TPM verklaring of ISAE3000 assurance

TPM audit

Wat is het?

Het ICT-beveiligingsassessment is gericht op het stelsel van maatregelen en procedures met als doel de beveiliging te optimaliseren Het stelsel omvat zowel geautomatiseerde als niet geautomatiseerde maatregelen en procedures. Zo is het DigiD-beveiligingsassessment een controle op de betrouwbaarheid van de DigiD -koppeling op overheidswebsites. Via deze koppeling kunnen burgers een persoonlijke toegang tot de website verkrijgen. Alle DigiD-gebruikende organisaties moeten jaarlijks een ICT-beveiligingsassessment laten uitvoeren. Dit assessment vindt plaats conform een door het Nationaal Cyber Security Center opgestelde beveiligingsrichtlijn en de daarop door Logius gebaseerde Norm op straffe van afsluiting van DigiD.

Zie voor een gedetailleerde uitleg ons YouTube kanaal en in het bijzonder

Wat is onze visie?

Wij kunnen voor u als leverancier een TPM afgeven middels een audit. Dit betekent dat we vaststellen dat uw software of hosting voldoet aan een normenkader. De RE auditor van uw klant kan op dit bewijs “steunen” en hoeft dan geen afzonderlijk onderzoek te doen naar de beveiliging bij u als leverancier. In de praktijk betekent dat de pentesten voor dat onderdeel kunnen vervallen bij de klant. Dat scheelt u tijd en uw klant geld. We leveren ook andere TPM-verklaringen middels audits voor bijvoorbeeld de:

Hoe helpen wij u verder?

Voor het uitvoeren van de DigiD penetratietesten heeft BKBO een samenwerkingsverband met Defenced. Defenced zet voor het DigiD assessment gecertificeerde pentesters (CEH) in, met hoogwaardige tooling, scholing en ervaring. Deze onafhankelijke pentesters kunnen snel de kwetsbaarheden in webapplicaties, systeemkoppelingen en webomgevingen herkennen en bloot leggen.

Hoe pakken wij dit aan?

Wij hebben een standaard uitvoeringswijze ontwikkeld.

Op basis van een door ons ontwikkelde vragenlijst kunnen we uw lokale situatie overzichtelijk in kaart brengen. Vervolgens zal onze lead auditor bij u ter plaatse een quick scan uitvoeren om samen met u vast te stellen of uw beeld volledig is en klopt. Daarbij wordt een auditplan met u besproken waarbij duidelijk wordt welke TPM verklaring(en) nodig zijn, welke audits dienen te worden uitgevoerd en op welke termijn dat mogelijk is. We maken hierbij verschil tussen on premise en SAAS applicaties. We kunnen een TPM-verklaring afgeven voor SAAS applicatie, webapplicaties die on premise draaien en voor een hosting omgeving.

Vervolgens worden de penetratietesten uitgevoerd door de gecertificeerde pentesters van onze partner Defenced. Eerst wordt een zogenaamde blackbox test uitgevoerd om na te gaan of het mogelijk is om ongeautoriseerd toegang te krijgen. Als dat mogelijk blijkt, wordt in fase twee vastgesteld of het mogelijk is via de website – met de daarop aangetroffen kwetsbaarheden – ongeautoriseerd toegang te verkrijgen tot de achterliggende systemen. Dat is dan een grey-box pentest, waarbij u desgevraagd de benodigde privileges en configuratie-instellingen van relevante componenten aan de penetratietester verstrekt. Wij moeten hierbij uitgaan van volledige medewerking van uw IT-personeel en dat van uw leveranciers.

Tegelijk vindt door de Register EDP auditor van BKBO een audit plaats op uw contracten, procedures en de beveiligingsorganisatie.

Alle bevindingen in een duidelijk overzicht

In een overzichtelijke conceptrapportage worden vervolgens de bevindingen gerapporteerd en doen we aanbevelingen om de tekortkomingen op te heffen. Het assessment wordt afgesloten met een gesprek waarin de bevindingen worden toegelicht, waarna de rapportage definitief wordt gemaakt. De uitvoering van het onderzoek en de rapportage vindt plaats op basis van de Richtlijn 3000 van NOREA die betrekking heeft op het verrichten van assurance werkzaamheden. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel, waarbij per maatregel wordt aangegeven of deze voldoet. De definitieve rapportage dient u als opdrachtgever naar Logius te versturen.

Omdat de opdracht ook een penetratie- en of vulnerabilitytest omvat, wordt u gevraagd om een vrijwaringsverklaring overeen te komen. Uiteraard zullen we proberen zoveel mogelijk ongelukken te voorkomen, worden de tests nauwkeurig met u afgestemd en is het onderuit halen van uw webportals niet aan de orde. Ingeval u als organisatie over een Third Party Mededeling (= TPM) van uw leverancier(s) beschikt is een dergelijke test doorgaans niet nodig.

Wat is een Third Party Mededeling?

In de linker kolom is een organisatie opgenomen die een webapplicatie heeft ‘gekocht’ bij een externe leverancier.

De richtlijnen die gelden voor de software kunnen worden getoetst op een gelijkwaardige omgeving bij de leverancier.
De tweede kolom geeft de situatie aan waarbij de organisatie o gebruikmaakt van een externe partij voor het hosten van de webapplicatie. De richtlijnen die gelden voor de infrastructuur, maar ook een aantal procesmatige richtlijnen kunnen worden vastgesteld bij de hostingpartij.
De derde kolom is een combinatie van de eerste twee situaties, namelijk een organisatie o die een webapplicatie afneemt bij een leverancier die dit aanbiedt in een SaaS-oplossing. Hierbij zal een groot gedeelte van de richtlijnen voor zowel de software, de infrastructuur als een aantal processen bij deze SaaS-leverancier getoetst kunnen worden. De laatste kolom geeft de situatie weer waarbij de organisatie die DigiD gebruikt alles zelf geregeld heeft.

Op basis van de richtlijnen is een TPM maximaal één jaar geldig en mag door een klant slechts eenmaal worden gebruikt voor het DigiD assessment. Ergo, het TPM onderzoek moet jaarlijks worden herhaald.

Wat kost een TPM-verklaring?

De kosten voor de levering van een TPM variëren afhankelijk van wat er onderzocht moet worden tussen de € 9.000,- en € 11.000,-afhankelijk van wat er door ons moet gebeuren. Het maximale bedrag betreft dan een TPM waarbij we ook de periodieke releases als het ware “keuren”. Genoemde prijzen zijn exclusief BTW, maar inclusief reis- en verblijfskosten. Anders dan andere auditor bedrijven geven wij u “geen gekibbel garantie”. Onze prijs is vast en dus inclusief een eventuele hertest, heraudit of aanvullend assessment.

Schakel vandaag nog een professioneel bedrijf in

Een ding is zeker voor een TPM audit wilt u een betrouwbaar auditbedrijf inschakelen. Wij van BKBO voorzien onze klanten graag van een hoogwaardige service. Heeft u vragen over een TPM of een van onze overige IT-audits? Schroom dan niet om contact met ons op te nemen. U heeft tevens de mogelijkheid om direct een offerte aan te vragen.