Transcript ICT-beveiligingsrichtlijnen webapplicaties

ICT- Beveiligingsrichtlijnen
voor Webapplicaties
RICHTLIJNEN
1CT-Beveiligingsrichtlijnen
voor Webapplicaties
RICHTLIJNEN
INHO
Inleiding
Aanleiding v
Webapplica
Doelgroep
Doelstelling
Toepassing
Uitgangspu
Prioriteit
Context/sco
Organisatie
Verschil tuss
Relatie met
Onderhoud
Beleidsd
Uitvoerin
Toegangs
Webapplic
Platforme
Netwerken
Beheers
Bijlagen
Bijlage A A
Bijlage B R
Bijlage C R
Inleiding
Aanleiding voor de
Beveiligingsrichtlijnen
Digitale informatie-uitwisseling is een essentieel onderdeel
geworden voor het functioneren van de Nederlandse samenle
Betrouwbare digitale communicatie is van wezenlijk belang e
vraagt om voortdurende zorg. Dat dit geen makkelijke opgave
blijkt wel uit het veelvoud van incidenten. De Beveiligingsrich
bieden een leidraad naar een veiliger dienstverlening.
Deze ICT-Beveiligingsrichtlijnen voor Webapplicaties (hierna
Richtlijnen genoemd) bestaan uit twee documenten die na
implementatie bijdragen aan een betere beveiliging van web
caties bi, organisaties en de (rijks)overheid. Dit document
(Richtlijnen) beschrijft de beveiligingsrichtlijnen voor webap
ties op hoofdniveau, bijbehorend beleid, uitvoering en behe
Hei document Verdieping vormt een ondersteunend docume
beschrijft de beveiligingsrichtInnen op detailniveau en geeft
richting (handelingsperspectief) met betrekking tot de imple
tafle en controleerbaarheid van de beveiligingsrichtlijnen. W
mogelijk worden concrete adviezen geven. Met de adviezen in
document Verdieping kan worden voldaan aan de beveiliging
lijnen in dit document.
Webapplicaties
Wanneer dit document spreekt over een webapplicatie, dan g
omero applicatie die bereikbaar is met een webbrowser of e
andere client, die ondersteuning biedt voor het Hypertext Tra
Protocol (hrtp). Kern van deze definitie is dat een webapplica
altijd bereikbaar is op basis van http of de roet versleuteling
beveiligde vorm hiervan: https (h up secure). De functionalite
een webapplicatie kan bieden is onbeperkt. De techniek is ec
altijd gebaseerd op de hop-standaard zoals gedefinieerd in 'R
for Comments' (RfC) 945, 2616 , 26t7, 2817', 6265', 6585' en
1945: Hypertext Transfer Protticol HTTP/ http://www
2616: Hypertext TransferPl010401 HTTP/1.1, http://ww
2617: HT'IsPAuthentication (Basic and Digert): http://ww
2817: Upgrading to TI.S Within HTTP/ I. I http://www.iet
6265: Hrrp StateManagementMechanism: http://www.i
6585:Adchurmal HTTP StatusCodes hupWwww.ietforg/
7540: Ilypertext Transfer Prowett] Version 2 (I ITTP/2): h
Ook bijbehorende infrastructuur, het koppelvlak met interne
Opslag van de gegevens en de netwerkservices worden in dit
document beschouwd als aandachtsgebied. Voorbeelden van
applicaties, die volgens deze definitie onder de noemer 'web
catie' vallen, zijn internetsites, extranetten, in t ranetten, softw
as-a-service (SaaS)-applicaties, webservices en web-api's.
I R K
2RFC
3RFC
4Itft
5RFC
6 RFC
7RFC
61ICT-Bevelligingsrichtlimenvoorwebapplicaties Richtlijnen
drie classificaties vormen drie punten op een continuüm van
mogelijke waarden waarbij Hoog de sterkste mate van gewenstheid
is (must have), Midden een redelijk sterke mate van gewenstheid is
(should have) en Laag een gewenste, maar niet noodzakelijke
voorwaarde vormt (nice to have). De drie waarden zijn moeilijk
exact te definieren, maar vormen een functie van kans op optreden
van een bedreiging en de mogelijke schade als gevolg hiervan.
De uiteindelijke afweging voor een specifieke webapplicatie voor
een specifieke organisatie is afhankelijk van de weging van risico's
die uit een risicoanalyse naar voren komen. Daarbij wordt gekeken
naar de kans op optreden van een bedreiging, belle verdedigen
belang' en de mogelijke impact hiervan op de bedrijfsvoering De
beveiligingsrichtlijnen bieden de maatregelen die genomen kunnen
worden om het optreden van bedreigingen terug te dringen en/of
de impact in geval van optreden van een bedreiging te beperken.
Als voorbeeld van een aanpassing van de algemene classificanes in
specifieke situaties kan worden gekeken naar beschikbaarheidsmaatregelen. De noodzaak van beschikbaarheidsmaatregelen kan
bijvoorbeeld laag zijn in situaties waar het niet beschikbaar zijn van
een webdienst weinig impact heeft op de bedrijfsvoering. De
noodzaak kan juist hoog zijn in situaties waar de impact en de kans
op optreden van een bedreiging groot zijn.
Uitgangspunten
Deze Richtlijnen:
o zijn generiek van opzet en voor een breed spectrum van dienstverlening toepasbaar;
o richten zich op de vier kernaspecten van informatiebeveiliging:
beschikbaarheid, integriteit, vertrouwelijkheid en
controleerbaarheid;
o hebben betrekking op webapplicaties en de omgeving die
hiervoor benodigd is. Dit omvat de hardware waarop de software
draait, het netwerk, de koppelingen rassen componenten, het
beheer en alle software die noodzakelijk is om de webdienst op
een veilige manier aan te bieden;
• kunnen als (messbare) norm worden gebruikt bij aan- en
uitbestedingen van diensten en onderlinge afspraken;
obeschrijven in het document Richtlijnen vooral beveiligingsmaatregelen op hoog niveau die organisaties kunnen nemen om
webapplicaties veiliger te maken;
»beschrijven in het document Verdieping op detailniveau de (deel)
beveiligingsmaatregelen en hoe deze geimplementeerd kunnen
worden.
Context/scope
Deze Richtlijnen richten zich op de beveiliging van webapplicaties
vanuit het oogpunt van de aanbiedende partij (de serverzncle). De
Richtlijnen richten zich niet op de clientinrichtingvan gebruikers
van de webapplicatie. ' Er zijn daarom in deze Richtlijnen geen
directe beveiligingsmaatregelen opgenomen voor de manier
waarop afnemende partijen (de werkstations) veilig gebruik kunnen
maken van webapplicaties.
Deze Richtlijnen zijn niet alomvattend en kunnen naast beveiligingsvoorschriften en baselines met een bredere scope (zoals BIR
en BIG (worden gebruikt. Waar dergelijke baselines uit een
deelverzameling van de maatregelen uit ISO-standaard zzooz
bestaan, kennen deze Richtlijnen wel een gedeeltelijke overlap met
ISOzzooz en baselines, maar zijn ze op bepaalde onderdelen
gedetailleerder uitgewerkt.
15027002
Beveiligingsrichtlijnen
voor webapplicaties
figuur. PositioneringRichtlijnentenopzichtevon15022001enoverheidsbosehnes
De Richtlijnen bieden specifieke verdieping voor de beveiliging van
webapplicaties. De beveiliging van webapplicaties moet passen
binnen de beveiligingsopzet die organisaties voor hun overige
processen en omgeving al ingericht zouden moeten hebben,
bijvoorbeeld op basis van de ISO moz.
Deze Richtlijnen zijn primair technisch van aard. Dit betekent dat
een aantal aspecten van informatiebeveiliging geen onderdeel
uitmaakt van het raamwerk dar in deze Richtlijnen wordt gehanteerd. Hei raamwerk besteedt bijvoorbeeld nauwelijks tot geen
aandacht aan zaken als beveiligingsorganisatie, esieke beveiliging
en personeel. Niet-technische maatregelen worden uitsluitend
opgenomen wanneer deze noodzakelijk worden geacht voor de
technische context of wanneer andere normenkaders of standaarden hier onvoldoende op ingaan. Indien een risicoanalyse
aanleiding geeft voor het invullen van deze aanvullende beveili-
8 O f mate van bereidheid risico's te accepteren.
9 Clientbeveiliging ligt gezien de diversiteit buiten de scope en worden qua risico geclassificeerd alseen niet te beinvloeden en niet te vertrouwen
factor.
10 BIR =Baseline Informatiebeveiliging Rijksdienst
1I BIG = Baseline Informatiebeveiliging Nederlandse Gemeenten
gingsmaatregelen dan wordt verwezen naar andere beveilig
standaarden zoals ISO 27orai en ISO 27ooz.
Deze Richtlijnen zijn het uitgangspunt voor de beveiliging
webapplicaties en een organisatie kan de beveiliging van z
webapplicaties (laten) toetsen op basis van deze Richtlijnen
toetsende organisaties kunnen deze Richtlijnen gebruiken
objectief beveiligingsassessment uit te voeren. Bi] het beoo
van een specifieke situatie en bij het implementeren van de
Richtlijnen (het oplossen van tekortkomingen) kan naar de
Richtlijnen verwezen worden.
Verschil tussen versie 2012 en versie
De opbouw van de Richtlijnen versie 2012 was gebaseerd op
raamwerk beveiliging webapplicaties (RBW) van het NCSC
onderverdeeld naar de volgende lagen:
oAlgemene maatregelen
o Netwerkbeveiliging
Beveiliging van het platform/bestunngssysteem
n Beveiligen van een webappficatie op applicatieniveau
nAfscherming van webapplicaties via authenticatie- en
autorisatiemechanismen
o Implementatie van vertrouwelijkheid en onweerlegbaar
webapplicanes
Integratie van de webapplicatie met de verschillende
beveiligingscomponenten
ii Innchtingvan monitoring, auditing en alerting
De opbouw en formulering van deze Richtlijnen, versie 20)
gebaseerd op het SIVA-raamwerk. ' Dit raamwerk helpt bij h
systematisch in kurt brengen van auditobjecten en de bes
van richtlijnen voor de in kaart gebrachte auditobjecten. D
zorgt het voor een betere verbinding van beleid, uitvoering
beheersing van dele nemen maatregelen,
Her SIVA-raamwerk bestaat uit vier componenten: Structuu
Inhoud, Vorm en Analysevolgorde. In de volgende paragra
worden Structuur. Inhoud en Vorm besproken. Analysevolg
gaat over de wijze waarop deze structuur gebruikt wordt bi
ontwikkelen van referentiekaders. Omdat we hier te maken
niet bestaande richtlijnen voor een specifiek auditobject (w
catie-omgeving) is de component Analysevolgorde niet van
toepassing. De opbouw van deze Richtlijnen wordt verder t
licht in de volgende paragraaf.
In bijlage C is een verwijzingstabel opgenomen waarin is a
ven in welke richtlijn(en) iedere richtlijn uit 2012 is opgeno
12httpsl/wwwAtscAl/dienstverlening/experuse-advies/kennis
13 Voor achtergronden en de wetenschappelijke basis van het
voor de ontwikkeling van audineferennekaders'. 2014.
81ICT-Beveiligingsrichtlren voor webapplicatieS • Richtlijnen
I
Beleidsdomein
Hier bevinden zich elementen die aangeven wat in organisatiebrede
zin bereikt kan worden en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen,
zoals doelstellingen, informatiebeveiligingsbeleid, strategie en
vernieuwing, organisatiestructuur en architectuur.
Uitvoeringsdomein
In dir domein wordt de implementatie van de ICT-diensten
uiteengezet, zoals megangsvoorzieningen, webapplicaties,
platformen, webservers en netwerken.
C
T
-
B
e
v
e
i
l
worden dan door de uitwerking die in deze richtlijnen bij de
maatregelen wordt aangegeven. De beschreven maatregelen zijn
een handreiking aan opdrachtgevers, technici en auditors. Zij zullen
zelf de eindafweging moeten maken en deze verantwoorden. Voor
het verantwoorden kunnen zij dan verwijzen naar de criteria en
doelstellingen, met een beschrijving hoe hieraan spandere wijze
invulling is gegeven.
Over de bijlagen
Een overzicht van alle gebruikte afkortingen staat in bulage A.
Bij het samenstellen van deze beveiligingsrichtlijnen is een aantal
literatuurbronnen geraadpleegd. Op plaatsen waar informatie uit
I iteratu urbronnen verwerkt is, wordt naar die bron verwezen in de
vorm van '[nr. '(ic)' verwijst naar een document opgenomen in
bijlage B.
Bijlage C ineen tabel waarin de maatregelen uit de beveiligingsrichtlijnen uit zo12worden gerelateerd aan de overeenkomstige
maatregelen uit deze richtlijn.
Tot slot gebruiken de beveiligingsrichtlijnen ook voetnoten om
bepaalde termen of begrippen te verduidelijken. Deze voemoten
herkent u aan een cijfer in superscript (bijvoorbeeld: )
Norn Als dit document de naam van een product. dienst, Fabrikant
of leverancier noemt, betekent dit niet dat het NCSCdeze op enige
wijze goedkeurt, afkeurt, aanraadt, afraadt of op een andere manier
hiermee verbonden is.
Relatie met andere documenten
Beheersingsdomein
Evaluatieaspecten en meetaspecten zijn in dit domein opgenomen.
Daarnaast treffen we hier ook de beheerprocessen aan, die
noodzakelijk zijn voor de instand houding van ICT-diensten. De
informatie tut de evaluaties en de beheerprocessen is niet alleen
gericht op het bijsturen van de geimplementeerde webapplicaties,
maar ook om het bijsturen en/of aanpassen van de eerder geformuleerde conditionele elementen die gebaseerd zijn op "onzekere
informatie en aannames, visie en uitgestippeld beleid.
Een voorbeeld van een dergelijke aanname is een inschatting van de
capaciteitsbehoefte. In de praktijk kan (en zal) hergebruik anders
zijn dan oorspronkelijk verondersteld. Dan is een mechanisme
nodig dat de daadwerkelijke belasting meet en een proces waarin
eventueel noodzakelijke veranderingen worden vastgesteld en
doorgevoerd.
Maatregelen per domeln (Inhoud)
Binnen de domeinen zijn de verschillende onderwerpen benoemd.
Binnen het uitvoeringsdomein is bovendien een verdere structuur
aangebracht, om uitdrukking te geven aan de verschillende
(technische) disciplines die hier een rol speien. leder onderwerp
heeft hier een eigen specifiek beleid en een eigen specifieke
beheersing. Daar waar specifiek beleid meerdere onderwerpen
raakt, is dit—om dubbelingen tegen te gaan —alsnog als algemeen
beleid opgenomen, ook al is de inhoud vrij specifiek van aard. Op
dezelfde manier zijn ook vrij specifieke beheersingsmaatregelen in
de algemene beheersing terecht gekomen.
Deze Richtlijnen zijn afgeleid van her 'Raamwerk beveiliging
webapplicaties (RBW)' In van hei NCSC. De beveiligingsadviezen uit
het kftw zijn in dit document op een andere wijze gerangschikt en
in sommige gevallen opgedeeld indien dit de opbouw ten goede
kwam (zie bijlage F voor de venvijzingstabel).
Daarnaast wordt in beveiligingsrichtlijnen verwezen naar de
volgende relevante normen, standaarden, best practices, zoals:
Open Web Application Security Project (OWASP) ' Top ro zoi3 (21
OWASPTesting Guide v3 (3(
HetNCSC is verantwoordelijk voor het opstellen en onderhouden
van deze Richtlijnen en zal ze periodiekactualiseren. Indien
noodzakelijk zal het NCSC tussentijds door middel van een
addendum of erratum de Richtlijnen aanpassen.
Hebt u aanvullingen op, opmerkingen over of eigen ervaringen met
deze Richtlijnen? HetNCSC ontvangt ze graag via [email protected]
Onderhoud van de Richtlijnen
Beschrijving van de richtlijnen (Vorm)
De beverligingsnchrlimen zijn in dir document verkort tot een
opsommingvan de maatregelen. Hei document Verdieping bevat
een uitgebreidere structuur met een omschrijvingvan het risico,
conformiteitsindicatoren en een nadere toelichting op de maatregel waar nodig.
Met nadrukwordt gesteld dat de beschreven doelstellingen
mogelijk ook met een (deels) andere invulling bereikt kunnen
14 Het OpenWebApplication Security Project(OWASP)is een wereldwijde charitatieve not-profitorgamsatie met als doel de beveiliging van applicatesoftware ie verbeteren. Hun missie is om applicatiebeveiliging zichtbaar te maken, zodat mensen en organisaties een weloverwogen beslissingen
kunnen nemen over de veiligheidsrisico's met betrekking tot applicaties.OWASPheeft ook een Nederlandse Chapter
<hops://www.owasp.orgAndex.php/Netherlands,
i
g
i
n
g
s
r
i
c
h
t
oOWASP Code Review Guide (4
OWASPApplication Security Verification Standard (ASVS)1
NEN-ISO/IECz2c000 'ManageMentsysternen voor informatie
liging' (6)
• NEN-ISO/IEC zzooz 'Praktijkrichtlijn met beheersmaatrege
het gebied van informatiebeveiliging' [zl
• NEN-ISOAEC 07005 'Information security risk managemen
• Basisnormen Beveiliging en Beheer ICT-infrastructuur [91
oNederlandse Overheid Referentie Architectuur (NORA) Do
Informatiebeveiliging [to)
15NEN-150/IEC 27001:2013 specificeert eisen voor het vaststel
eengedocumenteerd15M5 in het kader van de algemene bed
bedoeld om van toepassing te zijn voor alle organisaties, ong
16NEN-ISOAEC 27002:2013 geeft richtlijnen en principes voor
beveloging binnen een organisatie.
17NEN-ISO/IEC 27005 geeft richtlijnen voor risicobeheer en on
taanpak.
18 D e Nederlandse Overheid Referentie Architectuur (NORA) be
inrichting van de elektronische overheid. Het is een Instrume
dienstverlening aan burgers en bedrijven <http://www.e-ove
Beleidsdomein
Doelstelling
De doelstelling van het beleidsdomein is om vast te stellen
voldoende randvoorwaarden op het strategisch niveau zijn
geschapen om webapplicaties veilig te doen functioneren,
juiste ondersteuning wordt geleverd voor het bereiken van
afgesproken doelstellingen.
Risico's
Door het ontbreken van een door het management uitgeva
beleid bestaat het risico dar onvoldoende sturing wordt geg
aan de veilige inrichting van de ICT-omgeving waar de web
tie een onderdeel van uitmaakt. Dit zal een negatieve impa
hebben op de realisatie van otganisanedoelstellingen.
19ISO/IEC 27002:2013: Chapter 5. Information Security Polici
20 Voor meer informatie, zie: https.//www.ncsc.nVactueelinieu
121ICT-Beveilig ngsrichtlijnen voor webapplicaoes r Richtlijnen
I
gebruikers bewerkstelligen en de integriteit, vertrouwelijkheid en
controleerbaarheid van de gegevens binnen informatiesystemen
garanderen.
Classificatie
Hoog
Richtlijn 2012
Bo-ma
Maatregelen
ot Documenteer zakelijke behoeften en beveiligingseisen voor de
toegangsvoorzieningen en stel deze vast.
oz ldentificeer gebruikersgroepen, -profielen en/of -rollen.
03 Leg alleen de hoogst noodzakelijke gegevens van gebruikers
vast.
04 Leg de relatie vast tussen gebruikersgroepen, -profielen en/of
-rollen en het dataclassificatieschema.
05 Leg vast welke combinaties van functies, taken en/of rollen
ongewenst zijn (functiescheiding).
o6 Stel eisen aan de toegestane authenticators.
07 Stel eisen aan de inzet van technische middelen voor identificatie, au thenticatie en autorisatie.
o8 Stel richtlijnen en procedures op voor de technische inrichting
van toegangsvoorzieningen (identificatie, authenticatie en
autorisatie) in informatiesystemen, besturingssystemen en
netwerken.
os. Stel eisen aan:
de uniformiten en flexibiliteit van
authenticanemechanismen;
de rechten voor platformaccounts;
het automatisch verbreken van de sessie (zie ook richtlijn U/
WA.o8);
o de identificatie/authenticatie(mechanismen) om voldoende
sterke wachtwoorden af te dwingen.
to Baseer de inrichting van het identiteit-en toegangsbeheer op
een vastgesteld ontwerp.
Beveiligingsrichtlijn B.03
Risicomanagement
Richtlijn (wie en wat)
Voor de webapplicatieomgeving wordt risicomanagement
uitgevoerd waarbij (web)applicaties en hun ondersteunende
infrastructuur zowel tijdens ontwikkeling als tijdens operationeel
gebruik periodiek worden onderworpen aan een (informatie)
risicoana)yse.
Doelstelling (waarom)
Bepalen of de risico's (nog) binnen de voor de organisatie
acceptabele grenzen liggen en verantwoordelijken informatie
C
T
-
1
3
e
v
e
verschaffen voor het treffen van eventuele (aanvullende)
maatregelen.
Classificatie
Hoog
Richtlijn zota
Bo-2
Maatregelen
i
os Maakgebruik van een breed toegepaste risicoanalyse-methode.
oz Voer voor (nieuwe) webapplicaties een risicoanalyse Mt en
herhaal deze risicoanalyses periodiek.
o3 Houd van elke uitgevoerde risicoanalyse de rapportage
beschikbaar en stel er een informatiebeveiligingsplan bij op.
ci4 Volg aantoonbaar de aanbevelingen/verbetervoorstellen uit de
risicoanalyses op.
l
i
g
i
n
g
s
r
Beveiligingsrichtlijn 8.05
Contractmanagement
i
c
h
t
Richtlijn (wie en wat)
In een contract met een derde partij voor de uitbestede leve
beheer van een web-applicatie (als dienst) zijn de beveiligin
sen en -wensen vastgelegd en op het juiste (organisatorisch
niveau vastgesteld.
Doelstelling (waarom)
Het handhaven van het beveiligingsniveau, wanneer de ver
woordelijkheid voor de ontwikkeling en/of het beheer van d
webapplicatie is uitbesteed aan een andere organisatie.
Classificatie
Hoog
Richtlijn zosz
80-14
Maatregelen
Beveiligingsrichtlijn B.04
Cryptografiebeleid
ot Laat het (beveiligings)beleid onderdeel zijn van het pakk
beveiligingseisen en -wensen dosis opgesteld bij de verw
van webdiensten en middelen.
02 Laat de requirements en specificaties voor de webdienst
onderdeel zijn van het eisenpakket dat is opgesteld bij d
verwerving van diensten en middelen.
Classificatie
Midden
Doelstelling (waarom)
Het geven van inzicht geven in de relatie tussen techniek en
bedrijfsprocessen en de manier waarop en mate waarin dez
elkaar aansluiten. Hiernaast geeft het ICT-landschap inzich
interactie en relaties tussen webapplicaties en andere comp
ten in de ICT-infrastructuur.
Richtlijn (wie en wat)
De organisatie heeft de actuele documentatie van het ICTlandschap vastgelegd, met daarin de bedrijfsprocessen, de
technische componenten, hun onderlinge samenhangende
KT-beveifigingsarchitectuur.
ICT-landschap
Beveiligingsrichtlijn 8.06
Richtlijn (wie en wat)
Het cryptografiebeleid formuleert eisen die worden gesteld aan
processen en procedures rond het beheer van cryptografisch
materiaal en de opslag en distributie van dit materiaal.
Doelstelling (waarom)
Beschermen van cryptografische sleutels op een manier die past
bij de aard van de cryptografisch beschermde gegevens (datac)assificatie Bsoi/o3).
Classificatie
Hoog
Richtlijn 2012
B5-1, 85-7
Maatregelen
ei Stel eisen aan processen en procedures voor aanvraag, creatie,
hernieuwing, intrekken en beheer van sleutelmateriaal en
certificaten.
02 Stel eisen aan procedures voor beheer om te zorgen voor een
'soepele migratie wanneer een patch een certificaat van de lijst
met vertrouwdecertificaren verwijdert.
03 Stel eisen aan opslag van sleutelmateriaal.
04 Stel eisen aan distnbutie van sleutelmateriaal.
Richtlijn zosz
80-3,136-1
Uitvoeringsdomein
Doelstelling
Vanuit de klant- en organisatie-invalshoek is het doel van de
diensten op de ICT-lagen betrouwbare diensten te leveren. Va
de assessmentinvalshoek is het doel om vast te stellen of de
geleverde diensten adequaat en veilig zijn ingericht.
Domeinen
Binnen het uitvoeringsdomein worden richtlijnen voor de IC
geformuleerd. De lagen die uitgewerkt worden zijn:
ntoegangsvoorzieningsmiddelen;
»webapplicaties;
» platformen en webservers;
vnetwerken.
Debetrokken maatregelen zullen binnen de specifieke lagen
worden uitgewerkt.
161ICT-Beveiligingsnchtlynen voor webapplicaties Richtlynen
1
C
7
-
8
e
v
e
i
l
os Ondersteun de inkiele vaststelling en vastlegging van de
identiteit van personen met het toegangsvoorzieningsmiddel.
oz Bied adequate bescherming van de vastgelegde gebruikers- en
toegangsgegevens met het toegangsvoorzieningsmiddel.
03 Ondersteun in voldoende mate het vaststellen van de identiteit
van natuurlijke personen met hei authenticatiemiddel.
oa Ondersteun het wachtwoordbeleid met het
authenticatiemiddel.
e Wijs rechten toe op basis van het toegangsvoorzieningsbeleid.
o6 Houd een actueel overzicht bij van accounts en de personen die
daar gebruikvan maken:
v service-accounts;
beheeraccounts;
gebruikersaccount;
ii (web)applicatie-accounts.
up Trek de rechten direct in en blokkeer direct het account
wanneer een gebruiker geen recht op toegang meer heeft.
08 Voer periodiek een audit uit op de uitgedeelde autorisaties.
og Registreer het beheren en onderhouden van identiteiten en
autorisatie onweerlegbaar.
o Registreer het verkrijgen van autorisatie en het gebruikvan
functionaliteit onweerlegbaar.
ii Ondersteun met het ingezette identiteits- en toegangsmanagementtool conform het toegangsvoorzieningsbeleid de
complete levenscyclus van identiteiten en autorisaties:
aanvragen;
v toekennen;
o wijzigen;
ointrekken/schorsen/verwijderen;
o conform voorgeschreven procedures.
Maatregelen
Richtlijn 2012
Esorj-1
Classificatie
Hoog
»TOEGANGSVOORZIENINGSMIDDELEN
Doelstelling
De doelstelling van de laag "Toegangsvoorzieningsmiddelen" is om
te waarborgen dat de toegang tot objecten als data, webapplicaties,
computerapparatuur en nenverken ingericht is volgens specifieke
beleidsuitgangspunten van de organisatie. De werking voldoet aan
de eisen die door de organisatie zijn gesteld ten aanzien van de
kwaliteitsaspecten vertrouwelijkheid, integriteit, beschikbaarheid
en controleerbaarheid van deze objecten.
Risico's
Door het ontbreken van adequate toegangsbeveiliging tot (web)
applicaties, systemen en netwerken bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot deze objecten, waardoor
ongewenste acties op de services kunnen plaatsvinden en/of
informatie kan worden ontvreemd of verminkt.
Identiteiten zijn gevoelige persoonsgegevens. Wanneer een systeem
onvoldoende bescherming biedt tegen misbruik of diefstal kan dit
leiden tot identiteitsfraude (binnen het systeem of elders met
misbruikvan identiteiten uit het systeem).
Beveiligingsrichtirin U/T1/.01
Toegangsvoorzieningsmiddelen
Richtlijn (wie en wat)
Het toegangsvoorzierungsbeleid fotmuleert, op basis van eisen en
wensen van de organisatie, richtlijnen voor de organisatorische en
technische inrichting (ontwerp) van de processen en middelen,
waarmee de toegang en her gebruik van ICT-diensten gereguleerd
wordt.
Doelstelling (waarom)
De effectieve toegang tot informatiesystemen voor bevoegde
gebruikers bewerkstelligen en de integriteit, vertrouwelijkheid en
controleerbaarheid van de gegevens binnen informatiesystemen
garanderen.
di Vaak ook aangeduid ali CIAA(Confidenfiality, Integrity. Availability en Auditability).
i
g
i
n
g
s
n
c
h
t
))WEBAPPLICATIES
Doelstelling
De doelstelling van de laag "Webapplicaties" is om te waarb
dat webapplicaties functioneren zoals is beoogd, ingericht z
volgens specifieke beleidsuitgangspunten van de organisatie
voldoen aan de eisen die door de organisatie zijn gesteld ten
aanzien van de kwaliteitsaspecten vertrouwelijkheid, integr
beschikbaarheid en controleerbaarheid.
Risico's
De ervaren of veronderstelde betrouwbaarheid van de weba
wordt ondermijnd door derden, doordat zij in staat zijn de (
van de) webapplicatie te manipuleren of verstoren. Oorzake
kunnen gelegen zijn in het niet (correct) of onvolledig toepa
van bekende richtlijnen en beveiligingstechnieken in zowel
ontwikkel- als de productiefase.
Beveiligingsrichtlijn 1)/WA.01
Operationeel beleid voor webapplicaties
Richtlijn (wie en wat)
Het operationeel beleid voor webapplicaties bevat richtlijn
instructies en procedures met betrekking tot ontwikkeling,
onderhoud en uitfasering van webapplicaties.
Doelstelling (waarom)
De ontwikkeling van de webapplicatie optimaal ondersteu
de klant betrouwbare diensten bieden.
Classificatie
Hoog
Richtlijn zoiz
Maatregelen
os Stel richtlijnen op voor:
» ontwikkeling, onderhoud en uitfasering van webapp
o beveiliging van webapplicaties;
o vetwerking van gegevens;
» koppelingen met onderliggende systemen;
18ICT-Beveiligingsnchtlenen voor webapplicaties • Richtlijnen
Webapplicatie-integratie
Beveiligingsrichtlijn U/WA.07
Betrouwbaarheid van gegevens
Richtlijn (wie en wat)
De webapplicatie communiceert alleen met onder- en achte
gende systemen op basis van statisch geconfigureerde (gep
metriseerde) queries en commando's en uitsluitend ten beh
van de noodzakelijke functionaliteit.
Beveiligingsrichtlijn U/WA,05
Webapplicatie-invoer
Richtlijn (wie en wat)
De webapplicatie garandeert de betrouwbaarheid van informatie
door toepassing van privacybevorderende en cryptografische
technieken.
Beveiligingsrichtlijn U/WA.0 3
Richtlijn (wie en wat)
De webapplicatie beperkt de mogelijkheid tot manipulatie door
de invoer te normaliseren en te valideren, voordat deze invoer
wordt verwerkt.
Richtlijn n m
84-2
Classificatie
Hoog
Doelstelling (waarom)
Voorkomen dat derden de controle over een sessie kunnen
knigen.
Richtlijn (wie en wat)
De (gebruikers)sessie die ontstaat na het succesvol aanmeld
een gebruiker, kent een beperkte levensduur en de gebruike
deze sessie zelf beeindigen.
Webapplicatiesessie
Beveiligingsrichtlijn U/WA.08
ni Bouw commando- en queryteksten op met uitsluitend in
code reeds aanwezige vaste tekstfragmenten.
02 Geef gebruikersinvoer die gebruikt moet worden in com
do%en queries op een zodanige manier door, dat de beo
werking niet wordt gewijzigd.
03 Houd van elke webapplicatie bij welke functionaliteit va
backendsystemen nodig is.
cm Verbied directe data-toegang tot backendsystemen, tenz
andere opties niet voorhanden zijn.
Maatregelen
Richtlijn a m
83-5
Classificatie
Hoog
Doelstelling (waarom)
Kwetsbaarheid van de onder- en achterliggende systemen
voorkomen en de integriteit en vertrouwelijkheid garandere
Doelstelling (waarom)
Gegevens in opslag en transport beschermen tegen ongeautoriseerde kennisname en manipulatie.
Maatregelen
Richtlijn 2012
83-11
Classificatie
Hoog
Doelstelling (waarom)
Beperk het (onnodig) vrijgeven van informatie tot een minimum.
Richtlfin (wie en wat)
De webapplicatie beperkt de informatie in de uitvoer tot de
informatie die voor het functioneren van belang is.
Webapplicatie-informatie
Beveiligingsrichtlijn U/WA.06
ni Pas, wanneer de webapplicatie persoonsgegevens verwerkt, de
privacy-by-designprincipes toe.
oz Maak waar mogelijkgebruikvan privacybevorderende
technieken.
03 Versleutel of hash gevoelige gegevens in databases en bestanden.
04 Gebruik cryptografisch sterke sessie-identificerende cookies.
os Versleutel communicatie.
06 Onderteken transacties meteen digitale handtekening.
Maatregelen
Richtlijn noia
85-z. 85-3, 85-4, 85-5
Classificatie
Hoog
Doelstelling (waarom)
Voorkom (on)opzettelijke manipulatie van de webapplicatie.
waardoor de vertrouwelijkheid, integriteit en/of beschikbaarheid
van de webapplicatie aangetast worden.
Classificatie
Hoog
Richtlijn noia
B3-1, 83-3, B3-6, 133-7
Maatregelen
ni Valideer de invoer op de server.
oz Verbied of beperk het gebruik van dynamische file includes.
03 Converteer alle invoer naar een veilig formaat. waarbij
risicovolle tekens uit de invoer *onschadelijk worden gemaakt
04 Weiger foute, ongeldige of verboden invoer.
Beveiligingsrichtlijn U/WA.04
Webapplicatie-uitvoer
Richtlijn (wie en wat)
De webapplicatie beperkt de uitvoer tot waarden die (veilig)
verwerkt kunnen worden door deze te normaliseren.
Doelstelling (waarom)
Voorkom manipulatie van het systeem van andere gebruikers.
Classificatie
Hoog
Richtlijn zorn
83-4
Maatregelen
ni Converteer alle uitvoer naar een veilig formaat.
ni Venvilder commentaarregels uit de scnpts (code).
02 Venvijder of pseudonimiseer verwijzingen naar interne
bestands- of systeemnamen.
201ICT-Beveiligingsrichtlijnen voor webapphcatieso Richtlijnen
I
C
T
-
B
e
v
e
i
l
i
g
i
n
g
s
r
i
Bevedigingsrichtlijn U/PW.0 3
Webserver
c
h
t
Richtlijn (wie en wat)
De webserver is ingericht volgens een configuratie-baseline
Doelstelling (waarom)
Ongewenste vrijgave van informatie tot een minimum bep
met name waar het gaat oro informatie die inzicht geeft in
opbouw van de beveiliging.
Classificatie
Hoog
Richtlijn zoiz
83-13, 83-16
Maatregelen
ei Beschrijf de parametrisering van de webserver in een
configuratiedocument.
oz Verbied het opvragen van de inhoud van het filesysteem
server. Ondersteun geen directory-listings.
03 Stel voor alle cookies de flags 'secure' en 'HrtpOnly' in.
04 Verstuur bij alle http-responses de hrtp-headers 'Conte
Security-Policy: frame-ancestors' en (tijdeliik)*X-frame-O
BeveiligingsrichAjn U/PW.04
Richtlijn (wie en wat)
Kritieke delen van systemen (bijv. subprocessen, bestanden
beschermen door isolatie van overige delen.
Isolatie van processen/bestanden
Richtlijn acriz
133-2, B3-8, B3-9, 83-10, B3-12
et Stel een ontwerp- en configuratiedocument vast dat be
op welke wijze processen worden afgeschermd van bes
waartoe zijn geen toegang mogen hebben.
02 Stel een ontwerp- en configuratiedocument vast dat be
op welke wijze processen van elkaar worden afgescherm
Maatregelen
Richtlijn anta
B2-3
Classificatie
Hoog
Doelstelling (waarom)
Beperk de impact bij misbruik van processen.
or Behandel alleen http-requests waarvan de gegevens een correct
type, lengte, formaat, tekens en paironen hebben.
02 Behandel alleen http-requests van initiators met een correcte
authenticatie en autorisatie.
03 Sta alleen de voor de ondersteunde webapplicaties benodigde
hup-requestmethoden (GET, POST, etc.) toe en blokkeer de
overige niet noodzakelijke hnp•requestmethoden.
04 Verstuur alleen http-headers die voor het functioneren van
hrtp van belang zijn.
o5 Toon in http-headers alleen de hoogst noodzakelijke informatie die voor het functioneren van belang is.
06 B i j het optreden van een fout wordt de informatie in een
http-response tot een minimum beperkt. Een eventuele
foutmelding zegt wel dat er iets is fout gegaan, maar niet hoe
het is fout gegaan.
Maatregelen
Classificatie
Hoog
Doelstelling (waarom)
Voorkom inzage, wijziging of verlies van gegevens door manipulatie van de logica van de webserver of webapplicatie.
Richtlijn (wie en wat)
De webserver garandeert specifieke kenmerken van de inhoud van
de protocollen.
Webprotocollen
Beveiligingsrichtlijn U/PW.02
03 Besteed in de voorschnften expliciet aandacht aan de configurane en het gebruikvan accounts.
04 Stel instructies en procedures op voor:
» het creëren en onderhouden van voorschriften voor de
veilige configuratie van platformen en webservers:
» het toepassen van voorschriften voor de veilige configuratie
van platformen en webservers.
» PLATFORMEN EN WEBSERVERS
Doelstelling
De doelstelling van de laag "Platformen en webservers' is te
waarborgen dat de platformen (besturingssystemen) en webservers
ingericht zijn volgens specifieke beleidsuitgangspunten van de
organisatie en voldoen aan de eisen die door de organisatie zijn
gesteld ten aanzien van de kwaliteitsaspecten vertrouwelijkheid,
integriteit, beschikbaarheid en controleerbaarheid.
Risico's
Door gebruik te maken van kwetsbaarheden in platformen en
webservers, zijn onbevoegden in staat kennis te nemen van
bedrijfs- of privacygevoelige gegevens, de gegevens te manipuleren
of de beschikbaarheid van de webapplicatie negatief te beinvloeden. Bovendien bestaat het risico dat zij in staat zijn de sporen van
dit gebruik te wissen of verhullen, of dit uit andermans naam doen.
Beveiligingsrichtlijn U/PW.01
Operationeel beleid voor platformen en
webservers
Richtlijn (wie en wat)
Het operationeel beleid voor platformen en webservers formuleert
richtlijnen instructies en procedures voor inrichting en beheer van
platformen en webservers.
Doelstelling (waarom)
Betrouwbare ondersteuning van de programmatuur die op het
platform draait.
Classificatie
Hoog
Richtlijn 2012
Bz-z
Maatregelen
ui Stel voorschriften (baselines) op voor de veilige configuratie
van platformen en webservers.
oz Besteed in de voorschriften expliciet aandacht aan harden ing
van platformen en webservers.
all ICT-Beveiligingsnchtlijnen sec, webapplicaties » Richtlijnen
Beveiligingsrichtlijn U/PW.07
Hardening van platformen
I
Richtlijn (wie en wat)
Voor het configureren van platformen is een hardeningrichtlijn
beschikbaar
Doelstelling (waarom)
Beperken van de functionaliteit tot hetgeen noodzakelijk is voor
het correct functioneren van de geleverde ICT-diensten.
Classificatie
Hoog
Richtlijn zou
80-s
Maatregelen
si Richt ICT-componenten (aantoonbaar) volgens de instructies
en procedures van de leverancier in.
oz Houd een actueel overzicht bij van de noodzakelijke protocollen, services en accounts voor de op het platform geinstalleerde applicaties.
03 Deactiveer of venvijder alle protocollen, services en accounts
op het platform als die nier volgens het ontwerp noodzakelijk
zijn.
04 Toets periodiek of de in productie zijnde ICT-componenten
niet meer dan de vanuit het ontwerp noodzakelijke functies
bieden (statusopname). Afwijkingen worden hersteld.
os Pas de beveiligingsconfiguraties van netwerkservices en
protocollen op het platform aan conform richtlijnen.
8eveiligingsrichtlijn U/PW.08
Platform- en webserverarchitectuur
Richtlijn (wie en wat)
Voor het implementeren, integreren en onderhouden van
platformen en webservers zen architectuurvoorschriften en
beveiligingsvoorschriften beschikbaar.
Doelstelling (waarom)
Een platform bieden dat een betrouwbare verwerking garandeert.
Classificatie
Midden
Richtlijn unta
C
T
-
Maatregelen
B
e
v
e
i
l
os Stel architectuurvoorschriften op die actief worden
onderhouden
oz Stel hardeningrichtlijnen op voor platformen, aantoonbaar
afgeleid uit de architectuur.
03 Leid de inrichtingsrichtlijnen voor registratie van (beveiligings)
evento (logging, zie richtlijn C.06) aantoonbaar af uit de
architectuur.
i
g
i
n
g
s
r
i
c
» NETWERKEN
Doelstelling
h
t
De doelstelling van de laag "Netwerken" is om te waarborgen
netwerkinfrastructuur ingericht is overeenkomstig specifieke
beleidsuitgangspunten van de organisatie en voldoet aan de ei
door de organisatie zijn gesteld ten aanzien van de kwaliteitsasp
vertrouwelijkheid, integriteit, beschikbaarheid en controleerba
Risico's
De beoogde ofvereiste betrouwbaarheid van de webapplicat
wordt ondermijnd door derden, doordat zij in staat zijn het n
(of componenten daarin) te manipuleren of verstoren. Oorza
kunnen gelegen zijn in het niet (correct) of onvolledig toepas
van bekende richtlijnen en (bevelligings)technieken.
Beveiligingsrichtlun U/NW.01
Operationeel beleid voor netwerken
Richtlijn (wie en wat)
Het operationeel beleid voor netwerken formuleert richtlijn
instructies en procedures voor inrichting en beheer van
netwerken.
Doelstelling (waarom)
Betrouwbare communicatie voor de systemen die binnen h
netwerk geinstalleerd zijn.
Classificatie
Midden
Richtlijn zou
Maatregelen
ot Stel voorschriften (baselines) op voor de veilige inrichtin
beheer van netwerken. De baseline dient ook aandacht
geven aan hardening, zie richtlijn U/NW.o6.
tu Stel procedures en instructies op voor het inrichten van
netwerkcomponenten aan de hand van beveiligingstem
03 Stel aansluitvoorwaarden op die beschrijven wanneer ee
(nieuwe) component op het netwerk mag worden aang
241ICT-BeveileIngsrichtlijnen voor webapplicaties • Richtlijnen
Classificatie
Hoog
Richtlijn zotz
Br-r, Bi-2, Bi-4
Maatregelen
ot Deel het netwerk in domeinen (of zones) op, op grond van
gemeenschappelijke kenmerken van de systemen binnen een
domein.
oz Sta alleen voor de beoogde diensten noodzakelijke verkeersstromen tussen zones toe.
03 Scheid netwerkzones fysiek of logisch van elkaar, zet een
minimale hoeveelheid netwerkcomponenten in op koppelvlakken die deze scheiding handhaven.
04 Gebruik verschillende fysieke interfaces voor aansluiting van
verschillende (logische) netwerkzones.
o5 Scheid het interne bedrijfsnetwerk en het internet van elkaar
door middel van een bufferzone ('demilitarised zone, DMZ) dat
bestaat uit frontend-zones en backend-zones.
06 Leg in een DMZ-inrichtingsdocument/onnverp vast welke
uitgangspunten en principes gelden voor de toepassing van
de DMZ.
07 Plaats alleen de systemen, (web)applicanes en diensten in de
DMZ die in het DMZ-ontwerp voorkomen.
o8 Configureer de filters en regels binnen een DMZ conform het
DMZ-ontwerp.
og Laat verkeersstromen tussen interne netwerken en externe
netwerken lopen via een DMZ, en controleer en ontkoppel
deze op applicatieniveau (sessiescheiding).
to Sta alleen de voor de beoogde diensten noodzakelijke
verkeersstromen tussen internet en de DMZ en tussen de DMZ
en het interne netwerk toe.
Beveiligingsrichtlijn U/NW.04
Protectie- en detectiefunctie
Richtlijn (wie en wat)
De netwerkcomponenten en het netwerkverkeer worden
beschermd door middel van protectie- en detectiemechanismen.
Doelstelling (waarom)
Het detecteren van aanvallen (onder andere (D)Dos) om te
voorkomen dat de vertrouwelijkheid, integriteit en/of beschikbaarheid van geleverde services negatief wordt beinvloed.
Classificatie
Hoog
Richtlijn 201a
B1-5, B7-1
Maatregelen
oi Zorg voor een actueel DMZ-inrichtingsdocument/ontwerp dat
inzicht geeft welke protectiemechanismen zijn betrokken.
oz Pas an ti-spoofingmechanismen toe in het netwerk.
03 Reguleer dataverkeer met access control lists (ACL's) op basis
van bijvoorbeeld ip-adres of poortn um mer.
04 Stel de firewall-regels op en con reu reer deze via een proces en
review dit periodiek.
o5 Monitor inkomend en uitgaand verkeer in het netwerk.
o6 Monitor de infrastructuur zodat detectie van ((D)DoS-)
aanvallen mogelijk is.
07 Implementeer Intrusion Detection Systemen (IDS) of Intrusion
Prevention Systemen (IPS).
o8 Richt de IDS'en en IPS'en in op basis van een geaccordeerd
inrichtingsdocument/ontwerp.
og Houd rapportage(tool)s beschikbaar voor analyses van de door
detectiemechanismen vastgelegde gegevens.
Beveiligingsrichtlijn U/NW.05
Beheer- en productieomgeving
Richtlijn (wie en wat)
Binnen de productieomgeving zijn beheer- en productieverkeer
van elkaar afgeschermd.
Doelstelling (waarom)
Het voorkomen van misbruik van de beheervoorzieningen vanaf
het internet.
Classificatie
Hoog
Richtlijn zosa
B1-2
Maatregelen
os Geef in een inrichtingsdocument aan op welke wijze contentbeheer (web-en database-content), applicatiebeheer en
technisch beheer worden uitgeoefend.
oz Stel een overzicht op van de ontsluitingvan storage en de
aansluiting op een back-upinfrastructuur.
03 Stel een overzicht op van ondersteunende trimm unicatieprotorollen voor beheer.
04 Stel een overzicht op van ondersteunende applicaties voor
beheer.
os Leg vast op welke wijze beheerders toegang krijgen tot de
beheeromgeving.
Beveiligingsrichtlijn U/NW.06
Hardening van netwerken
Richtlijn (wie en wat)
Voor het configureren van netwerken is een hardeningricht
beschikbaar.
Doelstelling (waarom)
Beperken van het netwerkverkeer tot hetgeen noodzakelijk
het correct functioneren van de geleverde ICT-diensten.
Classificatie
Hoog
Richtlijn 2012
Bo-
Maatregelen
os H o u d een actueel overzicht bijvan de noodzakelijke ne
prototollen, -poorten en -services.
oz Schakel op de netwerkcomponenten alle netwerkproto
-poorten en —services uit, behalve de noodzakelijke.
03 Pas de (beveiligings)configuraties van netwerkprotocoll
-poorten en -services op de netwerkcomponenten aan c
richtlijnen.
04 Wijs op switches netwerkpoorten toe aan vinual LANs (V
op basis van het MAC-adres van de aangesloten systeme
security).
Beveiligingsrichtlijn U/NW.07
Netwerktoegang tot webapplicatie
Richtlijn (wie en wat)
De opzet van het netwerk garandeert dat alle gebruikers la
dezelfde netwerkpaden toegang krijgen tot webapplicaties
ongeacht hun fysieke locatie.
Doelstelling (waarom)
Voorkom (nieuwe) beveiligingsrisico's omdat de webapplic
ook bereikbaar moeten zijn vanaf het interne netwerk voo
gebruikers binnen de organisatie.
Classificatie
Hoog
Richtlijn cosa
05-3
Beheersingsdomein
(control)
Doelstelling
De doelstelling van her beheersingsdomein is er voor te zorge
vast te stellen dar
n de webapplicatie-omgeving afdoende is ingericht voor het
leveren van het gewenste niveau van webapplicatie-dienste
» het juiste beveiligingsniveau van technische componenten
lagen toegangsvoorziening, webapplicatie, platformen en
webservers en netwerken wordt gegarandeerd.
Risico's
Door het ontbreken van noodzakelijke maatregelen binnen h
beheersingsdomein is het niet zeker dardo webapplicatie-om
blijvend aan de beoogde beveiligingsvoorwaarden voldoet en
governance van die omgeving toereikend is ingericht.
Beveiligingsrichtlijn C.01
Servicemanagementbeleid
Richtlijn (wie en wat)
Het servicemanagementbeleid formuleert richtlijnen voor
beheerprocessen, controleactiviteiten en rapportages ten b
van het beheer van IET-diensten.
Doelstelling (waarom)
Effectieve beheersing. door samenhangende inrichting van
processen en controle hierover door middel van registratie,
statusmeting, monitoring, analyse, rapportage en evaluatie
Classificatie
Midden
Richtlijn zotz
Maatregelen
oi Stel richtlijnen op voor de inrichting van de seivicemana
mentorganisatie.
oz Stel een beschrijving op van de relevante beheerprocess
03 Richt de processen in conform een vastgestelde cyclus.
04 Gebruik geautomatiseerde middelen voor effectieve ond
ning van beheerprocessen.
o5 Stel richtlijnen op voor het uitvoeren van registratie, status
monitoring, analyse, rapportage en evaluatie.
o6 Stel richtlijnen op voor het uitvoeren van controle-activ
ten aanzien van identiteit en toegangsbelteer, webapplic
platformen en webservers en netwerken.
07 Stel richtlijnen op voor het evalueren van de organisatie, kw
effectiviteit, borging en informatievoorziening van de
beheerprocessen.
08 Leg de taken, verantwoordelijkheden en bevoegdheden
281ICT-Beveilengsrichtlunen suoi webapplicaties » Richtlijnen
Classificatie
Hoog
Richtlijn zoiz
Bo-9
Maatregelen
or Stel een planning op voor het uitvoeren van reguliere
vulnerability assessment van de webapplicarie-omgeving.
02 Registreer de uitvoering van de vulnerability assessments.
03 Stel rapportages op met de resultaten van de vulnerability
assessments.
04 Communiceer de rapportages met verbetervoorstellen met
verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.
os Beleg implementatieacties en stel uitvoerings- of systeemdocumenten beschikbaar waaruit blijkt dat de verbetervoorstellen
zijn geimplementeerd.
06 zorg voor een actueel overzicht van te onderzoeken componenten, zoals webapplicaties, webservers, netwerk(componenten)
en ip-adressen.
07 Stel een overzicht op van kwaliteitseisen en —criteria waarover
gerapporteerd moet worden.
Beveiligingsrichtlijn C.04
Penetratietestproces
Richtlijn (wie en wat)
Penetratietests worden procesmatig en procedureel, ondersteund
door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope).
Doelstelling (waarom)
Het verkrijgen van inzicht in de weerstand die een webapplicatie
kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie).
Classificatie
Hoog
Richtlijn 2012
Bo-8
Maatregelen
or Plan het uitvoeren van reguliere penetratietests van de
webapplicatie inclusief de infrastructuur waarop deze draait.
02 Registreer de uitvoering van de penetratietest.
03 Rapporteer over de resultaten van de penetratietest.
04 Communiceer de rapportages met verbetervoorstellen met
verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.
os Beleg implementatie-acties costei uitvoerings- of systeemdocumenten beschikbaar waaruit blijkt dat de verbeteivoorste)len
zijn geïmplementeerd.
o6 Definieer het object van onderzoek in een scopedefinitie.
07 Stem de opdracht af met en accordeer deze door een voldoende
gemandateerde vertegenwoordiger.
08 Zorg voor een vrijwaringsverklaringvoor penetratietesters, met
eventuele beperkingen beschikbaar.
Beveiligingsrichtlijn C.05
Technische controlefunctie
Richtlijn (wie en wat)
De functionaris verantwoordelijk voor de technische controlefunctie van de we beimfitanes voert periodiek (technische)
evaluaties van de beveiligingsfunctionaliteit van de webe p plicaties
Doelstelling (waarom)
Het vaststellen van de juiste werking van de webapplicaties en het
tijdig signaleren van afwijkingen/kwetsbaarheden.
Classificatie
Midden
Richtlijn 2012
133-14. 83-15
Maatregelen
oi Voer periodiek reviews of geautomatiseerdescans op de
volledige broncode uit.
02 Voer periodieke (blackbox-)scans uit, waarbij de volledige
functionaliteit van de webapplicatie geraakt wordt.
Beveiligingsrichtlijn C.06
Logging
Richtlijn (wie en wat)
In de webapplicatieomgeving zijn signaleringsfuncties (registratie
en detectie) actief en efficient, effectief en beveiligd ingericht.
Doelstelling (waarom)
Het maakt mogelijk eventuele schendingen van functionele en
beveiligingseisen te kunnen detecteren en achteraf de juistheid
van de uitgevoerde acties, zowel op strategisch als operationeel
niveau te kunnen vaststellen.
Classificatie
Hoog
Richtlijn zon
87-1, 87-2, 87-4, E17-5, 87-6, 137-7
or Bepaal welke gebeurtenissen en/of beheeractiviteiten a
webapplicatie vastgelegd moeten worden.
oz Detecteer aanvallen met detectiesystemen in de
webapplicatie-i n frastructuur.
03 Leg in de ontwerp- of configuratiedocumentatie vast wa
hoe centralisering van logging is ingericht (inclusief
con figuratie-instellingen).
04 Configureer de systemen zodanig dat interne systeemkl
automatisch gesynchroniseerd worden.
os Bepaal voorafwat te doen bij het uitvallen van loggingm
nismen (alternatieve paden).
o6 Stel de (online of offline) bewaartermijn voor logging v
laat dit tot uitdrukking komen in de configuratie-instell
van de systemen.
07 Bescherm de loggegevens tegen toegang door onbevoeg
beveilig deze tegen achterafwijzigen/verwijderen.
Beveiligingsrichtlijn CO?
Monitoring
Richtlijn (wie en wat)
De loggings- en detectie-informatie (registraties en alarme
en de condities van de beveiliging van I(T-systemen worde
regelmatig gemonitord (bewaakt, geanalyseerd) en de bev
gen gerapporteerd.
Doelstelling (waarom)
Tijdig inzetten van correctieve maatregelen en informatie
verschaffen over activiteiten van gebruikers en beheerders
ICT-diensten en de status van de componenten waarmee d
worden voortgebracht.
Classificatie
Hoog
Richtlijn 2012
87-3, B7-8, 87-9
Maatregelen
or Breng de door verschillende beheerdisciplines gelogde
informatie samen voor analysedoeleinden.
oz Laat de signaleringssystemen (detectie) tijdig melding m
van ongewenste gebeurtenissen.
03 Voer periodiek actief controles uit op:
30I ICT-Bevelligingsrichtliinen voor webapplicaties Richtlijnen
I
wijzigingen) en OTAP-procedures.
03 Sluit functioneel beheer aan op het generiek proces van
wijzigingenbeheer.
oei Lever (beheer)documentatie van wijzigingen op conform
vastgestelde eisen.
05 Stel wijzigingsprocedures op voor hardware, software en
parameterinstellingen (configuratie).
06 Richt configuratiebeheer in en geef daarmee inzicht in
gegevens van de kritieke systemen en applicaties.
07 Registreer en neem wijzigingen binnen een afgesproken
tijdslimiet in behandeling op een gestructureerde wijze.
08 Neem alleen geautoriseerde wijzigingsverzoeken (Request for
Change (RFC)) in behandeling.
09 Neem autonsane van doorvoeren van wijzigingen in de
verschillende OTAP-omgevingen op in het proces van
wnzigingenbeheer.
to Test alle wijzigingen altijd eerst voordat deze in productie
worden genomen en neem ze via vastgestelde wijzigings- en
releaseprocedures in productie.
ii Scheid ontwikkel, test en acceptatievoorzieningen van
productievoorzieningen (OTAP).
12 A u d i t de producrieomgeving op ongeautoriseerde wijzigingen.
Bevelligingsrichtlijn C.09
Patchmanagement
Richtlijn (wie en wat)
Patchmanagement is procesmatig en procedureel, ondersteund
door richtlijnen, zodanig uitgevoerd dat laatste (bevelligings)
patches tijdig zijn geinstalleerd iride ICT-voorzieningen,
Doelstelling (waarom)
Zekerstellen dat technische en software kwetsbaarheden tijdig en
effectief worden aangepakt en zo een stabiele omgeving wordt
gecrederd.
Classificatie
Hoog
Richtlijn zoiz
80-7
Maatregelen
ot Beschrijf het patchmanagementproces en laat het goedkeuren
door het management en toekennen aan een verantwoordelijke functionaris.
02 Voorzie alle ICT-componenten van de meest recente, relevante
patches.
03 Stel de rollen en verantwoordelijkheden voor patchmanagement vast.
04 Voer registratie over de verworven patches, hun relevantie,
C
T
-
8
e
v
e
l
l
besluit tot wel/niet uitvoeren, datum patch-test, resultaat
patch-test, datum uitvoeren patch en patch-resultaat.
os Stel een patchrichtlijn op voor de ondersteuning van patchactiviteiten die op het juiste (organisatorische) niveau is vastgesteld en is geaccordeerd.
Beveiligingsrichtlijn C.10
Beschikbaarheid beheer
Richtlijn (wie en wat)
Beschikbaarheid beheer wordt is procesmatig ingericht, zodat bij
calamiteiten de webapplicaties binnen de gestelde termijn wordt
hersteld en voortgezet.
Doelstelling (waarom)
Waarborgen van beschikbaarheid van informatieverwerkende
systemen of webapplicaties.
Classificatie
Hoog
Richtlijn zoiz
Bo-ii
Maatregelen
ot Beschrijf het beschikbaarheidbeheerptoces en laat het
goedkeuren door het management en toekennen aan een
verantwoordelijke functionaris.
02 Documenteer de back-up- en herstelprocessen en -procedures
voor de hele webapplicatie-omgeving.
03 Stel een beschikbaarheidsplan op, met daarin beschikbaarheidseisen per systeem, activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties en escalatiepaden.
04 Test en evalueer het beschikbaarheidplan periodiek.
os Stel hersteltijden van webapplicaties vast.
Beveiligingsrichtlijn C.11
Configuratiebeheer
Richtlijn (wie en wat)
Het configuratiebeheer is procesmatig ingericht en zorgt ervoor
dat slechts operationele websites in gebruik zijn.
Doelstelling (waarom)
Het voorkomen van misbruik van 'oude' en niet meer gebruikte
websites en/of informatie.
Classificatie
Hoog
i
g
i
n
g
Richtlijn zou
00-0, 80-13
Maatregelen
s
r
i
c
h
t
or Neem websites conform wijzigingsbeheerprocessen in
productie.
02 Voer periodiek controles uit of de operationele website
worden gebruikt of informatie bevatten die kan worden
verwijderd.
03 Houd een overzichtslijst bij van de websites die operatio
zijn inclusief de daarbij vermelde eigenaren.
Bijiagen
A t t i v e
A c c e s s
Directory
Control List
BIJLAGE A
» AFKORTINGEN
AD
A A C L
Ajax A s y n c h r o n o u s lavaScript and XML
ADH A n o n y m u s Diffie-Heilman
APIDS A p p l i c a t i o n - b a s e d Intrusion Detect
API A p p l i c a t i o n Programming Interface
Gateway Protocol
A5v5 A p p l i c a t i o n Security Verification Sta
B o r d e r
C i s c o
for Internet Security
Discovery Protocol
C e r t i f i c a t i o n Authority
C e n t e r
C A
BREI B u r g e r s e r v i c e n u m m e r
BREIN B e s c h e r m i n g Rechten Entertainme
B B O P
C
CIS
CDP
CMDB C o n f i g u r a t i o n Management Datab
CMS C o n t e n t Management System
CP C e r t i f i c a t e Policy
CPS C e r t i f i c a n o n Practice Statement
CSRF C r o s s -Site Request Forgeiy
CPU C e n t r a l Processing Unit
CRI C e r t i f i c a t e Revocation List
(SS C a s c a d i n g Style Sheet
D i s c r e t i o n a r y Access Control
DBA D a t a b a s e Administrator
D D A C
DHCP D y n a m i c Host Configuration Proto
(0)DoS ( D i s t r i b u t e d ) Denial-of-Service
DMZ D e m i l i t a r i s e d Zone
DN D i s t i n g u i s h e d Name
DN5 D o m a i n Name Services
DNSSEC D N S Security Extensions
DRO D i e n s t e n Niveau Overeenkomst
DOM D o c u m e n t Object Model
Enterprise Security Application Pro
End-Point Firewall
DRP D i s a s t e r Recovery Plan
(D)DoS ( d i s t r i b u t e d ) Denial-of-Service
ESAPI
E E P F W
File Transfer Protocol
Extended Validation SSL (Certificates)
341 ICT-Beveiltyngsrichtlijnen voor webapplicaues » Richtlijnen
EV SSL
F F T P
B
e
v
e
i
l
q
p
n
g
s
t
i
c
h
t
Observe-Orient-Do-Act
-
Operating System
T
OODA
Open System Interconnection
C
Network Time Protocol
OS
Open Shortest Path First
I
NTP
051
Ontwikkel, Test, Acceptatie en Produ
Organization for the Advancement o
OSPF
Outlook Web Access
0 OASIS
Global Information Assurance Certification
oTAP
Open Web Application Security Projec
FTP over SSL
Group I d e n e e r
OWASP
OWA
FTPS
GID
Global Server Lood Balancing
Group Policy Object
G G I A C
GELB
GPO
Hypertext Markup Language
PFW
POCA
Public-Key Infrastructure
PHP: Hypertext Preprocessor
Perimeter Firewall
Platform-as-a-service
Plan-Do-Check-Act
P PA A S
HTML
Hypertext Transfer Protocol
PHP
Host-based Intrusion Detection System
HTTP
Hypertext Transfer Protocol Secure
PKI
H H I D S
HTTPS
hardware security module
IANA
IDAM
IAAS
Intelligent DDoS Mitigation System
Internet Assigned Numbers Authority
Identity and Access Management
lnfrastructure-as-a-service
ROP R e m o t e
RBW R a a m w e r k Beveiliging Webapplicatie
Procedura) Language/Stnictured Que
HEM
IDMS
Intrusion Detection System
Internet Information Services/Server
REST R e p r e s e n t a t i o n a l State Transfer
Post Office Protocol
‚DS
Instant Messaging
PL/SQL
US
Internet Protocol
RFC R e q u e s t For Comments
Platform voor Informatiebeveiliging
IM
File Inclusion
POP
IP
Intrusion Prevention System
RFC R e q u e s t
Prolw
PVIB
IPS
Internet Server Application Program Interface
RP R e v e r s e
RF I
Desktop Protocol
R
R
i
e
c
a
h
l
Sire Summary (RSS t i m en RSS L
ly Simple Syndication (RSS 2.0)
for Change
RSS
Software-as-a-service
RTBH R e m o t e l y - T r i g g e r e d Black Hole
RSS R D F S i t e Summary (RSS 0.9 en i n )
RES
R e m o t e
REIAC R o l e - b a s e d Access Control
R e g i s t r a t i o n Authority
ISAPI
Internet Security Systems
Internet Service Provider
R R A
ISP
lavaScript Object Notation
Information Systems Security Association
ISS
ISSA
.1SON
5 B A A S
Security Assertion Markup Language
Local Area Network
SysAdmin, Audit, Network, Security
L L A N
SAML
Secure Copy
LightweIght Directoty Access Protocol
SSH File Transfer Protocol
LOAP
5CP
Security Incident Response Team
SANS
SFTP
Structuur, Inhoud, Vorm, Analysevolg
Local Server Load Balancing
5IRT
LSLB
Mandatory Access Control
M M A C
Serial Number
Simple Network Management Protoc
Service Level Agreement
Simple Object Access Protocol
SIVA
SN
SNMP
Media Access Control
SOAP
Single Point-of-Failure
Structured Quei)' Language
MAC
SPoF
Secure Software Development
Simple Mail Transfer Protocol
Network Address Translation
SQL
Secure Shell
SLA
Nationaal Cyber Security Centrum
SSD
Secure Sockets Layer
SMTP
Network Basic Input Output System
SSH
Mail Transfer Agent
NCSC
NetBIOS over TCP/IP
SEL
Maximum Transmission Unit
NetBIOS
Network-based Inttusion Detection System
MTA
NetBT
Nederlandse Overheid Referentie Architectuur
MTU
NIOS
rd N A T
NORA
Spanning Tree Protocol
Single Sign-On/Single Sign-Out
361 ICT-Bevellemgsrichtlrenvoor webapplIcatles v Richtlijnen
SIP
SSO
TFTP
Time-To-Live
Transport Layer Security
Trivial File Transfer Protocol
Transport Control Protocol
TLS
T T c P
TTL
Uniform Resource Locator
User Idennfier
User Datagram Protocol
URL
UID
Unicast Reverse-Path-Foiwarding
VLAN
Virtual Private Network
Voice over IP
Virtual LAN
Vulnerability Assessment
VolP
V A
uRPF
U U D P
V
VPN
Web Application Firewall
BIJLAGEB
» REFERENTIES
Omschrijving
NCSC 'Raamwerk Beveiliging Webapplicaties', versie 2
hups://www.ncsc nIAliensiverlening/expertise-advie
OWASP Top io Application Secunty Risks—2053
hrtps://www.owasp 0 rg/index.p hp/Top_i o_zoi3
hrtp5://www.owasp.org/index.php/OWASP_Tesung_
OWASP Testing Guide 03, de dato a november 2008
OWASP Code Review Guide
W W A F
hrtps://www.owasp.org/index.php/OWASP_Code_F
Stip.//code.google.com/p/owasp-asvsAMI/ASVS
OWASP Application Security Verification Standard (AS
Web Application Scanner
Wet computercriminaliteit
WAS
Web-based Distnbuted Authoring and Versioning
NEN-ISO/IEC 27001:2053 'Managementsystemen voor
Wet bescherming persoonsgegevens
Wcc
WebDAV
Wet Elektronische Handtekeningen
http://www.nen ni/NENI-ShOp/NOrrin/NENISOIEC-27
web Application Security Consortium
WEH
Web Service Description Idnguage
WASC
W501.
Windows Server Update Services
Web Services Trust
Wbp
WSUS
WS-Trust
Zie CSRF
hnp://www nen.nl/NEN-Shop/Norm/NENISOIEC-z (
NEN-ISO/IEC 27005:2011 'Information security risk ma
NEN-ISO/IEC 27002:0013 'Praktijkrichtlijn met beheer
hnp://www.nen.ril/NEN-Shop/Norm/NENISOIEC-2.7
Cross-Site Scri pring
eXtensible Markup Language
)(SPE
X X M L
XSS
Basisnormen Beveiliging en Beheer ICT-infrastructuu
Deze norm is uitgegeven door het Platform voor Info
NORA Dossier Informatiebeveiliging, versie 1.3
hnp://e-overheid.nliontlerwerpen/architectuur-enNCSC whitepaper 'Cloudcomputing', versie t o , de da
hutpsl/www.ncsc.nliden,tverlening/expertise-advte
NCSC whitepaper 'Aanbevelingen ter bescherming teg
haps://www.ncsc nl/clienstvellemg/expertise-advie
NCSC whitepaper "Patchmanagemenr, versie 1.1, de
hvvps.f/www.ncsc nlichenstveilening/expertise-advi
CWE/SANS Top zs Software Errors
hup://cwe.mItre.org/topas/
381 ICT-Beveiligingsrichtlynen voor webapplicaties a Richtlijnen
I
C
T
Overige r e f e r e n t i e s / b r o n n e n / l i t e r a t u u r w a a r gebruik van is g e m a a k t zijn:
„ Wikipedia —'Gebruiker' , 'Gebruikersnaam en 'Gebruikersgroep'
-
B
B
e
v
» Logius: Gebruiksvoorwaarden DigiD - haps://www.digid.nl/voonvaarden/
» Ehow: Dynamit Separation o f Duties - hap://www.ehow.com/info_867i842_dynamic-separation-duties.html
I
e
J
»
o SANS: Role Based Access Control to Achieve Defense in Depth - http://www.sans.edu/researchisecurity-laboratory/articlehzi
Takenfunctiesrollen_en_competenties.pdf
o NG1: Taken, Functies. Rollen en Competenties in de Informatica, Den Haag zout- haps•//www.ngi.nl/TakenEnFuncties/
download/?id=639o7148+download=1
» Platform Informatiebeveiliging Studie gole Based Access Control, Versie t.o, November zoos hap://www.pvib.n1/
i
l
» Feisty Duck Limited 'OpenSSL Cookbook% Version La, de dato October 2013 - haps://tinvefeistyduck.com/libraly/openssl-cookbook/
SSL_TLS_Deployment_Best_Practices_t.s.pdf
» Qualys SSL Labs --'SSL/TLS Deployment Best Practices', version 1.3, de dato 17 September 20t3 - haps://www.ssIlabs.com/downloads/
g
i
n
g
s
r
C
i
E
c
V
E
h
R
S
I
t
E
8.06
i
E
I
C.11
G
T
80-4
80-3
A
A
Deze b e v e i l i g i n g s r i c h t l i j n e n zijn t o t stand g e k o m e n in een p u b l i e k - p r i v a t e s a m e n w e r k i n g
U/PW.07
C.08
L
L
Richtlij
E
Richtlijn acria
8.03
B.01
R
Beveiligingslaag a r m
80-1
m e d e d o o r w a a r d e v o l l e i n b r e n g van de v o l g e n d e d e s k u n d i g e n :
80-5
» Qualys SSL Test - haps://www.ssIlabs.com/ssItest/
Algemeen
80-2
Eric Nieuwland (lnspearit)
U(NW.06
80-6
C.03
C.04
C.02
C.09
80-9
CIO
80-7
80-10
8.02
Koen Sandbrink (NCSC)
B0-11
C.11
130-8
80-12
8.05
B1-1
U/NW.03
U/NW.03
U/NW.0
U/NW.07
U/PW.05
B1-3
81-6
U/PW.01
U/NW 0
82-1
U/PW.04
U/NW.03
82-2
U/PW.06
81-4
82-3
B1-5
LI/NW OS
81-2
U/TV.01
130-14
80-13
Wieluam Tewatie (UWV)
Mschiel Oosterwijk (NCSC)
lohn van Huijgevoort (NCSC)
Netwerk
Platform
82-4
22 I n de versie 2012 zijn richtlijnen E30-5 en 00-51v deel 1 per ab
de volgorde zoals in deel 1.
Beveiligingslaag a n i z
87-4
67-3
87-2
87-I
B6-1
85-7
85-5
85-4
85-2
85-3
135•1
64-2
84-I
83-16
83-15
83-I4
83-13
63-12
83-11
83-10
83-9
83-8
63-7
63-6
83-5
83-4
63-3
83-2
83-1
Richtlijn z o u
C.06
C.06
C.06
C.07
C.06
U/NW.04
C.06
8.06
13.04
U/WA.05
U/WA.05
U/WA.05
U/WA.05
6.04
U/WA,08
U/TV.01
U/PW.03
C.OS
COS
U/PW.02
1J/PW.03
11/WA.06
U/PW.02
U/PW.02
U/PW.02
U/WA.03
U/WA.03
U/WA.07
U/WA.04
U/WA.03
U/PW.02
U/WA.03
R i c h t l i j n 2015
07
06
05
04
01
03
02
07
04
01
06
04
03
05
01
02
11
03
02
01
03
02
01
06
05
04
02
01
01
01
03
02
04
09
03
08
OS 09
02
03
10 1 1
04
03 0 4
04 O S
Maatregelen
401 ICT-Beveiligingsrichtlijnenvoor webapplicaues » Richtlijnen
Applicatie
87-S
C.06
08
02
Vertrouwelijkheid
OS
02
87-6
C.07
Identiteit
87-7
C.07
85-6
Integratie
87-8
09
Monitoring
87-9
Nationaal Cyber Security Centrum
Turfmarkt 1471 2511 DP Den Haag
Postbus 117 12501 CC Den Haag
T 070-751 55 55
[email protected]
September 2015