Beheer

Veilig en betrouwbaar

1 7 januari 201 2

Mirjam Gerritsen

mirjam.gerritsen@ ictu.nl

Masterclass eHerkenning

Aanvallen..

Met eHerkenning realiseert men een betrouwbare en veilige manier

van identificatie, authenticatie en autorisatie aan de voordeur.

Is eHerkenning zelf wel veilig?

Betrouwbaar

Het merk eHerkenning is betrouwbaar

Hoe doen we dat?

4.Gebruikelijke beheermaatregelen

5. Ontwerp

6. Informatiebeveiliging

7. Beheerst veranderen

• Een verzameling documenten• Relaties • Een IT netwerk • Digitale S leutels• Communicatie• Toetreding• Wensen en wijzigingen

Wat beheren we?

… we beheren het merk eHerkenning!

Gebruikelijke beheermaatregelen

• Beschikbaarheid

• Besturing en Toezicht

• Goede processen (volgen)

- incidentmanagement

Wat is eHerkenning?

Beheermaatregelen eHerkenning

• Beschikbaarheid – 2 marktpartijen• Besturing en Toezicht

- Beheerorganisatie- Marktpartijen en (eind-)gebruikers

• Goede processen (volgen)- incidentmanagement

Ontwerp eHerkenning

Ontwerp privacy

• S TORK betrouwbaarheidsniveaus• Pseudoniemen

Ontwerp technisch

• Intern vertrouwde certificaten (niet alleen PKI) – ‘white listing’

• Hoge mate van standaardisatie van de koppelvlakken

Ontwerp eHerkenning

Meerdere marktpartijen samen dwingt tot naleven standaarden

Risicoanalyse

stelsel

Gemeenschappelijk

Normenkader

Informatiebeveiliging

eHerkenning

Normenkader voor audit

deelnemerAudit op opzet, bestaan

en werking van de

maatregelen uit de

VvT eHerkenning van

het ISMS van de deelnemer

input

STELSEL eHERKENNINGDEELNEMERS en BEHEERORGANISATIE

Uitvoeren risicoanalyse

Selecteren

beheersmaatregelen uit

ISO27001

Voor deelnemers

verplichte

beheersmaatregelen

AUDIT

ORGANISATIE

ISMS deelnemer

Informatiebeveiliging

Verklaring van

Toepasselijkheid (VvT)

eHerkenning

=

Normenkader voor audit

deelnemer

Uitvoeren risicoanalyse

Selecteren

beheersmaatregelen uit

ISO27001

ISMS deelnemer

Deelnemer

Certificaat

ISO27001

+

VvT

Audit-

rapport

+

BOTPM

TPM

rapport

Gemeenschappelijk

Normenkader IB

eHerkenning

+

+

Audit op Stelsel

eHerkenning

TPM

Stelsel

eHerkenning

Scope stelselaudit

Afsprakenstelsel

eHerkenning

Informatiebeveiliging

Informatiebeveiliging

• ( stelsel)Audit• Peer to peer (bijeenkomsten)• Pentesten

S teeds de 2 niveaus: partij zelf en het stelsel

Beheerst veranderen• RFC's / release risicoanalyse

• Bij implementatie release marktpartij:

- Geteste software in acceptatie-omgeving

- Zelfverklaring (voldoet aan nieuw Afsprakenstelsel en test uitgevoerd)

• Beheerorganisatie toetst en voert regie ketentest

Ook hier marktpartijen en stelsel

Hoe borgen we dit alles bij veranderingen?

Dus..

eHerkenning is veilig en betrouwbaar:• In ontwerp

• Door control als (stelsel-)audit en pentesten

• Door gereguleerd wijzigingenproces

Het heeft permanent onze aandacht

Zo hoort het als je een betrouwbaar merk wil zijn en blijven!

En toch..

Het is aan de orde van de dag...

Als het dan toch echt gebeurt..wat dan?

Wat hebben we geleerd van DigiNotar?

• Wanneer een marktpartij uit het netwerk wordt verwijderd blijft het resterende netwerk functioneren

• Een gebruiker kan snel (binnen een dag) overstappen naar een andere marktpartij mits het standaard dienstverlening betreft

• De eindgebruiker kan op elk gewenst moment een nieuw middel verkrijgen

Ons doel is het Afsprakenstelsel eHerkenning, met daarin o.a.

het normenkader, de besturing en toezicht en

de beheerprocessen

… steeds beter te maken

Dit doen we samen met de marktpartijen en de gebruikers!

Zo kunnen we een sterk en betrouwbaar merk zijn en blijven!

?

Vragen?