Testaanpak DigiD assessments gewijzigd

De NOREA werkgroep DigiD assessments heeft de testaanpak gewijzigd. Deze is afgestemd met Logius. De testaanpak is de verantwoordelijkheid van de NOREA.

De belangrijkste wijzigingen:

  • Betrokken partij(en) wordt betrokken rol(len). De verschillende rollen kunnen ook door één partij (bijvoorbeeld de houderorganisatie) uitgevoerd worden.
  • U/TV.01: toevoegen autorisatie proces (verschuift van U/WA.02 naar U/TV.01).
  • U/WA.02: toevoegen security incident afhandeling. Dit is een herstelactie. Per abuis is dit proces weggevallen in de eerste versie van DigiD 2.0. Het autorisatieproces is verplaatst naar U/TV.01.
  • U/WA.05: toevoegen dat TLS veilige en minder veilige instellingen kent . Het NCSC maakt onderscheid in ‘Goede’, ‘Voldoende’ en ‘Onvoldoende’ instellingen. Voor de DigiD webserver geldt dat minimaal de op dat moment als ‘voldoende’ bestempelde instellingen vereist zijn.
  • U/NW.04: verplicht stellen dat het IDS/IPS geplaatst wordt na decryptie van het oorspronkelijk versleuteld netwerkverkeer.
  • U/NW.06: hardening netwerk: deze norm wordt nu altijd  ook getoetst bij de houder in verband met het verplicht gebruik van DNSSEC.