1.5.0Twiin Implementatiewijzer Zorgtoepassingen
BgZ: PvE Netwerkbeveiligingseisen
Eisencatalogus
De volledige, doorzoekbare en filterbare eisen staan in de Eisencatalogus.
De eisen van de generieke functie netwerkbeveiliging die benodigd voor deze toepassing staan hier genoemd. Waar aanvullende afspraken zijn gemaakt, vind je deze bij ‘Implicatie bij toepassing’ of is er een afgeleide van de basiseis aangemaakt. Toelichting over de opgenomen attributen is te vinden onder 1.3 | Schrijfwijze van objecten.
Generieke functie: Netwerkbeveiliging
| TW-F-NB-001 |
Threat intelligence program |
| Legacy code |
M001 |
| Status |
Normatief |
| Omschrijving |
Het is AANBEVOLEN om een centraal loket in voor cybersecurityincidenten in te richten met een major impact voor alle Twiin Deelnemers. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Organisatie |
| Toetsingscategorie |
Geen |
| Niveau |
Generiek |
| TW-F-NB-002 |
ICT-gereedheid voor bedrijfscontinuïteit |
| Legacy code |
M101 |
| Status |
Normatief |
| Omschrijving |
De Twiin Deelnemer MOET ICT-gereedheid voor bedrijfscontinuïteit hebben geborgd. |
| Toelichting |
De Twiin Deelnemer ZOU een exitstrategie MOETEN opstellen om over te stappen naar een andere GTK Leverancier waarbij rekening gehouden is met: * Een opzegtermijn die voldoende is om te migreren * Logging, data en configuratiegegevens worden pas verwijderd na succesvolle migratie * Een onafhankelijke partij controleert of alle data succesvol gemigreerd is Daarnaast ZOU een Twiin Deelnemer een Disaster recovery plan MOETEN opstellen waarin is vastgelegd: * Welke partijen zijn essentieel voor de bedrijfsvoering * Alternatieven voor leveranciers en distributiekanalen * Communicatiekanalen naar Twiin Deelnemers * Stappenplan voor herstel. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Referenties |
NEN7510-1:2024 A.5.30 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-003 |
Contractuele afspraken |
| Legacy code |
M102 |
| Status |
Normatief |
| Omschrijving |
De Twiin Deelnemer MOET het volgende contractueel vastleggen met haar leveranciers: * Afspraken over handelen bij cyberaanval * Clausules bij overname * Duidelijke afspraken over de dienstverlening * SLA afspraken (uptime, RPO/RTO) * Afspraken over datasoevereiniteit * Afspraken over een exit strategie (zie ook M103) |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-005 |
Multi-factor authentication |
| Legacy code |
M104 |
| Status |
Normatief |
| Omschrijving |
Alle systemen MOETEN met Multi Factor Authentication (MFA) beveiligd zijn. |
| Toelichting |
Deze eis gaat specifiek over persoonsgebonden accounts die nodig zijn voor veilig netwerk. Bijvoorbeeld beheeraccounts op switches, firewalls en andere componenten. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Referenties |
NEN7510-1:2024 A.8.5 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-006 |
Proactieve maatregelen |
| Legacy code |
M105 |
| Status |
Normatief |
| Omschrijving |
De Twiin Deelnemer MOET een proactief beveiligingsbeleid voeren waarin de volgende eisen zijn opgenomen: * Systemen worden jaarlijks gepentest met opvolging van de aanbevelingen. * Gebruikers en beheerders krijgen periodieke awareness training. |
| Toelichting |
De pentest MOET worden uitgevoerd volgens de MIAUW-methodiek of daarmee vergelijkbare industriestandaard, zoals de NIS2-richtlijnen, ISO27001, ENISA guidelines of OWASP-methodes |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Referenties |
https://github.com/brennodewinter/Informatiebeveiligingsonderzoek https://open.overheid.nl/documenten/cfc25920-0a72-4f57-83b6-5070e63dbc72/file |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-007 |
Data Loss Prevention |
| Legacy code |
M106 |
| Status |
Normatief |
| Omschrijving |
Het is AANBEVOLEN om een Data Loss Prevention (DLP) tool uit te rollen. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Referenties |
NEN7510-1:2024 A.8.12 |
| Toetsingscategorie |
Geen |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-008 |
Awareness |
| Legacy code |
M107 |
| Status |
Normatief |
| Omschrijving |
Het is AANBEVOLEN om jaarlijks een awareness campagne te organiseren. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Toetsingscategorie |
Geen |
| Niveau |
Generiek |
| TW-F-NB-009 |
Beperk web-based content |
| Legacy code |
M108 |
| Status |
Normatief |
| Omschrijving |
Toegang tot web-based content en systeemuitwisseling via webapplicaties MOET beschermd worden met de volgende maatregelen:Gebruik een Web Application Firewall (WAF) om inkomend en uitgaand webverkeer te inspecteren en aanvallen op webapplicaties te detecteren en blokkerenFilter en monitor HTTP(S)-verkeer op verdachte patronen, reputatie en ongeautoriseerde contentBlokkeer onveilige website bij de gateway (proxy). |
| Toelichting |
Systemen beschermen om te voorkomen dat zedoor malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen tevoorkomen. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
Twiin Deelnemer |
| Referenties |
NEN7510-1:2024 A.8.23 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-010 |
Scannen van kwetsbaarheden |
| Legacy code |
M109 / M231 |
| Status |
Normatief |
| Omschrijving |
De Twiin Deelnemer en GTK Leverancier MOETEN een periodiek controleproces hebben m.b.t. reguliere scans van protocolstacks en m.b.t. encryptie, om vast te stellen dat systemen en protocolconfiguraties voldoen aan het Twiin Afsprakenstelsel. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK Twiin Deelnemer |
| Referenties |
NEN7510-1:2024 A.8.24, A.8.8 9.4 | Voorwaarden GTK 9.4 (1.4) Netwerk |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-011 |
High-availability |
| Legacy code |
M201 |
| Status |
Normatief |
| Omschrijving |
De GTK Leverancier MOET door toepassing van voldoende beschikbaarheidsmaatregelen voor een beschikbaarheid zorgen die past bij de behoefte van de bediende zorgaanbieders, daarbij met name redundantie van systemen en datacenters meegewogen wordt. Per toepassing is er dan een gespecificeerde eis. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.14 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-012 |
Veilig software ontwikkelen |
| Legacy code |
M202 |
| Status |
Normatief |
| Omschrijving |
De GTK Leverancier MOET een security-by-default ontwikkelmethodiek gebruiken conform internationaal erkende best practices. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.25, A.8.28, A.8.29 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-013 |
Account management |
| Legacy code |
M203 |
| Status |
Normatief |
| Omschrijving |
De GTK Leverancier MOET beleid voor accountbeheer hebben met de volgende eisen: * Accounts worden centraal beheerd * Password policies zijn toegepast * Multifactor authentication voor alle beheeraccounts zijn toegepast * Principe Least Privilege voor alle accounts is gehanteerd |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-014 |
TLS inspectie |
| Legacy code |
M204 |
| Status |
Normatief |
| Omschrijving |
TLS netwerkverkeer tussen GTK's MOET voldoen aan de volgende eisen: * Aansluiten van alle componenten aan SIEM * Inspecteer traffic ahv "Use cases" * Gebruik uitsluitend PKIO-certificaten * Gebruik CAA DNS-records * Maak allow-list naar GTK's, op basis van certificaten |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-042) |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-015 |
Beperk rechten bestanden en mappen |
| Legacy code |
M205 |
| Status |
Normatief |
| Omschrijving |
Het principe "least-privilege" permissie MOET toegepast worden. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-016 |
Beperk rechten Windows register |
| Legacy code |
M206 |
| Status |
Normatief |
| Omschrijving |
Het register van Windows systemen MOET beveiligd zijn tegen ongeoorloofde wijzigingen met ten minste de volgende maatregelen: * Forceer register permissie via Group Policies * Monitor gevoelige registry keys (met een SIEM oplossing of via de eventlog). |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-017 |
Accounts met verhoogde rechten |
| Legacy code |
M207 |
| Status |
Normatief |
| Omschrijving |
Accounts met verhoogde rechten MOETEN beveiligd zijn met ten minste tweefactorauthenticatie. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.2, A.8.5 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-018 |
Wachtwoordbeleid |
| Legacy code |
M208 |
| Status |
Normatief |
| Omschrijving |
Een GTK ZOU password policies MOETEN hebben voor complexiteit, uniciteit en geldigheidsduur. |
| Toelichting |
Het wachtwoordbeleid ZOU de volgende eisen MOETEN bevatten: * Minimale passwordlengte voor accounts: 12+ characters * Passwordcomplexiteit vereist * Password mag niet eerder gebruikt zijn * Account wordt vergrendeld na 5 verkeerde inlogpogingen * Account kan alleen handmatig weer worden vrijgegeven * Maximale geldigheidsduur van een password is 1 jaar * Check op gelekte wachtwoorden. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-019 |
Operating System configuratie |
| Legacy code |
M209 |
| Status |
Normatief |
| Omschrijving |
Alle systemen MOETEN gehardened zijn volgens een industriestandaard zoals CIS, STIG, Microsoft Security Baseline en afwijkingen MOETEN vastgelegd zijn. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.8, A.8.19 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-020 |
Remote data opslag |
| Legacy code |
M210 |
| Status |
Normatief |
| Omschrijving |
Logdata MOET centraal en buiten het netwerkcomponent/server opgeslagen worden op zodanige wijze op dat deze niet door (de beheerders van) de componenten waaruit deze afkomstig is, gewijzigd kan worden. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-021 |
Netwerk segmentatie |
| Legacy code |
M211 |
| Status |
Normatief |
| Omschrijving |
Netwerk segmentatie MOET toegepast zijn waarbij de volgende eisen zijn meegenomen: * Internet-facing netwerkcomponenten staan in een DMZ * Netwerkzones zijn logisch gescheiden door firewalls * ACLs hebben "deny by default" policies * Isoleer zoveel mogelijk datastromen |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.22PvE | Netwerkbeveiliging 10.4.7 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-022 |
Netwerk intrusie detectie |
| Legacy code |
M212 |
| Status |
Normatief |
| Omschrijving |
Intrusion detectie signatures MOETEN gebruikt worden om ongewenst verkeer te detecteren. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.20, A.8.21 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-023 |
Beperk toegang tot netwerk resources |
| Legacy code |
M213 |
| Status |
Normatief |
| Omschrijving |
Alle open poorten die niet voor het Veilig Netwerk noodzakelijk zijn MOETEN gefilterd worden. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.20, A.8.21PvE | Netwerkbeveiliging 10.4.7 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-024 |
Accountbeleid |
| Legacy code |
M214 |
| Status |
Normatief |
| Omschrijving |
Er MOET beleid voor accountgebruik zijn dat helpt ongeautoriseerde toegang te beperken door regels te configureren en af te dwingen die bepalen hoe en wanneer accounts gebruikt mogen worden. Deze beleidsregels omvatten onder andere het afdwingen van accountvergrendeling, het beperken van inlogtijden en het instellen van time-outs bij inactiviteit. |
| Toelichting |
Een correcte configuratie van deze regels vermindert het risico op brute-force aanvallen, diefstal van inloggegevens en ongeautoriseerde toegang, doordat de mogelijkheden voor kwaadwillenden om accounts te misbruiken worden beperkt. Deze mitigatie ZOU MOETEN worden geïmplementeerd via o.a. de volgende maatregelen: Accountvergrendelingsbeleid waarmee na een bepaald aantal mislukte inlogpogingen (bijv. 3–5 pogingen) het account voor een bepaalde periode wordt vergrendeld (bijv. 15 minuten) of pas na ontgrendeling door een beheerder weer toegankelijk is. Time-out bij inactiviteit en sessiebeëindiging: Sessies verlopen na een bepaalde tijd (b.v. 15 minuten) Beleid voor wachtwoordverloop: Dwing regels af waarbij gebruikers hun wachtwoord na een bepaalde periode moeten wijzigen (bijv. elke 90 dagen) en voorkom hergebruik van oude wachtwoorden via wachtwoordgeschiedenis. Accountverval en deactivering: Configureer gebruikersaccounts, vooral voor tijdelijke medewerkers of contractanten, zodat ze automatisch verlopen na een bepaalde datum of gebeurtenis (uitdiensttreding). Accounts die gedurende een bepaalde periode niet worden gebruikt, moeten automatisch worden gedeactiveerd. * Sessies verlopen na een bepaalde tijd (b.v. 15 minuten) * Accounts worden meteen disabled na uitdiensttreding * Accounts worden na 30 dagen inactiviteit geblokkeerd. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-025 |
Filter netwerk verkeer |
| Legacy code |
M215 |
| Status |
Normatief |
| Omschrijving |
Het netwerkverkeer tussen de GTK's MOET gefilterd worden met de volgende eisen: * Sta alleen inkomend/uitgaand verkeer van/naar bekende GTK's toe * Zorg dat alle gepubliceerde DNS-records met relevantie voor Veilig Netwerk DNSSEC-ondertekend en valideerbaar zijn * DNS clients checken valideren DNSSEC. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
PvE | Netwerkbeveiliging 10.4.7 (TW-F-NB-050 en TW-F-NB-051) |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-026 |
Beperk uitvoerbare bestanden |
| Legacy code |
M216 |
| Status |
Normatief |
| Omschrijving |
Het uitvoeren van ongeautoriseerde of malicious code MOET worden tegengegaan door: * Alleen toegestane applicaties en scripts toe te staan voor uitvoering; * Pogingen om deze beperking te omzeilen te monitoren. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-027 |
Beperk verdacht gedrag van software |
| Legacy code |
M217 |
| Status |
Normatief |
| Omschrijving |
Attack Surface Reduction (ASR) rules MOETEN op Windows servers geactiveerd zijn. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-028 |
Versleutel vertrouwelijke informatie |
| Legacy code |
M218 |
| Status |
Normatief |
| Omschrijving |
Gevoelige informatie MOET versleuteld worden via kanaalversleuteling conform de eisen in 10.1.12 |
| Toelichting |
De volgende best practices ZOUDEN geïmplementeerd MOETEN worden: * Genereer private Keys uitsluitend in HSMs * Wissel sleutels uit op een veilige manier * Pas Bring Your Own Key toe bij leveranciers * Gebruik quantum-safe encryptie * Ondersteun crypto-agility. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.2410.2.7 | Generieke functie - Netwerkbeveiliging 10.2.7 10.4.7 | Network level security 10.4.7Maak je organisatie quantumveilig |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-029 |
Onnodige software |
| Legacy code |
M219 |
| Status |
Normatief |
| Omschrijving |
Er MOET beleid zijn waar mee men software of functies identificeert die niet langer nodig zijn of die misbruikt kunnen worden, en ervoor zorgt dat ze worden verwijderd of correct worden uitgeschakeld. |
| Toelichting |
Door mogelijk kwetsbare software, functies of diensten uit te schakelen of te verwijderen wordt het aanvalsoppervlak te verkleind en misbruik door aanvallers te voorkomen. Deze mitigerende maatregel MAG worden geïmplementeerd via de volgende stappen: * Verwijder verouderde (legacy) software. Schakel oudere versies van software uit of verwijder ze wanneer ze geen updates of beveiligingspatches meer ontvangen. * Schakel ongebruikte functies uit. Zet onnodige besturingssysteemfuncties uit, zoals SMBv1, Telnet of RDP, als deze niet vereist zijn. * Beheer applicaties die door gebruikers worden geïnstalleerd. Voorkom dat gebruikers niet-geautoriseerde software installeren via groepsbeleid of andere beheertools. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-030 |
Credential bescherming |
| Legacy code |
M220 |
| Status |
Normatief |
| Omschrijving |
Credentials MOETEN beschermd zijn door op Windows systemen Credential Guard te activeren en cached credentials uit te zetten. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-031 |
Digitale ondertekening software |
| Legacy code |
M221 |
| Status |
Normatief |
| Omschrijving |
Geïnstalleerde software MOET digitaal ondertekend zijn. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-032 |
Veilig opstarten systemen |
| Legacy code |
M222 |
| Status |
Normatief |
| Omschrijving |
Systemen ZOUDEN zodanig MOETEN worden geconfigureerd en beheerd dat de integriteit van het opstartproces wordt gewaarborgd. Vanuit een dergelijk beleid ZOU de volledige opstartketen - inclusief firmware, bootloader, besturingssysteem en kritieke systeemcomponenten - MOETEN worden beschermd tegen ongeautoriseerde wijzigingen. Deze eis is van toepassing bij zowel fysieke systemen als gevirtualiseerde omgevingen (zoals virtual machines, hypervisors en cloud-infrastructuren) indien de partijen hier zelf controle over hebben. |
| Toelichting |
Het doel is het voorkomen van manipulatie tijdens het opstartproces door aanvallers die persistentie proberen te verkrijgen via firmware-, bootloader- of OS-aanpassingen. Deze mitigatie kan worden geïmplementeerd via o.a. de volgende maatregelen: * Secure Boot afdwingen; * Gebruik van Trusted Platform Modules (TPM); * Toepassen van Bootloader Paswoorden; * Runtime integriteitscontrole van kritieke bestanden en processen. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK GTK Beheerder |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-033 |
Auditlogging |
| Legacy code |
M223 |
| Status |
Normatief |
| Omschrijving |
Logging MOET NEN7513 compliant zijn. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.159.1 | Voorwaarden Twiin Deelnemer 9.1 (2.4) |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-034 |
Applicatie isolatie en sandboxing |
| Legacy code |
M224 |
| Status |
Normatief |
| Omschrijving |
High-risk applicaties MOETEN in een omgeving draaien, die gescheiden is van andere omgevingen (door virtualisatie, containers of dedicated server). |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-035 |
Antivirus en antimalware |
| Legacy code |
M225 |
| Status |
Normatief |
| Omschrijving |
Alle componenten MOETEN een moderne EDR/XDR tool met gecentraliseerd beheer hebben draaien waarbij de logging/alerts uit deze tooling actief worden bekeken en opgevolgd. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.7 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-036 |
Exploit bescherming |
| Legacy code |
M226 |
| Status |
Normatief |
| Omschrijving |
Er MOETEN maatregelen geïmplementeerd zijn om software exploits te detecteren, blokkeren en mitigeren zoals Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) op Windows systemen. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-037 |
Update software |
| Legacy code |
M227 |
| Status |
Normatief |
| Omschrijving |
Systemen MOETEN tijdig worden bijgewerkt om bescherming te bieden tegen bekende kwetsbaarheden door het toepassen van patches en updates die door leveranciers worden uitgebracht. |
| Toelichting |
Regelmatige updates verminderen het aanvalsoppervlak en voorkomen dat aanvallers misbruik maken van bekende beveiligingslekken. Dit geldt voor besturingssystemen, applicaties, stuurprogramma’s (drivers) en firmware. Het patchbeleid ZOU ten minste de volgende eisen MOETEN bevatten: * Security Updates worden maandelijks geïnstalleerd * Kritieke security updates (CVSS 1≥ 8) worden binnen 72 uur geïnstalleerd. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.19 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-038 |
User Account Control |
| Legacy code |
M228 |
| Status |
Normatief |
| Omschrijving |
De rechten van User accounts MOETEN beperkt zijn zodanig dat het Operating Systeem niet gewijzigd kan worden: * Activeer user account control (UAC) op Windows * Onder Linux wordt het werken onder root geminimaliseerd door het account root niet in te zetten voor reguliere werkzaamheden. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.3 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-039 |
Data-backup |
| Legacy code |
M229 |
| Status |
Normatief |
| Omschrijving |
Het backup-beleid ZOU de volgende eisen MOETEN bevattten: * Alle data (inclusief logging) en configuratie worden gebackupt * Backups worden dagelijks gecontroleerd of deze geslaagd zijn * Backups worden tenminste 2x per jaar getest * Backups worden Offsite bewaard * Backups worden versleuteld (AES-256) opgeslagen * Encryptie wordt toegepast voor transport |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.1310.4.4 | TTA - Logging 10.4.4 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-040 |
Software configuratie |
| Legacy code |
M230 |
| Status |
Normatief |
| Omschrijving |
Het beleid rondom software MOET de volgende eisen bevatten: * Software wordt via een configuration management tool geïnstalleerd en geconfigureerd * Software wordt regelmatig gecheckt op kwetsbaarheden * Van alle geïnstalleerde software is een Software Bill of Material (SBOM) beschikbaar. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
NEN7510-1:2024 A.8.9 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Externe verklaring |
| Niveau |
Generiek |
| TW-F-NB-042 |
Authenticeren met PKI |
| Legacy code |
5.010 / BgZ-2a-NS-02 |
| Status |
Normatief |
| Omschrijving |
Om zich te kunnen authenticeren, MOETEN alle systemen betrokken bij transacties in het kader van Twiin een geldig PKIo-certificaat overleggen. Gebruikte PKIo-certificaten dienen te zijn uitgegeven onder de CA “Staat der Nederlanden Private Services CA – G1”. Deze omvatten: * UZI-servercertificaat of * PKIoverheid Private Services CA – G1 certificate |
| Toelichting |
Het betreft de systemen in de rol van token-server en -client, notification-server en -client en resource-server en -client. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
PvE | Netwerkbeveiliging Zie 10.4.7 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-043 |
mTLS |
| Legacy code |
5.020 |
| Status |
Normatief |
| Omschrijving |
Alle transacties in het kader van Twiin MOETEN zijn beveiligd met Mutual Transport Layer Security (mTLS). |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
https://datatracker.ietf.org/doc/html/rfc8705 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-044 |
Volgen TLS-richtlijnen NCSC |
| Legacy code |
5.030 / BgZ-2a-NS-03 |
| Status |
Normatief |
| Omschrijving |
GTK Verzender en GTK Ontvanger maken gebruik van TLS versies en -algoritmen die zijn geclassificeerd als beveiligingsniveau "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), 2025-5 van het NCSC. Zij MOETEN gebruik maken van de volgende cryptografische algoritmes: * Certificate Verification: ECDSA, RSA en EdDSA* * Key exchange: ECDHE* is afgewaardeerd van goed naar voldoende. Met X25519MLKEM768, SecP256r1MLKEM768, SecP384r1MLKEM1024 zijn er alternatieven, maar deze algoritmes zijn (relatief) nieuw en maken nog geen deel uit van de TLS standaarden. ECDHE moet daarom nog gebruikt worden. * Bulk encryption: AES-256-GCM of ChaCha20-Poly1305 * Hash functions: SHA-512 of SHA-384 of SHA-256 |
| Toelichting |
Het is verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee wordt er voor gezorgd dat wanneer onverhoopt een algoritme in veiligheidsniveau daalt er andere alternatieven overblijven van niveau goed. *Deze algoritmen zijn afgewaardeerd naar beveiligingsniveau ‘voldoende’. Maar zijn geen (beschikbare) varianten die geclassificeerd zijn met beveiligingsniveau ‘goed’. Hierdoor is het noodzakelijk om ook deze algoritmen op het niveau ‘voldoende’ te gebruiken. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Actor |
GTK Ontvanger GTK Verzender |
| Referenties |
https://www.ncsc.nl/transport-layer-security-tls/richtlijnen2025-05 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-045 |
Versleuteling volgens TLS |
| Legacy code |
5.040 |
| Status |
Normatief |
| Omschrijving |
Transacties MOETEN in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis TW-F-NB-043. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-046 |
Controleren geldigheid TLS-certificaat |
| Legacy code |
5.050 / BgZ-2a-NS-04 |
| Status |
Normatief |
| Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN minimaal ieder uur door middel van CRL of OCSP de geldigheid van de certificaten van systemen waarmee transacties plaatsvinden controleren. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Actor |
GTK Verzender |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-047 |
CPS van het UZI-register |
| Legacy code |
5.060 / BgZ-2a-NS-05 |
| Status |
Normatief |
| Omschrijving |
Systemen die de geldigheid van het UZI-servercertificaat van de andere Systemen dienen te controleren, ZOUDEN MOETEN voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
https://www.zorgcsp.nl/certification-practice-statement-cps Certification Practice Statement (CPS): Artikel 4.5.2 https://www.zorgcsp.nl/certificate-revocation-lists-crl-s |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-048 |
CPS van PKIo |
| Legacy code |
BgZ-2a-NS-06 |
| Status |
Normatief |
| Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN de geldigheid van een PKIo-servercertficaat controleren op basis van de afspraken in het Certification Practice Statement (CPS) PKIoverheid. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Actor |
GTK Verzender |
| Referenties |
https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Hoofdstuk 2 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-049 |
Gebruik CRL of OSCP |
| Legacy code |
5.070 |
| Status |
Normatief |
| Omschrijving |
Systemen die de geldigheid van het PKIo-servercertificaat van de andere Systemen dienen te controleren, MOETEN dit volgens van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur, doen. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html Certification Practice Statement Policy Authority PKIoverheid Unified v5.4: Paragraaf 2.2 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-050 |
Ondertekening volgens DNSSEC |
| Legacy code |
5.080 |
| Status |
Normatief |
| Omschrijving |
GTK's in hun rol als DNS Server MOETEN er voor zorgen dat de name records behorende bij de hostnames van GTK’en zijn ondertekend volgens DNSSEC. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.300 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Technisch |
| Niveau |
Generiek |
| TW-F-NB-051 |
Controleren ondertekenning DNSSEC |
| Legacy code |
5.090 |
| Status |
Normatief |
| Omschrijving |
Elk GTK, in zijn rol als DNS resolver in het Domain Name System, MOET controleren of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname. |
| Toelichting |
Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing. |
| Vereiste |
MOET |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/verantwoordelijkheden-core MedMij Core: core.dns.301 https://datatracker.ietf.org/doc/html/rfc5452#section-3 RFC5452: Sectie 3 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |
| TW-F-NB-053 |
Beveiliging van beheeraccounts |
| Legacy code |
M207 |
| Status |
Normatief |
| Omschrijving |
Beheeraccounts ZOUDEN met de volgende maatregelen beveiligd MOETEN worden: - Auditlogging - Just-In-Time access - 4-ogen principe bij changes - Zorg ervoor dat beheerders van een GTK geen onopgemerkte ongeoorloofde toegang tot zorgdata kunnen verschaffen of hebben en monitor hierop. |
| Vereiste |
ZOU MOETEN |
| Functie |
Netwerkbeveiliging |
| Rol |
GTK |
| Referenties |
10.4.4 | TTA - Logging 10.4.4 |
| Toetsingscategorie |
Via Twiin |
| Toetsingsvorm |
Zelfverklaring |
| Niveau |
Generiek |