' en dan 'Toetsen van de serviceorganisatie'). Per maatregel uit het DigiD Normenkader wordt in de rapportage een oordeel gegeven met ‘voldoet’ of ‘voldoet niet’.
Ieder rapport heeft altijd een uniek kenmerk. Dit is nodig voor het vaststellen van de juiste en meest recente documentatie.
Het rapport, en indien van toepassing de TPM, moeten zijn ondertekend door een RE-auditor. De eisen aan de handtekening bij digitale aanlevering of bij aanlevering via post leest u hieronder:
Betrouwbaarheidseisen aan de handtekening van een RE-auditor
Digitaal
Logius accepteert alleen de zogenoemde EUTL-handtekening als elektronische handtekening voor alle documenten in de assessmentrapportage.
Een EUTL-handtekening is een gekwalificeerde elektronische handtekening met een certificaat dat herleidbaar is naar een uitgevende instantie die vermeld is op de EUTL. De handtekening zorgt voor een hoge betrouwbaarheid. Daarnaast is de controle van de handtekening eenvoudig en snel. Een EUTL-handtekening is persoonsgebonden aan de RE-auditor die een document in de assessmentrapportage ondertekent.
Voor meer informatie over de elektronische handtekening zie ‘De elektronische handtekening’ op de pagina Mededelingen ICT-beveiligingsassessment DigiD.
Papier
Assessmentrapportages die op papier worden aangeleverd voldoen niet aan de eisen van de EUTL-handtekening. Op deze aanleveringen zal Logius geen reactie sturen. De ontvangen papieren rapportages worden vernietigd.
Uitbesteding aan een Serviceorganisatie
Een DigiD aansluithouder kan een deel van de DigiD omgeving of het beheer uitbesteden aan een Serviceorganisatie. De Serviceorganisatie valt dan ook binnen de scope van het DigiD assessment. Hierdoor wordt een deel van de normen niet meer bij de aansluithouder maar bij de Serviceorganisatie, of bij beide, getoetst. De auditor bepaalt hierbij hoe de verdeling van normen wordt. De aansluithouder blijft de eindverantwoordelijke en het aanspreekpunt voor Logius. De aansluithouder verzamelt de assessmentrapporten van zichzelf en van serviceorganisatie(s) en levert dit aan.
Toetsen volgens de opnamemethode (inclusive)
In de meeste gevallen wordt de Serviceorganisatie getoetst volgens de uitsluitingsmethode (carve out) en is er sprake van een TPM (zie hieronder bij kopje TPM). Dit hoeft echter niet. De aansluithouder en de Serviceorganisatie(s) mogen ook als een geheel getoetst worden. De resultaten van deze audit worden dan als één geheel opgenomen in het DigiD Assessmentrapport van de aansluithouder. De Serviceorganisatie wordt hiermee volgens de opnamemethode (inclusive) getoetst.
Ook meerdere (sub)Serviceorganisaties, zonder de aansluithouderorganisatie, kunnen als een geheel getoetst worden volgens de opnamemethode. Het resultaat is één auditrapportage in de vorm van een TPM welke volgens de uitsluitingsmethode gebruikt kan worden bij de toetsing van de aansluithouder.
TPM volgens de uitsluitingsmethode (carve out)
Een Serviceorganisatie kan voor zijn gedeelte van de DigiD normen een DigiD Assessment uit laten voeren en het resultaat daarvan ter beschikking stellen aan de DigiD aansluithouder in de vorm van een TPM (Third Party Mededeling).
Een template 'Rapportage-template DigiD-Assessment Serviceorganisatie (versie 3.0)' voor het opstellen van een TPM is te vinden op de NOREA website. Deze is op bepaalde punten anders dan het template dat wordt gebruikt voor de gebruikersorganisatie. Zo is het hoofdstuk 'Verantwoordelijkheden gebruikersorganisatie' toegevoegd.
De auditor van de DigiD aansluithouder beoordeelt de TPM van de Serviceorganisatie op toepasbaarheid en gebruikt bijlage C van het aansluithouderrapport om het totaaloverzicht van verdeelde normen weer te geven.
ISAE- of SOC-verklaring volgens de uitsluitingsmethode (carve out)
Een ISAE- of SOC-verklaring, anders dan een TPM in de vorm van een DigiD assessment, kan ook dienen als auditverklaring voor de (sub)serviceorganisatie. Gangbare internationale assurance standaarden zijn ISAE3402 en SOC2. De RE-auditor bepaalt in hoeverre de verklaring van toepassing en bruikbaar is.
De oordelen op de controls (maatregelen) uit de ISAE- of SOC-verklaring zijn niet altijd een-op-een te koppelen aan de normen van het DigiD assessment. De RE-auditor die het DigiD assessment uitvoert beoordeelt, aan de hand van de controls uit de ISAE- of SOC-verklaring, of en aan welke DigiD-normen wordt voldaan. Ook beoordeelt de RE-auditor of uit de internationale ISAE- of SOC2- verklaring verantwoordelijkheden voor de gebruikersorganisatie of andere serviceorganisaties voortkomen, zoals dat ook geldt voor een TPM.
De RE-auditor die het DigiD-assessment uitvoert neemt een verklaring op dat de toetsing van de ISAE- of SOC-controls tegen de DigiD-normen is uitgevoerd. De documentgegevens van het ISAE- of SOC-rapport worden opgenomen in de eerste tabel in bijlage C. Ook worden hier de DigiD normen opgesomd die door de ISAE- of SOC-controls zijn afgedekt. Het oordeel ‘voldoet’ of ‘voldoet niet’ wordt in de tweede tabel in bijlage C in een aparte kolom opgenomen.
Als in bijlage D de gegevens van de ISAE- of SOC-verklaring zijn opgenomen inclusief de oordeelsdatum dan is het meesturen van de verklaring, al dan niet in ‘short form’, niet nodig.
De bijlagen C en D zijn onderdeel van het modelrapport van NOREA ‘Rapportage-template DigiD-Assessment’ (versie 3.0).
Meesturen van TPM, ISAE- of SOC-verklaring?
Een TPM, ISAE- of SOC-verklaring maakt onderdeel uit van de totale assessmentrapportage.
- De TPM wordt samen met het assessmentrapport van de aansluithouder aan Logius toegestuurd.
- Als bijlage D uit het aansluithoudersrapport of uit de TPM goed is ingevuld hoeft een ISAE- of SOC-verklaring niet te worden meegestuurd.
Alleen als de resultaten van de TPM, ISAE- of SOC-verklaring door de RE-auditor van de aansluithouder wordt opgenomen in de paragraaf 1.1 “Oordelen”, verandert de uitsluitingsmethode (carve-out) naar de opnamemethode (inclusive). Zie hiervoor: “Toetsen volgens de opnamemethode (inclusive)”. Dit is voor een TPM wel, maar voor de internationale verklaringen niet altijd mogelijk, en de RE-auditor zal de richtlijnen van NOREA volgen.
Alleen als er gebruik wordt gemaakt van de opnamemethode (inclusive) hoeven bijlage C en bijlage D niet meer te worden ingevuld voor de inclusive opgenomen assuranceverklaring. De opgenomen assuranceverklaring hoeft dan niet meegestuurd te worden.
Maximale leeftijd
Zowel een TPM als een internationale assuranceverklaring mag niet ouder zijn dan twaalf maanden ten opzichte van de datum van het assessmentrapport van de DigiD-aansluithouder. Voor vaststelling van de datum van de TPM of internationale assuranceverklaring is de onderzoeksdatum leidend.
Soms verwijst een TPM of internationale assuranceverklaring via de uitsluitingsmethode naar een onderliggende TPM of internationale assuranceverklaring. Ook hiervoor geldt dat de desbetreffende getoetste norm(en) niet ouder mogen zijn dan een jaar ten opzichte van het assessmentrapport van de aansluithouder. Bepalend hierbij is de onderzoeksdatum in het assessmentrapport van de serviceorganisatie.
Herhaald gebruik
De TPM of internationale assuranceverklaring mag maar één keer gebruikt worden voor het indienen van een DigiD-assessment op de betreffende aansluiting. Voor het assessment van het volgende jaar moet een nieuwe TMP of internationale assuranceverklaring worden gebruikt.
Opname in bijlage C en D
De TPM moet opgesteld en ondertekend zijn door een Register EDP-auditor (RE-auditor).
Een internationale assuranceverklaring is ondertekend door een IT-auditor. In Nederlandse is dit een RE-auditor. Een buitenlandse titel moet hieraan gelijkwaardig zijn. Bij de Koninklijk Nederlandse Beroepsorganisatie van Accountants kan dit nagevraagd worden.
De RE-auditor van de aansluithouder controleert of de TPM of internationale assuranceverklaring klopt op het object van onderzoek (tijdens de uitgifte van de TPM en de toepassing bij de aansluithouder kunnen wijzigingen zijn opgetreden op de serviceomgeving) en of de ondertekening geldig is, en de leeftijd valide. De RE-auditor noteert de conclusies betreffende de oordelen vanuit de TPM of de internationale verklaring in bijlage C met een oordeel ‘voldoet’ of ‘voldoet niet’.
Een verwijzing naar een TPM of een internationaal assurancerapport moet de volgende informatie bevatten:
- De naam van de serviceorganisatie
- Het unieke referentie- of rapportnummer
- De datum van de verklaring
- De datum van het oordeel
- De naam van de afgevende RE-auditor
Zie hiervoor bijlage C en D van het ‘Rapportage-template DigiD-Assessment (versie 3.0)’ van NOREA.
Het is uiteindelijk aan het professionele oordeel van de RE-auditor om te bepalen of de rapportage van de RE-auditor van de serviceorganisatie valide is.
Mocht de RE-auditor van de serviceorganisatie van mening verschillen met de RE-auditor van de DigiD-aansluithouder, dan kan dit worden voorgelegd aan NOREA. Dit kan eventueel ook voor vakinhoudelijke specifieke auditvragen over het DigiD-assessment.
Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. In dat geval moet de bijlage C voor iedere dienst apart worden opgenomen in de rapportage. Per dienst moet er dan worden verwezen naar de desbetreffende TPM en per dienst moet er inzicht gegeven worden in de verdeling van normen bij de DigiD aansluithouderorganisatie en de Serviceorganisatie.
Verantwoordelijkheid van de DigiD aansluithouder bij uitbesteding
Ook bij een uitbesteding blijft de DigiD aansluithouder verantwoordelijk voor het voldoen aan de DigiD normen voor het geheel, dat wil zeggen de toetsing van de normen bij de Serviceorganisatie én de toetsing bij de DigiD aansluithouder.
Er is altijd een aantal normen die de aansluithouderorganisatie zélf door een auditor moet laten toetsen.
ENSIA rapportage
Maakt een gemeente gebruik van ENSIA dan geldt een andere vorm voor de DigiD-assessmentrapportage. Een set ENSIA-documenten bestaat uit een zelfevaluatie, een collegeverklaring, een door de RE-auditor afgegeven assurance rapport en - indien van toepassing - één of meerdere TPM’s.
De betrouwbaarheidseisen aan de handtekening van een RE-auditor, zoals hierboven te vinden zijn ook van toepassing op alle ENSIA-documenten.
Een digitale handtekening met EUTL-certificaat wordt eenmalig geplaatst op de collegeverklaring en op de zelfevaluatie. Hiermee vervalt het paraferen van iedere bladzijde van de collegeverklaring en de zelfevaluatie. Raadpleeg voor meer informatie over de ENSIA-methodiek de ENSIA website.