De eisen van de generieke functie netwerkbeveiliging die benodigd voor deze toepassing staan hier genoemd. Waar aanvullende afspraken zijn gemaakt, vind je deze bij ‘Implicatie bij toepassing’ of is er een afgeleide van de basiseis aangemaakt.
De tekst in dit onderdeel bevat afspraken in opmaat naar het Landelijk afsprakenstelsel voor gezondheidsgegevens.
|
TW-F-NB-012 |
Veilig software ontwikkelen |
|---|---|
|
Legacy code |
M202 |
|
Status |
CANDIDATE |
|
Omschrijving |
De GTK Leverancier MOET een security-by-default ontwikkelmethodiek gebruiken conform internationaal erkende best practices. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.25, A.8.28, A.8.29 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-034 |
Applicatie isolatie en sandboxing |
|---|---|
|
Legacy code |
M224 |
|
Status |
CANDIDATE |
|
Omschrijving |
High-risk applicaties MOETEN in een omgeving draaien, die gescheiden is van andere omgevingen (door virtualisatie, containers of dedicated server). |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-019 |
Operating System configuratie |
|---|---|
|
Legacy code |
M209 |
|
Status |
CANDIDATE |
|
Omschrijving |
Alle systemen MOETEN gehardened zijn volgens een industriestandaard zoals CIS, STIG, Microsoft Security Baseline en afwijkingen MOETEN vastgelegd zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.8, A.8.19 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-032 |
Veilig opstarten systemen |
|---|---|
|
Legacy code |
M222 |
|
Status |
CANDIDATE |
|
Omschrijving |
Secure Boot MOET geactiveerd zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-029 |
Onnodige software |
|---|---|
|
Legacy code |
M219 |
|
Status |
CANDIDATE |
|
Omschrijving |
Onnodige software en features MOETEN van systemen verwijderd worden en de installatie van nieuwe software en plugins MOET beperkt zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-030 |
Credential bescherming |
|---|---|
|
Legacy code |
M220 |
|
Status |
DRAFT |
|
Omschrijving |
Credentials MOETEN beschermd zijn door op Windows systemen Credential Guard te activeren en cached credentials uit te zetten. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-031 |
Digitale ondertekening software |
|---|---|
|
Legacy code |
M221 |
|
Status |
CANDIDATE |
|
Omschrijving |
Geïnstalleerde software MOET digitaal ondertekend zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-040 |
Software configuratie |
|---|---|
|
Legacy code |
M230 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het beleid rondom software MOET de volgende eisen bevatten:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.9 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-035 |
Antivirus en antimalware |
|---|---|
|
Legacy code |
M225 |
|
Status |
CANDIDATE |
|
Omschrijving |
Alle componenten MOETEN een moderne EDR/XDR tool met gecentraliseerd beheer hebben draaien waarbij de logging/alerts uit deze tooling actief worden bekeken en opgevolgd. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.7 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-036 |
Exploit bescherming |
|---|---|
|
Legacy code |
M226 |
|
Status |
CANDIDATE |
|
Omschrijving |
Er MOETEN maatregelen geïmplementeerd zijn om software exploits te detecteren, blokkeren en mitigeren zoals Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) op Windows systemen. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-037 |
Update software |
|---|---|
|
Legacy code |
M227 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het patchbeleid MOET ten minste de volgende eisen bevatten:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.19 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-026 |
Beperk uitvoerbare bestanden |
|---|---|
|
Legacy code |
M216 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het uitvoeren van ongeautoriseerde of malicious code MOET beperkt worden door:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-027 |
Beperk verdacht gedrag van software |
|---|---|
|
Legacy code |
M217 |
|
Status |
DRAFT |
|
Omschrijving |
Attack Surface Reduction (ASR) rules MOETEN op Windows servers geactiveerd zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-041 |
Scanning van kwetsbaarheden |
|---|---|
|
Legacy code |
M231 |
|
Status |
CANDIDATE |
|
Omschrijving |
De GTK Leveranciers MOETEN een beleid hebben m.b.t. reguliere scans van protocolstacks en m.b.t. encryptie. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.89.4 | Voorwaarden GTK 9.4 (1.4) |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-020 |
Remote data opslag |
|---|---|
|
Legacy code |
M210 |
|
Status |
CANDIDATE |
|
Omschrijving |
Logdata MOET centraal en buiten het netwerkcomponent/server opgeslagen worden op zodanige wijze op dat deze niet door (de beheerders van) de componenten waaruit deze afkomstig is, gewijzigd kan worden. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-039 |
Data backup |
|---|---|
|
Legacy code |
M229 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het backup beleid MOET de volgende eisen bevattten:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.1310.4.4 | TTA - Logging 10.4.4 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-033 |
Auditlogging |
|---|---|
|
Legacy code |
M223 |
|
Status |
CANDIDATE |
|
Omschrijving |
Logging MOET NEN7513 compliant zijn. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.159.1 | Voorwaarden Twiin Deelnemer 9.1 (2.4) |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-028 |
Versleutel vertrouwelijke informatie |
|---|---|
|
Legacy code |
M218 |
|
Status |
CANDIDATE |
|
Omschrijving |
Gevoelige informatie MOET versleuteld worden volgens de volgende eisen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.2410.2.7 | Generieke functie - Netwerkbeveiliging 10.2.7 10.4.7 | Network level security 10.4.7 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-013 |
Account management |
|---|---|
|
Legacy code |
M203 |
|
Status |
CANDIDATE |
|
Omschrijving |
De GTK Leverancier MOET beleid voor accountbeheer hebben met de volgende eisen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-038 |
User Account Control |
|---|---|
|
Legacy code |
M228 |
|
Status |
CANDIDATE |
|
Omschrijving |
De rechten van User accounts MOETEN beperkt zijn zodanig dat het Operating Systeem niet gewijzigd kan worden:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.3 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-017 |
Accounts met verhoogde rechten |
|---|---|
|
Legacy code |
M207 |
|
Status |
CANDIDATE |
|
Omschrijving |
Accounts met verhoogde rechten MOETEN beveiligd zijn met:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.2, A.8.510.4.4 | TTA - Logging 10.4.4 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-018 |
Wachtwoordbeleid |
|---|---|
|
Legacy code |
M208 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het wachtwoordbeleid MOET de volgende eisen bevatten:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-024 |
Accountbeleid |
|---|---|
|
Legacy code |
M214 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het gebruik van accounts MOET de volgende eisen bevatten:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-015 |
Beperk rechten bestanden en mappen |
|---|---|
|
Legacy code |
M205 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het principe "least-privilege" permissie MOET toegepast worden. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-016 |
Beperk rechten Windows register |
|---|---|
|
Legacy code |
M206 |
|
Status |
DRAFT |
|
Omschrijving |
Het register van Windows systemen MOET beveiligd zijn tegen ongeoorloofde wijzigingen met ten minste de volgende maatregelen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-011 |
High-availability |
|---|---|
|
Legacy code |
M201 |
|
Status |
CANDIDATE |
|
Omschrijving |
De GTK Leverancier MOET door toepassing van voldoende beschikbaarheidsmaatregelen voor een beschikbaarheid zorgen die past bij de behoefte van de bediende zorgaanbieders, daarbij met name redundantie van systemen en datacenters meegewogen wordt. Per toepassing is er dan een gespecificeerde eis. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.14 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-025 |
Filter netwerk verkeer |
|---|---|
|
Legacy code |
M215 |
|
Status |
DRAFT |
|
Omschrijving |
Het netwerkverkeer tussen de de GTK's MOET gefilterd worden met de volgende eisen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-050 en TW-F-NB-051) |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-023 |
Beperk toegang tot netwerk resources |
|---|---|
|
Legacy code |
M213 |
|
Status |
CANDIDATE |
|
Omschrijving |
Alle open poorten die niet voor het Veilig Netwerk noodzakelijk zijn MOETEN gefilterd worden. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.20, A.8.21PvE | Netwerkbeveiliging 10.4.7 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-021 |
Netwerk segmentatie |
|---|---|
|
Legacy code |
M211 |
|
Status |
CANDIDATE |
|
Omschrijving |
Netwerk segmentatie MOET toegepast zijn waarbij de volgende eisen zijn meegenomen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.22PvE | Netwerkbeveiliging 10.4.7 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-022 |
Netwerk intrusie detectie |
|---|---|
|
Legacy code |
M212 |
|
Status |
CANDIDATE |
|
Omschrijving |
Intrusion detectie signatures MOETEN gebruikt worden om ongewenst verkeer te detecteren. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.20, A.8.21 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-050 |
Ondertekening volgens DNSSEC |
|---|---|
|
Legacy code |
5.080 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK's in hun rol als DNS Server MOETEN er voor zorgen dat de name records behorende bij de hostnames van GTK’en zijn ondertekend volgens DNSSEC. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.300 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-051 |
Controleren ondertekenning DNSSEC |
|---|---|
|
Legacy code |
5.090 |
|
Status |
NORMATIEF |
|
Omschrijving |
Elk GTK, in zijn rol als DNS resolver in het Domain Name System, MOET controleren of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname. |
|
Toelichting |
Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.301 https://datatracker.ietf.org/doc/html/rfc5452#section-3 RFC5452: Sectie 3 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-043 |
mTLS |
|---|---|
|
Legacy code |
5.020 |
|
Status |
NORMATIEF |
|
Omschrijving |
Alle transacties in het kader van Twiin MOETEN zijn beveiligd met Mutual Transport Layer Security (mTLS). |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
|
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-045 |
Versleuteling volgens TLS |
|---|---|
|
Legacy code |
5.040 |
|
Status |
NORMATIEF |
|
Omschrijving |
Transacties MOETEN in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis TW-F-NB-043. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-044 |
Volgen TLS-richtlijnen NCSC |
|---|---|
|
Legacy code |
5.030 / BgZ-2a-NS-03 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger maken gebruik van TLS versies en -algoritmen die zijn geclassificeerd als beveiligingsniveau "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), 2025-5 van het NCSC. Zij MOETEN gebruik maken van de volgende cryptografische algoritmes:
|
|
Toelichting |
Het is verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee wordt er voor gezorgd dat wanneer onverhoopt een algoritme in veiligheidsniveau daalt er andere alternatieven overblijven van niveau goed. *Deze algoritmen zijn afgewaardeerd naar beveiligingsniveau ‘voldoende’. Maar zijn geen (beschikbare) varianten die geclassificeerd is met beveiligingsniveau ‘goed’. Hierdoor is het noodzakelijk om ook deze algoritmen op het niveau ‘voldoende’ te gebruiken. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
https://www.ncsc.nl/transport-layer-security-tls/richtlijnen2025-05 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-014 |
TLS inspectie |
|---|---|
|
Legacy code |
M204 |
|
Status |
CANDIDATE |
|
Omschrijving |
TLS netwerkverkeer tussen GTK's MOET voldoen aan de volgende eisen:
|
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-042) |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-042 |
Authenticeren met PKI |
|---|---|
|
Legacy code |
5.010 / BgZ-2a-NS-02 |
|
Status |
NORMATIEF |
|
Omschrijving |
Om zich te kunnen authenticeren, MOETEN alle systemen betrokken bij transacties in het kader van Twiin een geldig PKIo-certificaat overleggen. Gebruikte PKIo-certificaten dienen te zijn uitgegeven onder de CA “Staat der Nederlanden Private Services CA – G1”. Deze omvatten:
|
|
Toelichting |
Het betreft de systemen in de rol van token-server en -client, notification-server en -client en resource-server en -client. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
PvE | Netwerkbeveiliging Zie 10.4.7 | Network level security |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-047 |
CPS van het UZI-register |
|---|---|
|
Legacy code |
5.060 / BgZ-2a-NS-05 |
|
Status |
NORMATIEF |
|
Omschrijving |
Systemen die de geldigheid van het UZI-servercertificaat van de andere Systemen dienen te controleren, ZOUDEN MOETEN voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
https://www.zorgcsp.nl/certification-practice-statement-cps Certification Practice Statement (CPS): Artikel 4.5.2 https://www.zorgcsp.nl/certificate-revocation-lists-crl-s |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-048 |
CPS van PKIo |
|---|---|
|
Legacy code |
BgZ-2a-NS-06 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN de geldigheid van een PKIo-servercertficaat controleren op basis van de afspraken in het Certification Practice Statement (CPS) PKIoverheid. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Actor |
GTK VERZENDER |
|
Referenties |
https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Hoofdstuk 2 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-049 |
Gebruik CRL of OSCP |
|---|---|
|
Legacy code |
5.070 |
|
Status |
NORMATIEF |
|
Omschrijving |
Systemen die de geldigheid van het PKIo-servercertificaat van de andere Systemen dienen te controleren, MOETEN dit volgens van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur, doen. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Paragraaf 2.2 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-001 |
Threat intelligence program |
|---|---|
|
Legacy code |
M001 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het is AANBEVOLEN om een centraal loket in voor cybersecurityincidenten in te richten met een major impact voor alle Twiin Deelnemers. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
TWIIN ORGANISATIE |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
GEEN |
|
Niveau |
GENERIEK |
|
TW-F-NB-002 |
Disaster recovery plan |
|---|---|
|
Legacy code |
M101 |
|
Status |
CANDIDATE |
|
Omschrijving |
Elke Twiin Deelnemer MOET een Disaster recovery plan opstellen waarin is vastgelegd:
|
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.5.30 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-003 |
Contractuele afspraken |
|---|---|
|
Legacy code |
M102 |
|
Status |
CANDIDATE |
|
Omschrijving |
De Twiin Deelnemer MOET het volgende contractueel vastleggen met haar leveranciers:
|
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-004 |
Exit strategie |
|---|---|
|
Legacy code |
M103 |
|
Status |
CANDIDATE |
|
Omschrijving |
De Twiin Deelnemer MOET een Exit strategie opstellen om over te stappen naar een andere GTK Leverancier waarbij rekening gehouden is met:
|
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-005 |
Multi-factor authentication |
|---|---|
|
Legacy code |
M104 |
|
Status |
CANDIDATE |
|
Omschrijving |
Alle persoonsgebonden accounts MOETEN met Multi Factor Authentication (MFA) beveiligd zijn. |
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.5 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-006 |
Proactieve maatregelen |
|---|---|
|
Legacy code |
M105 |
|
Status |
CANDIDATE |
|
Omschrijving |
De Twiin Deelnemer MOET een proactief beveiligingsbeleid voeren waarin de volgende eisen zijn opgenomen:
|
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
https://github.com/brennodewinter/Informatiebeveiligingsonderzoek |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-007 |
Data Loss Prevention |
|---|---|
|
Legacy code |
M106 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het is AANBEVOLEN om een Data Loss Prevention (DLP) tool uit te rollen. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.12 |
|
Toetsingscategorie |
GEEN |
|
Niveau |
GENERIEK |
|
TW-F-NB-008 |
Awareness |
|---|---|
|
Legacy code |
M107 |
|
Status |
CANDIDATE |
|
Omschrijving |
Het is AANBEVOLEN om jaarlijks een awareness campagne te organiseren. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Toetsingscategorie |
GEEN |
|
Niveau |
GENERIEK |
|
TW-F-NB-009 |
Beperk web-based content |
|---|---|
|
Legacy code |
M108 |
|
Status |
CANDIDATE |
|
Omschrijving |
Toegang tot web-based content MOET beperkt worden met de volgende maatregelen:
|
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.23 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-NB-010 |
Scannen van kwetsbaarheden |
|---|---|
|
Legacy code |
M109 |
|
Status |
CANDIDATE |
|
Omschrijving |
De Twiin Deelnemer MOET een beleid hebben m.b.t. reguliere scans van protocolstacks en m.b.t. encryptie. |
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
NETWERKBEVEILIGING |
|
Referenties |
NEN7510-1:2024 A.8.24, A.8.8 9.4 | Voorwaarden GTK 9.4 (1.4) Netwerk |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-NB-046 |
Controleren geldigheid TLS-certificaat |
|---|---|
|
Legacy code |
5.050 / BgZ-2a-NS-04 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN minimaal ieder uur door middel van CRL of OCSP de geldigheid van de certificaten van systemen waarmee transacties plaatsvinden controleren. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
NETWERKBEVEILIGING |
|
Actor |
GTK VERZENDER |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |