Nieuwe richtlijn beveiliging ICT en beveiligingsassessments voor overheidsorganisaties van het NCSC - Mazars - Netherlands
- Nederlands
- English
Recently visited pages
- Mazars heeft risicoanalysetool ontwikkeld
- Mazars breidt online dienstverlening uit
- Mazars and ICT~Office provide benefits to members
- Let op bij brieven over ondernemingsportaal-nl com
- Herdruk boekje Stichting en Vereniging
- Fugro and Imtech winners of Prix de Mazars 2011
- Eight year-end tax tips from Mazars
- Changes 30%ruling accepted by House of Parliament
- Auto en BTW: mogelijkheid tot bezwaar!
- Annual report Mazars NL 2009-2010
Nieuwe richtlijn beveiliging ICT en beveiligingsassessments voor overheidsorganisaties van het NCSC
07/02/2012
Op 2 februari 2012 heeft Minister Spies aan de 2e kamer in een brief een uiteenzetting gegeven over de maatregelen die de overheid heeft getroffen om de beveiliging van haar ICT systemen te bevorderen. De aanleiding hiertoe zijn de recente ICT beveiligingsproblemen met webtoepassingen en de Diginotar-affaire. De belangrijkste maatregelen zijn:
- Opstellen van een verscherpte en duurzame landelijke ICT beveiligingsrichtlijn met een focus op webapplicaties
- De uitvoering van beveiligingsassessments onder verantwoordelijkheid van Register EDP Auditors
- Conclusies van beveiligingsassessments dienen centraal te worden aangeleverd ter evaluatie bij Logius
- In geval van geconstateerde inbraken of lekken dienen per omgaande maatregelen te worden genomen. Bij gebleken tekortkomingen bij DigiD gebruikende organisaties zal zo nodig direct het afkoppelen van deze organisatie plaatsvinden van de DigiD-diensten.
De richtlijnen zijn opgesteld door het Nationaal Cyber Security Centrum (NCSC, voorheen GOVCERT). Mazars Management Consultants is één van de organisaties die betrokken is geweest bij de totstandkoming van de bovengenoemde beveiligingsrichtlijnen.
De richtlijnen wijken fundamenteel af van de “traditionele” normenkaders welke veel gebruikt worden door (EDP)-auditors. De focus van de richtlijnen liggen veel meer op de ICT-systemen zelf en minder op management processen. Ook onderzoek van de inhoud van de ICT–objecten en monitoring zijn onderdeel van de richtlijnen.
Verregaande consequenties
De impact van de beveiligingsrichtlijn zal naar onze mening verregaande consequenties hebben en niet alleen op de overheidsorganisaties waarvoor die primair bedoeld is. ICT dienstverleners, hostingproviders, SAAS-leveranciers, softwareleveranciers en -ontwikkelaars voor overheidsorganisaties zullen de richtlijnen niet kunnen negeren.
Het ligt voor de hand dat ook het bedrijfsleven zal terugvallen op deze normen als het gaat om het stellen van eisen aan de beveiliging van ICT diensten en producten. Voor (EDP)-auditors is de richtlijn uiteraard ook van groot belang voor de uitvoering van hun werkzaamheden.
Verscherpte en duurzame ICT beveiligingsrichtlijn
De richtlijn voor ICT beveiliging gaat verder dan de traditionele IT standaarden en normenkaders voor EDP-auditing. De traditionele normenkaders richten zich veelal primair op maatregelen op het niveau van management processen. De nieuwe richtlijnen zijn veel meer gebaseerd op de inrichting van de ICT systemen en de daaraan gerelateerde risico´s. De richtlijn is dan ook meer technisch van aard. Waarnemingen op systemen en onderzoek naar toegangsbeveiliging en identiteitsmanagement, maar ook zogenaamde code reviews gericht op de robuustheid van de software, maken onderdeel uit van het normenkader. Voorts zullen ook penetratietesten moeten worden uitgevoerd om de deugdelijkheid van de beveiliging ook daadwerkelijk te testen.
De reikwijdte van de nieuwe richtlijn betreft alle relevante systeemlagen:
- Netwerkbeveiliging
- Platformbeveiliging
- Applicatiebeveiliging
- Identiteit- en toegangsbeheer
- Vertrouwelijkheid en onweerlegbaarheid
- Beveiligingsintegratie
- Monitoring, auditing en alerting
- Informatiebeveiligingsbeleid
Dynamische normen, duurzame richtlijn
De normen opgenomen in de beveiligingsrichtlijnen zijn deels dynamisch. Gerefereerd wordt bijvoorbeeld aan de ranking van ICT risico´s die regelmatig gepubliceerd wordt door OWASP (Open Web Application Security Project). Hiermee kan voortdurend worden geanticipeerd op nieuw ontdekte beveiligingsrisico´s en internetbedreigingen.
Gevolgen voor ISAE3402, TPM-onderzoeken en andere IT gerelateerde certificeringen
Het sterke van de nieuwe richtlijnen is dat deze meer concreet zijn als het gaat om de procedurele én technische maatregelen welke getroffen dienen te worden. De IT technologie en de daaraan gekoppelde beveiligingsrisico´s zijn leidend in de richtlijnen. Wij sluiten niet uit dat bestaande aan IT gerelateerde certificeringsschema´s door deze richtlijn ingehaald worden en er een aanleiding is om deze te herzien.
ISAE3402 certificeringen in IT omgevingen bijvoorbeeld, zullen zeker aansluiting moeten zoeken bij de eisen die in deze nieuwe richtlijnen zijn geformuleerd.
Positionering van Mazars
Toepassing van de nieuwe beveiligingsrichtlijn heeft verregaande consequenties voor de uitvoering van EDP audit activiteiten en de oordeelsvorming over de beveiliging van systemen. Mazars beschikt over enkele decennia aan ervaring op het terrein van EDP auditing en in het bijzonder op het terrein van betrouwbaarheid en beveiliging van ICT systemen. Deze ervaring is zowel opgedaan bij overheidsorganisaties als bij bedrijfsleven. In 2011 heeft Mazars Management Consultants van meer dan 65 organisaties de toegangsbeveiliging van ICT systemen geëvalueerd.
De inzet van state of the art kennis en tools zijn bij de uitvoering van audits op basis van de genoemde richtlijnen essentieel. Mazars Management Consultants beschikt over de kennis en tools voor het analyseren van beveiliging van ICT-systemen en het uitvoeren van beveiligingsassessments.
Samenwerkingsverbanden Mazars
Gezien de specialistische vraagstukken die zich met betrekking tot ICT en de nieuwe beveiligingsrichtlijnen kunnen voordoen werkt Mazars samen met gerenommeerde ondernemingen met hoogwaardige en specifieke ICT-deskundigheden. Samenwerkingspartners van Mazars in dit kader zijn:
| Partner | Aandachtgebied |
| Software Improvement Group | Uitvoering van software code reviews |
| Pinewood | Uitvoering van penetratietesten en onderzoek netwerkbeveiliging |
| Softcrow | Continuïteitconstructies in cloud omgevingen |
Voor nadere informatie over de beveiligingsrichtlijnen en onze EDP auditactiviteiten, dan kunt u contact opnemen met Jan Matto .
Referenties Mazars Management Consultants
In 2011 heeft Mazars Management Consultants van meer dan 65 organisaties de toegangsbeveiliging van ICT systemen geëvalueerd.
Verder investeert Mazars Management Consultants in de bevordering van digitale diensten tussen bedrijfsleven en overheid door actief te participeren in een aantal commissies en werkgroepen op het terrein van digitale diensten, zoals:
- Zeker Online, initiatief van ECP EPN en de Belastingdienst; (Jan Matto)
- Zekere Afrekensystemen, initiatief van ECP EPN en de Belastingdienst; (Jan Matto)
- Jaarlijks medeorganisator van het Congres Update on ICT en Control(e); (Jan Matto & Henk van der Wel)
- Werkgroep Privacy van de NOREA; (Henk van der Wel)
- Redactie Handboek EDP auditing; (Jan Matto)
- Redactie van het maandblad De EDP auditor; (Achmed Bouazza)
- Mazars is lid van ECP EPN
- Mazars is Endorser van de DHPA en werkt samen met deze organisatie aan de ontwikkeling van controls voor de hosting- en cloud sector.
Mazars Management Consultants is inmiddels 3 decennia actief op het terrein van organisatie en IT en IT beveiligingsvraagstukken.
Contact us
- Copyright 2012 - Mazars - Netherlands
- RSS
- Site map
- Legal and privacy
- Accessibility
- MazarsConnect
- Copyright 2012 - Mazars - Netherlands
