Versions Compared

Old Version 8

changes.mady.by.user schmidt

Saved on

compared with

New Version 9

changes.mady.by.user schmidt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Waarom is deze RFC nodig?

1)Pentest scope voor MedMij afsprakenstelsel eenduidig beschrijven zodat deze eenvoudiger door auditoren te beoordelen is.
2)Pentest aanpak uniformeren met aanpak DigiD assessment en beter laten aansluiten bij de praktijk. In AS 1.4 wordt een whitebox/crystal box applicatie test voorgeschreven. Terugkoppeling uit de praktijk is dat meerdere gevallen is maar beperkte inzage in broncode mogelijk is, wat onderdeel is van een whitebox applicatietest. Daarnaast is de technische architectuur/inrichting van bijvoorbeeld Cloudleveranciers niet openbaar/beschikbaar en is het eigenlijk de logische/gevirtualiseerde architectuur die beschreven is.

Oplossingsrichting

Beschrijving welke technische interfaces onderdeel moeten zijn van de pentestscope en de wijze van testen aanpassen van whitebox applicatietesten naar grey box applicatie testen.

Aanpassing van

Normenkader A.18.2.3 (1) Beoordeling van technische naleving,met name de box Toelicht en auditmethode

Impact op rollen

DVP, DVZA en BO

Impact op beheer

Security Team: Duidelijk communiceren naar auditors van deze wijziging. Bij publicatie en bij oplevering van verbeterplannen en beoordelen van auditrapporten

Impact op RnA

Niet voorzien

Impact op Acceptatie

Niet voorzien

PIA noodzakelijk
  •   
Gerelateerd aan (Andere RFCs, PIM issues)

 RFC0057

Eigenaar

R&S Team

Implementatietermijn

AS 1.5

Motivatie verkorte RFC procedure (patch)

1) Per deelnemer type duidelijk maken welke interfaces/koppelvlakken expliciet meegenomen moeten zijn in de pentest.
DVP: Burgerfrontend, OAuth Client Redirect
DVZA: Resourceserver koppelvlak, Autorization server interface(s) eindgebruiker en voor DVP.
BO: Stelselnode en administratieve front-end

2)Aanpassing van een normelement die vereenvoudiging zou moeten bieden voor deelnemers en meer in lijn met DigiD assessment, relevant voor DVZA's en kostenbesparend omdat broncode inzage en whitebox pentest extra kosten met zich mee brengt. Door het toenemende gebruik van Cloud diensten en Cloud API's is inzage is broncode steeds minder mogelijk.

Voorstel is om de norm te wijzigen en een jaarlijkse greybox applicatietest te vereisen. Bij initiele aansluiting en bij grootschalige wijziging of herbouw, bijvoorbeeld in een gehele nieuwe programmeertaal eenmalig een whitebox applicatietest te vereisen.


...