Testaanpak DigiD assessments gewijzigd
De NOREA werkgroep DigiD assessments heeft de testaanpak gewijzigd. Deze is afgestemd met Logius. De testaanpak is de verantwoordelijkheid van de NOREA.
De belangrijkste wijzigingen:
- Betrokken partij(en) wordt betrokken rol(len). De verschillende rollen kunnen ook door één partij (bijvoorbeeld de houderorganisatie) uitgevoerd worden.
- U/TV.01: toevoegen autorisatie proces (verschuift van U/WA.02 naar U/TV.01).
- U/WA.02: toevoegen security incident afhandeling. Dit is een herstelactie. Per abuis is dit proces weggevallen in de eerste versie van DigiD 2.0. Het autorisatieproces is verplaatst naar U/TV.01.
- U/WA.05: toevoegen dat TLS veilige en minder veilige instellingen kent . Het NCSC maakt onderscheid in ‘Goede’, ‘Voldoende’ en ‘Onvoldoende’ instellingen. Voor de DigiD webserver geldt dat minimaal de op dat moment als ‘voldoende’ bestempelde instellingen vereist zijn.
- U/NW.04: verplicht stellen dat het IDS/IPS geplaatst wordt na decryptie van het oorspronkelijk versleuteld netwerkverkeer.
- U/NW.06: hardening netwerk: deze norm wordt nu altijd ook getoetst bij de houder in verband met het verplicht gebruik van DNSSEC.
De NOREA werkgroep DigiD assessments heeft de testaanpak gewijzigd. Deze is afgestemd met Logius. De testaanpak is de verantwoordelijkheid van de NOREA.
De belangrijkste wijzigingen:
- Betrokken partij(en) wordt betrokken rol(len). De verschillende rollen kunnen ook door één partij (bijvoorbeeld de houderorganisatie) uitgevoerd worden.
- U/TV.01: toevoegen autorisatie proces (verschuift van U/WA.02 naar U/TV.01).
- U/WA.02: toevoegen security incident afhandeling. Dit is een herstelactie. Per abuis is dit proces weggevallen in de eerste versie van DigiD 2.0. Het autorisatieproces is verplaatst naar U/TV.01.
- U/WA.05: toevoegen dat TLS veilige en minder veilige instellingen kent . Het NCSC maakt onderscheid in ‘Goede’, ‘Voldoende’ en ‘Onvoldoende’ instellingen. Voor de DigiD webserver geldt dat minimaal de op dat moment als ‘voldoende’ bestempelde instellingen vereist zijn.
- U/NW.04: verplicht stellen dat het IDS/IPS geplaatst wordt na decryptie van het oorspronkelijk versleuteld netwerkverkeer.
- U/NW.06: hardening netwerk: deze norm wordt nu altijd ook getoetst bij de houder in verband met het verplicht gebruik van DNSSEC.