Page tree
Skip to end of metadata
Go to start of metadata

Op basis van risicoanalyses zijn tal van maatregelen getroffen om kwetsbaarheden en risico’s in de informatiebeveiliging te mitigeren. Maatregelen kunnen sterk van aard verschillen en zijn bijvoorbeeld technisch van aard of juist procedureel. Technische maatregelen zijn vaak opgenomen in de configuratie van een systeem of worden door systeemsoftware afgedwongen. Om te borgen dat deze maatregelen ook daadwerkelijk actief en effectief zijn kunnen periodieke tests worden uitgevoerd. Daarnaast is het zaak om na te gaan of er in systemen nog mogelijke kwetsbaarheden aanwezig zijn, die nog niet eerder waren onderkend. Dit is het werkgebied van de penetratietesten.

Penetratietesten geven echter een momentopname van een systeem in een bepaalde toestand op een bepaald tijdstip. De momentopname blijft beperkt tot die delen van het systeem die werkelijk zijn getest tijdens de penetratiepoging(en). De penetratietesten zijn daarom altijd  aanvullend op de risicoanalyses, audits, controles en technische testen die de Deelnemers, Beheerorganisatie en BSNk zelf uitvoeren.

Het Stelsel MOET periodiek en door een onafhankelijke ter zake deskundige partij laten toetsen of de technische beveiligingsmaatregelen die zijn genomen door Deelnemers, Beheerorganisatie en BSNk daadwerkelijk effectief en adequaat zijn. Een dergelijke controle is nuttig om zwakke plekken in het systeem te ontdekken en om te controleren hoe doeltreffend de beheersmaatregelen zijn bij het voorkómen van onbevoegde toegang als gevolg van deze zwakke plekken.

Uitgangspunten

Tenminste tweemaal per jaar worden er pentesten uitgevoerd. Deze zullen verdeeld worden in centraal (gecoördineerd door de beheerorganisatie) en decentraal (onder directe verantwoordelijkheid van individuele deelnemers). De pentesten volgen de koppelvlakreleases van het afsprakenstelsel. De resultaten van elke pentest worden gebruikt als input voor de volgende.

Centraal

De beheerorganisatie zal tenminste éénmaal per jaar een centrale pentest organiseren, het thema ervan wordt bepaald in overleg met de Security Officers van de deelnemers.

  • Black-box test op alle endpoints van alle in het netwerk aanwezige systemen.
  • De beheerorganisatie kan besluiten deze uit te voeren onder een representatieve steekproef van de deelnemers.
  • Black-box test op alle aangeboden diensten van de Beheerorganisatie, waaronder Mantis, Confluence en de dienstencatalogus- en metadata-aggregator.
  • Deze test heeft plaats op het moment dat het productienetwerk stabiel is (3 tot 6 maanden na de implementatie van een nieuwe koppelvlakrelease).

De resultaten van deze pentest worden gebruikt als input voor de decentrale pentests.

Decentraal

Georganiseerd door deelnemers en het BSNk.

  • Deelnemers en BSNk voeren ook tenminste éénmaal per jaar een eigen pentest uit, in elk geval direct volgend op de livegang van een nieuwe koppelvlakrelease.
  • Deze pentest MOET tenminste Grey-box, maar liever White-box worden uitgevoerd.
  • Het implementatieplan van een nieuwe release kan de opdracht tot een pentest bevatten.
  • Deelnemers MOETEN tenminste alle endpoints van in het netwerk beschikbare systemen onderwerpen aan een pentest
  • Deelnemers MOETEN ook eventuele uitgebrachte apps (t.b.v. authenticatie e.d.) die een rol in het Netwerk vervullen laten pentesten.
  • Deelnemers ZOUDEN bij deze pentest ook gerelateerde systemen, zoals self-service portalen, mee MOETEN nemen 

De resultaten van deze pentest wordt beschikbaar gesteld voor de beheerorganisatie en toezichthouder en worden gebruikt als input voor de centrale pentest.

Randvoorwaarden voor penetratietesten

De penetratietest MOET worden uitgevoerd door een partij die:

  • Onafhankelijk is van de organisatie waar de pentesten plaatsvinden
  • Aantoonbaar deskundig is op het gebied van standaarden die voor het Stelsel relevant zijn, zoals SAML, XACML en Signing.
  • Aantoonbaar ervaren is, hetgeen kan blijken uit bijvoorbeeld:
    • CV's van medewerkers, die bij voorkeur gecertificeerd ethical hacker zijn
    • Publicatie van invloedrijke whitepapers
    • Medewerkers die spreker zijn op security congressen

Rapportage van penetratietesten

Het rapport van de penetratietest MOET ter inzage worden aangeboden aan de beheerorganisatie en de toezichthouder. De beheerorganisatie beoordeelt of voldaan is aan de randvoorwaarden. In ieder geval mogen er geen onopgeloste bevindingen zijn geconstateerd van het niveau Hoog/Hoog (volgens CVSS score methode). 

De beheerorganisatie rapporteert over de penetratietest aan het Tactisch Beraad, waarbij individuele bevindingen zijn geanonimiseerd.

  • No labels