Breadcrumbs

PvE | Netwerkbeveiliging

De tekst in dit onderdeel bevat afspraken in opmaat naar het Landelijk afsprakenstelsel voor gezondheidsgegevens.

Toelichting over de opgenomen attributen is te vinden onder 1.3 | Schrijfwijze van objecten.

Generieke functie: Netwerkbeveiliging

TW-F-NB-001

Threat intelligence program

Legacy code

M001

Status

Normatief

Omschrijving

Het is AANBEVOLEN om een centraal loket in voor cybersecurityincidenten in te richten met een major impact voor alle Twiin Deelnemers.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

Twiin Organisatie

Toetsingscategorie

Geen

Niveau

Generiek


TW-F-NB-002

ICT-gereedheid voor bedrijfscontinuïteit

Legacy code

M101

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET ICT-gereedheid voor bedrijfscontinuïteit hebben geborgd.

Toelichting

De Twiin Deelnemer ZOU een exitstrategie MOETEN opstellen om over te stappen naar een andere GTK Leverancier waarbij rekening gehouden is met:

  • Een opzegtermijn die voldoende is om te migreren

  • Logging, data en configuratiegegevens worden pas verwijderd na succesvolle migratie

  • Een onafhankelijke partij controleert of alle data succesvol gemigreerd is

Daarnaast ZOU een Twiin Deelnemer een Disaster recovery plan MOETEN opstellen waarin is vastgelegd:

  • Welke partijen zijn essentieel voor de bedrijfsvoering

  • Alternatieven voor leveranciers en distributiekanalen

  • Communicatiekanalen naar Twiin Deelnemers

  • Stappenplan voor herstel.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.5.30

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-003

Contractuele afspraken

Legacy code

M102

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET het volgende contractueel vastleggen met haar leveranciers:

  • Afspraken over handelen bij cyberaanval

  • Clausules bij overname

  • Duidelijke afspraken over de dienstverlening

  • SLA afspraken (uptime, RPO/RTO)

  • Afspraken over datasoevereiniteit

  • Afspraken over een exit strategie (zie ook M103)

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-005

Multi-factor authentication

Legacy code

M104

Status

Normatief

Omschrijving

Alle systemen MOETEN met Multi Factor Authentication (MFA) beveiligd zijn.

Toelichting

Deze eis gaat specifiek over persoonsgebonden accounts die nodig zijn voor veilig netwerk. Bijvoorbeeld beheeraccounts op switches, firewalls en andere componenten.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.5

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-006

Proactieve maatregelen

Legacy code

M105

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET een proactief beveiligingsbeleid voeren waarin de volgende eisen zijn opgenomen:

  • Systemen worden jaarlijks gepentest met opvolging van de aanbevelingen.

  • Gebruikers en beheerders krijgen periodieke awareness training.

Toelichting

De pentest MOET worden uitgevoerd volgens de MIAUW-methodiek of daarmee vergelijkbare industriestandaard, zoals de NIS2-richtlijnen, ISO27001, ENISA guidelines of OWASP-methodes

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

https://github.com/brennodewinter/Informatiebeveiligingsonderzoek
https://open.overheid.nl/documenten/cfc25920-0a72-4f57-83b6-5070e63dbc72/file

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-007

Data Loss Prevention

Legacy code

M106

Status

Normatief

Omschrijving

Het is AANBEVOLEN om een Data Loss Prevention (DLP) tool uit te rollen.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.12

Toetsingscategorie

Geen

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-008

Awareness

Legacy code

M107

Status

Normatief

Omschrijving

Het is AANBEVOLEN om jaarlijks een awareness campagne te organiseren.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Toetsingscategorie

Geen

Niveau

Generiek



TW-F-NB-009

Beperk web-based content

Legacy code

M108

Status

Normatief

Omschrijving

Toegang tot web-based content en systeemuitwisseling via webapplicaties MOET beschermd worden met de volgende maatregelen:Gebruik een Web Application Firewall (WAF) om inkomend en uitgaand webverkeer te inspecteren en aanvallen op webapplicaties te detecteren en blokkerenFilter en monitor HTTP(S)-verkeer op verdachte patronen, reputatie en ongeautoriseerde contentBlokkeer onveilige website bij de gateway (proxy).

Toelichting

Systemen beschermen om te voorkomen dat zedoor malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen tevoorkomen.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.23

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-010

Scannen van kwetsbaarheden

Legacy code

M109 / M231

Status

Normatief

Omschrijving

De Twiin Deelnemer en GTK Leverancier MOETEN een periodiek controleproces hebben m.b.t. reguliere scans van protocolstacks en m.b.t. encryptie, om vast te stellen dat systemen en protocolconfiguraties voldoen aan het Twiin Afsprakenstelsel.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK Twiin Deelnemer  

Referenties

NEN7510-1:2024 A.8.24, A.8.8 9.4 | Voorwaarden GTK 9.4 (1.4) Netwerk

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-011

High-availability

Legacy code

M201

Status

Normatief

Omschrijving

De GTK Leverancier MOET door toepassing van voldoende beschikbaarheidsmaatregelen voor een beschikbaarheid zorgen die past bij de behoefte van de bediende zorgaanbieders, daarbij met name redundantie van systemen en datacenters meegewogen wordt. Per toepassing is er dan een gespecificeerde eis.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.14

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-012

Veilig software ontwikkelen

Legacy code

M202

Status

Normatief

Omschrijving

De GTK Leverancier MOET een security-by-default ontwikkelmethodiek gebruiken conform internationaal erkende best practices.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.25, A.8.28, A.8.29

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-013

Account management

Legacy code

M203

Status

Normatief

Omschrijving

De GTK Leverancier MOET beleid voor accountbeheer hebben met de volgende eisen:

  • Accounts worden centraal beheerd

  • Password policies zijn toegepast

  • Multifactor authentication voor alle beheeraccounts zijn toegepast

  • Principe Least Privilege voor alle accounts is gehanteerd

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-014

TLS inspectie

Legacy code

M204

Status

Normatief

Omschrijving

TLS netwerkverkeer tussen GTK's MOET voldoen aan de volgende eisen:

  • Aansluiten van alle componenten aan SIEM

  • Inspecteer traffic ahv "Use cases"

  • Gebruik uitsluitend PKIO-certificaten

  • Gebruik CAA DNS-records

  • Maak allow-list naar GTK's, op basis van certificaten

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-042)

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-015

Beperk rechten bestanden en mappen

Legacy code

M205

Status

Normatief

Omschrijving

Het principe "least-privilege" permissie MOET toegepast worden.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-016

Beperk rechten Windows register

Legacy code

M206

Status

Normatief

Omschrijving

Het register van Windows systemen MOET beveiligd zijn tegen ongeoorloofde wijzigingen met ten minste de volgende maatregelen:

  • Forceer register permissie via Group Policies

  • Monitor gevoelige registry keys (met een SIEM oplossing of via de eventlog).

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-017

Accounts met verhoogde rechten

Legacy code

M207

Status

Normatief

Omschrijving

Accounts met verhoogde rechten MOETEN beveiligd zijn met ten minste tweefactorauthenticatie.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.2, A.8.5

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-018

Wachtwoordbeleid

Legacy code

M208

Status

Normatief

Omschrijving

Een GTK ZOU password policies MOETEN hebben voor complexiteit, uniciteit en geldigheidsduur.

Toelichting

Het wachtwoordbeleid ZOU de volgende eisen MOETEN bevatten:

  • Minimale passwordlengte voor accounts: 12+ characters

  • Passwordcomplexiteit vereist

  • Password mag niet eerder gebruikt zijn

  • Account wordt vergrendeld na 5 verkeerde inlogpogingen

  • Account kan alleen handmatig weer worden vrijgegeven

  • Maximale geldigheidsduur van een password is 1 jaar

  • Check op gelekte wachtwoorden.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-019

Operating System configuratie

Legacy code

M209

Status

Normatief

Omschrijving

Alle systemen MOETEN gehardened zijn volgens een industriestandaard zoals CIS, STIG, Microsoft Security Baseline en afwijkingen MOETEN vastgelegd zijn.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.8, A.8.19

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-020

Remote data opslag

Legacy code

M210

Status

Normatief

Omschrijving

Logdata MOET centraal en buiten het netwerkcomponent/server opgeslagen worden op zodanige wijze op dat deze niet door (de beheerders van) de componenten waaruit deze afkomstig is, gewijzigd kan worden.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-021

Netwerk segmentatie

Legacy code

M211

Status

Normatief

Omschrijving

Netwerk segmentatie MOET toegepast zijn waarbij de volgende eisen zijn meegenomen:

  • Internet-facing netwerkcomponenten staan in een DMZ

  • Netwerkzones zijn logisch gescheiden door firewalls

  • ACLs hebben "deny by default" policies

  • Isoleer zoveel mogelijk datastromen

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.22PvE | Netwerkbeveiliging 10.4.7

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-022

Netwerk intrusie detectie

Legacy code

M212

Status

Normatief

Omschrijving

Intrusion detectie signatures MOETEN gebruikt worden om ongewenst verkeer te detecteren.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.20, A.8.21

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-023

Beperk toegang tot netwerk resources

Legacy code

M213

Status

Normatief

Omschrijving

Alle open poorten die niet voor het Veilig Netwerk noodzakelijk zijn MOETEN gefilterd worden.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.20, A.8.21PvE | Netwerkbeveiliging 10.4.7

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-024

Accountbeleid

Legacy code

M214

Status

Normatief

Omschrijving

Er MOET beleid voor accountgebruik zijn dat helpt ongeautoriseerde toegang te beperken door regels te configureren en af te dwingen die bepalen hoe en wanneer accounts gebruikt mogen worden. Deze beleidsregels omvatten onder andere het afdwingen van accountvergrendeling, het beperken van inlogtijden en het instellen van time-outs bij inactiviteit.

Toelichting

Een correcte configuratie van deze regels vermindert het risico op brute-force aanvallen, diefstal van inloggegevens en ongeautoriseerde toegang, doordat de mogelijkheden voor kwaadwillenden om accounts te misbruiken worden beperkt. Deze mitigatie ZOU MOETEN worden geïmplementeerd via o.a. de volgende maatregelen:

Accountvergrendelingsbeleid waarmee na een bepaald aantal mislukte inlogpogingen (bijv. 3–5 pogingen) het account voor een bepaalde periode wordt vergrendeld (bijv. 15 minuten) of pas na ontgrendeling door een beheerder weer toegankelijk is.

Time-out bij inactiviteit en sessiebeëindiging: Sessies verlopen na een bepaalde tijd (b.v. 15 minuten)

Beleid voor wachtwoordverloop: Dwing regels af waarbij gebruikers hun wachtwoord na een bepaalde periode moeten wijzigen (bijv. elke 90 dagen) en voorkom hergebruik van oude wachtwoorden via wachtwoordgeschiedenis.

Accountverval en deactivering: Configureer gebruikersaccounts, vooral voor tijdelijke medewerkers of contractanten, zodat ze automatisch verlopen na een bepaalde datum of gebeurtenis (uitdiensttreding). Accounts die gedurende een bepaalde periode niet worden gebruikt, moeten automatisch worden gedeactiveerd.

  • Sessies verlopen na een bepaalde tijd (b.v. 15 minuten)

  • Accounts worden meteen disabled na uitdiensttreding

  • Accounts worden na 30 dagen inactiviteit geblokkeerd.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-025

Filter netwerk verkeer

Legacy code

M215

Status

Normatief

Omschrijving

Het netwerkverkeer tussen de GTK's MOET gefilterd worden met de volgende eisen:

  • Sta alleen inkomend/uitgaand verkeer van/naar bekende GTK's toe

  • Zorg dat alle gepubliceerde DNS-records met relevantie voor Veilig Netwerk DNSSEC-ondertekend en valideerbaar zijn

  • DNS clients checken valideren DNSSEC.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-050 en TW-F-NB-051)

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-026

Beperk uitvoerbare bestanden

Legacy code

M216

Status

Normatief

Omschrijving

Het uitvoeren van ongeautoriseerde of malicious code MOET worden tegengegaan door:

  • Alleen toegestane applicaties en scripts toe te staan voor uitvoering;

  • Pogingen om deze beperking te omzeilen te monitoren.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-027

Beperk verdacht gedrag van software

Legacy code

M217

Status

Normatief

Omschrijving

Attack Surface Reduction (ASR) rules MOETEN op Windows servers geactiveerd zijn.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-028

Versleutel vertrouwelijke informatie

Legacy code

M218

Status

Normatief

Omschrijving

Gevoelige informatie MOET versleuteld worden via kanaalversleuteling conform de eisen in 10.1.12

Toelichting

De volgende best practices ZOUDEN geïmplementeerd MOETEN worden:

  • Genereer private Keys uitsluitend in HSMs

  • Wissel sleutels uit op een veilige manier

  • Pas Bring Your Own Key toe bij leveranciers

  • Gebruik quantum-safe encryptie

  • Ondersteun crypto-agility.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.2410.2.7 | Generieke functie - Netwerkbeveiliging 10.2.7 10.4.7 | Network level security 10.4.7Maak je organisatie quantumveilig

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-029

Onnodige software

Legacy code

M219

Status

Normatief

Omschrijving

Er MOET beleid zijn waar mee men software of functies identificeert die niet langer nodig zijn of die misbruikt kunnen worden, en ervoor zorgt dat ze worden verwijderd of correct worden uitgeschakeld.

Toelichting

Door mogelijk kwetsbare software, functies of diensten uit te schakelen of te verwijderen wordt het aanvalsoppervlak te verkleind en misbruik door aanvallers te voorkomen.

Deze mitigerende maatregel MAG worden geïmplementeerd via de volgende stappen:

  • Verwijder verouderde (legacy) software. Schakel oudere versies van software uit of verwijder ze wanneer ze geen updates of beveiligingspatches meer ontvangen.

  • Schakel ongebruikte functies uit. Zet onnodige besturingssysteemfuncties uit, zoals SMBv1, Telnet of RDP, als deze niet vereist zijn.

  • Beheer applicaties die door gebruikers worden geïnstalleerd. Voorkom dat gebruikers niet-geautoriseerde software installeren via groepsbeleid of andere beheertools.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-030

Credential bescherming

Legacy code

M220

Status

Normatief

Omschrijving

Credentials MOETEN beschermd zijn door op Windows systemen Credential Guard te activeren en cached credentials uit te zetten.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-031

Digitale ondertekening software

Legacy code

M221

Status

Normatief

Omschrijving

Geïnstalleerde software MOET digitaal ondertekend zijn.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-032

Veilig opstarten systemen

Legacy code

M222

Status

Normatief

Omschrijving

Systemen ZOUDEN zodanig MOETEN worden geconfigureerd en beheerd dat de integriteit van het opstartproces wordt gewaarborgd. Vanuit een dergelijk beleid ZOU de volledige opstartketen - inclusief firmware, bootloader, besturingssysteem en kritieke systeemcomponenten - MOETEN worden beschermd tegen ongeautoriseerde wijzigingen. Deze eis is van toepassing bij zowel fysieke systemen als gevirtualiseerde omgevingen (zoals virtual machines, hypervisors en cloud-infrastructuren) indien de partijen hier zelf controle over hebben.

Toelichting

Het doel is het voorkomen van manipulatie tijdens het opstartproces door aanvallers die persistentie proberen te verkrijgen via firmware-, bootloader- of OS-aanpassingen. Deze mitigatie kan worden geïmplementeerd via o.a. de volgende maatregelen:

  • Secure Boot afdwingen;

  • Gebruik van Trusted Platform Modules (TPM);

  • Toepassen van Bootloader Paswoorden;

  • Runtime integriteitscontrole van kritieke bestanden en processen.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK GTK Beheerder  

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-033

Auditlogging

Legacy code

M223

Status

Normatief

Omschrijving

Logging MOET NEN7513 compliant zijn.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.159.1 | Voorwaarden Twiin Deelnemer 9.1 (2.4)

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-034

Applicatie isolatie en sandboxing

Legacy code

M224

Status

Normatief

Omschrijving

High-risk applicaties MOETEN in een omgeving draaien, die gescheiden is van andere omgevingen (door virtualisatie, containers of dedicated server).

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-035

Antivirus en antimalware

Legacy code

M225

Status

Normatief

Omschrijving

Alle componenten MOETEN een moderne EDR/XDR tool met gecentraliseerd beheer hebben draaien waarbij de logging/alerts uit deze tooling actief worden bekeken en opgevolgd.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.7

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-036

Exploit bescherming

Legacy code

M226

Status

Normatief

Omschrijving

Er MOETEN maatregelen geïmplementeerd zijn om software exploits te detecteren, blokkeren en mitigeren zoals Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) op Windows systemen.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-037

Update software

Legacy code

M227

Status

Normatief

Omschrijving

Systemen MOETEN tijdig worden bijgewerkt om bescherming te bieden tegen bekende kwetsbaarheden door het toepassen van patches en updates die door leveranciers worden uitgebracht.

Toelichting

Regelmatige updates verminderen het aanvalsoppervlak en voorkomen dat aanvallers misbruik maken van bekende beveiligingslekken. Dit geldt voor besturingssystemen, applicaties, stuurprogramma’s (drivers) en firmware.

Het patchbeleid ZOU ten minste de volgende eisen MOETEN bevatten:

  • Security Updates worden maandelijks geïnstalleerd

  • Kritieke security updates (CVSS 1≥ 8) worden binnen 72 uur geïnstalleerd.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.19

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-038

User Account Control

Legacy code

M228

Status

Normatief

Omschrijving

De rechten van User accounts MOETEN beperkt zijn zodanig dat het Operating Systeem niet gewijzigd kan worden:

  • Activeer user account control (UAC) op Windows

  • Onder Linux wordt het werken onder root geminimaliseerd door het account root niet in te zetten voor reguliere werkzaamheden.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.3

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-039

Data-backup

Legacy code

M229

Status

Normatief

Omschrijving

Het backup-beleid ZOU de volgende eisen MOETEN bevattten:

  • Alle data (inclusief logging) en configuratie worden gebackupt

  • Backups worden dagelijks gecontroleerd of deze geslaagd zijn

  • Backups worden tenminste 2x per jaar getest

  • Backups worden Offsite bewaard

  • Backups worden versleuteld (AES-256) opgeslagen

  • Encryptie wordt toegepast voor transport

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.1310.4.4 | TTA - Logging 10.4.4

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-040

Software configuratie

Legacy code

M230

Status

Normatief

Omschrijving

Het beleid rondom software MOET de volgende eisen bevatten:

  • Software wordt via een configuration management tool geïnstalleerd en geconfigureerd

  • Software wordt regelmatig gecheckt op kwetsbaarheden

  • Van alle geïnstalleerde software is een Software Bill of Material (SBOM) beschikbaar.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

NEN7510-1:2024 A.8.9

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-042

Authenticeren met PKI

Legacy code

5.010 / BgZ-2a-NS-02

Status

Normatief

Omschrijving

Om zich te kunnen authenticeren, MOETEN alle systemen betrokken bij transacties in het kader van Twiin een geldig PKIo-certificaat overleggen. Gebruikte PKIo-certificaten dienen te zijn uitgegeven onder de CA “Staat der Nederlanden Private Services CA – G1”. Deze omvatten:

  • UZI-servercertificaat of

  • PKIoverheid Private Services CA – G1 certificate

Toelichting

Het betreft de systemen in de rol van token-server en -client, notification-server en -client en resource-server en -client.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

PvE | Netwerkbeveiliging Zie 10.4.7 | Network level security

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-043

mTLS

Legacy code

5.020

Status

Normatief

Omschrijving

Alle transacties in het kader van Twiin MOETEN zijn beveiligd met Mutual Transport Layer Security (mTLS).

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

https://datatracker.ietf.org/doc/html/rfc8705

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-044

Volgen TLS-richtlijnen NCSC

Legacy code

5.030 / BgZ-2a-NS-03

Status

Normatief

Omschrijving

GTK Verzender en GTK Ontvanger maken gebruik van TLS versies en -algoritmen die zijn geclassificeerd als beveiligingsniveau "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), 2025-5 van het NCSC.

Zij MOETEN gebruik maken van de volgende cryptografische algoritmes:

  • Certificate Verification: ECDSA, RSA en EdDSA*

  • Key exchange: ECDHE* is afgewaardeerd van goed naar voldoende. Met X25519MLKEM768, SecP256r1MLKEM768, SecP384r1MLKEM1024 zijn er alternatieven, maar deze algoritmes zijn (relatief) nieuw en maken nog geen deel uit van de TLS standaarden. ECDHE moet daarom nog gebruikt worden.

  • Bulk encryption: AES-256-GCM of ChaCha20-Poly1305

  • Hash functions: SHA-512 of SHA-384 of SHA-256

Toelichting

Het is verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee wordt er voor gezorgd dat wanneer onverhoopt een algoritme in veiligheidsniveau daalt er andere alternatieven overblijven van niveau goed.

*Deze algoritmen zijn afgewaardeerd naar beveiligingsniveau ‘voldoende’. Maar zijn geen (beschikbare) varianten die geclassificeerd zijn met beveiligingsniveau ‘goed’. Hierdoor is het noodzakelijk om ook deze algoritmen op het niveau ‘voldoende’ te gebruiken.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Actor

GTK Ontvanger GTK Verzender  

Referenties

https://www.ncsc.nl/transport-layer-security-tls/richtlijnen2025-05

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-045

Versleuteling volgens TLS

Legacy code

5.040

Status

Normatief

Omschrijving

Transacties MOETEN in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis TW-F-NB-043.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-046

Controleren geldigheid TLS-certificaat

Legacy code

5.050 / BgZ-2a-NS-04

Status

Normatief

Omschrijving

GTK Verzender en GTK Ontvanger MOETEN minimaal ieder uur door middel van CRL of OCSP de geldigheid van de certificaten van systemen waarmee transacties plaatsvinden controleren.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Actor

GTK Verzender

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-047

CPS van het UZI-register

Legacy code

5.060 / BgZ-2a-NS-05

Status

Normatief

Omschrijving

Systemen die de geldigheid van het UZI-servercertificaat van de andere Systemen dienen te controleren, ZOUDEN MOETEN voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

https://www.zorgcsp.nl/certification-practice-statement-cps Certification Practice Statement (CPS): Artikel 4.5.2 https://www.zorgcsp.nl/certificate-revocation-lists-crl-s

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-048

CPS van PKIo

Legacy code

BgZ-2a-NS-06

Status

Normatief

Omschrijving

GTK Verzender en GTK Ontvanger MOETEN de geldigheid van een PKIo-servercertficaat controleren op basis van de afspraken in het Certification Practice Statement (CPS) PKIoverheid.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Actor

GTK Verzender

Referenties

https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Hoofdstuk 2

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-049

Gebruik CRL of OSCP

Legacy code

5.070

Status

Normatief

Omschrijving

Systemen die de geldigheid van het PKIo-servercertificaat van de andere Systemen dienen te controleren, MOETEN dit volgens van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur, doen.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Paragraaf 2.2

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-050

Ondertekening volgens DNSSEC

Legacy code

5.080

Status

Normatief

Omschrijving

GTK's in hun rol als DNS Server MOETEN er voor zorgen dat de name records behorende bij de hostnames van GTK’en zijn ondertekend volgens DNSSEC.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.300

Toetsingscategorie

Via Twiin

Toetsingsvorm

Technisch

Niveau

Generiek



TW-F-NB-051

Controleren ondertekenning DNSSEC

Legacy code

5.090

Status

Normatief

Omschrijving

Elk GTK, in zijn rol als DNS resolver in het Domain Name System, MOET controleren of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname.

Toelichting

Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.301 https://datatracker.ietf.org/doc/html/rfc5452#section-3 RFC5452: Sectie 3

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-053

Beveiliging van beheeraccounts

Legacy code

M207

Status

Normatief

Omschrijving

Beheeraccounts ZOUDEN met de volgende maatregelen beveiligd MOETEN worden: - Auditlogging - Just-In-Time access - 4-ogen principe bij changes - Zorg ervoor dat beheerders van een GTK geen onopgemerkte ongeoorloofde toegang tot zorgdata kunnen verschaffen of hebben en monitor hierop.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

GTK

Referenties

10.4.4 | TTA - Logging 10.4.4

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek