TPM verklaring

Wat is het?

Het ICT-beveiligingsassessment is gericht op het stelsel van maatregelen en procedures met als doel de beveiliging van een webomgeving te optimaliseren Het stelsel omvat zowel geautomatiseerde als niet geautomatiseerde maatregelen en procedures. Het Digid beveiligingsassessment is een controle op de betrouwbaarheid van de Digidkoppeling van overheidswebsites. Via deze koppeling kunnen burgers een persoonlijke toegang tot de website verkrijgen. Alle DigiD-gebruikende organisaties moeten jaarlijks een ICT-beveiligingsassessment laten uitvoeren. Dit assessment vindt plaats conform een door het Nationaal Cyber Security Center opgestelde beveiligingsrichtlijn en de daarop door Logius gebaseerde Norm op straffe van afsluiting van DigiD.

Meer informatie over het assessment is terug te vinden op het YouTube kanaal van BKBO.

Hoe zien wij het?

Wij kunnen voor u als leverancier een TPM afgeven. Dit betekent dat we vaststellen dat uw software of hosting voldoet aan de richtlijnen van Logius. De RE auditor van uw klant kan op dit bewijs “steunen” en hoeft dan geen afzonderlijk onderzoek te doen naar de beveiliging bij u als leverancier. In de praktijk betekent dat de pentesten voor dat onderdeel kunnen vervallen bij de klant. Dat scheelt u tijd en uw klant geld.

Wat kunnen wij voor u betekenen?

Voor het uitvoeren van de Digid penetratietesten heeft BKBO een samenwerkingsverband met Novaccent. Novaccent zet voor het DigiD assessment gecertificeerde pentesters (CEH) in, met state-of-the-art tooling, scholing en ervaring. Deze onafhankelijke pentesters kunnen snel de kwetsbaarheden in webapplicaties, systeemkoppelingen en webomgevingen herkennen en bloot leggen.

Zie voor een gedetailleerde uitleg ons YouTube kanaal en in het bijzonder

Hoe doen wij dat?

Wij hebben een standaard uitvoeringswijze ontwikkeld. Op basis van een door ons ontwikkelde vragenlijst kunnen we uw lokale situatie overzichtelijk in kaart brengen. Vervolgens zal onze lead auditor bij u ter plaatse een quick scan uitvoeren om samen met u vast te stellen of uw beeld volledig is en klopt. Daarbij wordt een auditplan met u besproken waarbij duidelijk wordt welke TPM verklaring(en) nodig zijn, welke testen dienen te worden uitgevoerd en op welke termijn dat mogelijk is. We maken hierbij verschil tussen on premise en SAAS applicaties. We kunnen een TPM verklaring afgeven voor SAAS applicatie, webapplicaties die on premise draaien en voor een hosting omgeving.

Vervolgens worden de penetratietesten uitgevoerd door de gecertificeerde pentesters van onze partner Novaccent. Eerst wordt een zogenaamde blackbox test (grotendeels via TPM verklaring DigiD beveiligingsassessment geautomatiseerde scans) uitgevoerd om na te gaan of het mogelijk is om ongeautoriseerd toegang te krijgen. Als dat mogelijk blijkt, wordt in fase 2 vastgesteld of het mogelijk is via de website - met de daarop aangetroffen kwetsbaarheden – ongeautoriseerd toegang te verkrijgen tot de achterliggende systemen. Dat is dan een grey-box pentest, waarbij u desgevraagd de benodigde privileges en configuratie-instellingen van relevante componenten (zoals netwerkapparatuur en servers) aan de penetratietester verstrekt. Wij moeten hierbij uitgaan van volledige medewerking van uw IT personeel en dat van uw leveranciers.

Tegelijk vindt door de Register EDP auditor van BKBO een audit plaats op uw contracten, procedures en de beveiligingsorganisatie.

In een overzichtelijke conceptrapportage worden vervolgens de bevindingen gerapporteerd en doen we aanbevelingen om de tekortkomingen op te heffen. Het assessment wordt afgesloten met een gesprek waarin de bevindingen worden toegelicht, waarna de rapportage definitief wordt gemaakt. De uitvoering van het onderzoek en de rapportage vindt plaats op basis van de Richtlijn 3000 van NOREA die betrekking heeft op het verrichten van assurance werkzaamheden. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel, waarbij per maatregel wordt aangegeven of deze voldoet. De definitieve rapportage dient u als opdrachtgever naar Logius te versturen.

Omdat de opdracht ook een penetratie- en of vulnerabilitytest omvat, wordt u gevraagd om een vrijwaringsverklaring overeen te komen. Uiteraard zullen we proberen zoveel mogelijk ongelukken te voorkomen, worden de tests nauwkeurig met u afgestemd en is het onderuit halen van uw webportals niet aan de orde. Ingeval u als organisatie over een Third Party Mededeling (= TPM) van uw leverancier(s) beschikt is een dergelijke test doorgaans niet nodig.

Wat is een Third Party Mededeling?

In de linker kolom is een organisatie opgenomen die een webapplicatie heeft ‘gekocht’ bij een externe leverancier.
De richtlijnen die gelden voor de software kunnen worden getoetst op een gelijkwaardige omgeving bij de leverancier.
De tweede kolom geeft de situatie aan waarbij de organisatie o gebruikmaakt van een externe partij voor het hosten van de webapplicatie. De richtlijnen die gelden voor de infrastructuur, maar ook een aantal procesmatige richtlijnen kunnen worden vastgesteld bij de hostingpartij.
De derde kolom is een combinatie van de eerste twee situaties, namelijk een organisatie o die een webapplicatie afneemt bij een leverancier die dit aanbiedt in een SaaS-oplossing. Hierbij zal een groot gedeelte van de richtlijnen voor zowel de software, de infrastructuur als een aantal processen bij deze SaaS-leverancier getoetst kunnen worden. De laatste kolom geeft de situatie weer waarbij de organisatie die DigiD gebruikt alles zelf geregeld heeft.

Op basis van de richtlijnen van Logius is een TPM maximaal één jaar geldig en mag door een klant slechts eenmaal worden gebruikt voor het DigiD assessment. Ergo, het TPM onderzoek moet jaarlijks worden herhaald.

Wat kost het?

De kosten voor de levering van een TPM variëren afhankelijk van wat er onderzocht moet worden tussen de € 9.000,- en € 11.000,-afhankelijk van wat er door ons moet gebeuren. Het maximale bedrag betreft dan een TPM waarbij we ook de periodieke releases als het ware “keuren”. Genoemde prijzen zijn exclusief BTW, maar inclusief reis- en verblijfskosten.

Geen gekibbel garantie

Anders dan andere auditororganisaties geven wij u “geen gekibbel garantie”. Onze prijs is vast en dus inclusief een eventuele hertest, heraudit of aanvullend assessment.

Offerte aanvraag

Offerte op aanvraag bij info@bkbo.nl

Offerte aanvragen