Wat is het verschil tussen een NCSC-rapportage en OWASP Top 10-rapportage?

  1. Home
  2. Veelgestelde vragen
  3. Wat is het verschil tussen een NCSC-rapportage en OWASP Top 10-rapportage?

Het belangrijkste verschil tussen de twee rapportagevormen is dat een NCSC-rapportage uitgebreider is dan een OWASP Top 10-rapportage. Hierin wordt naast de gevonden kwetsbaarheden ook beschreven welke onderdelen in orde zijn bevonden. Een NCSC-rapportage is doorgaans geschikt voor certificeringstrajecten en audits om een TPM-verklaring te verkrijgen en is meestal de standaardrapportage bij uitgebreidere pentesten.

Wat is een NCSC-rapportage?

Een NCSC-rapportage is opgesteld uit het document "ICT-Beveiligingsrichtlijnen voor Webapplicaties" (versie 2015) van het Nationaal Cyber Security Centrum. De richtlijnen van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. Zie https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html voor meer informatie.

De NCSC-richtlijnen zijn opgesteld door de overheid waardoor dit doorgaans als een goede check wordt gezien. Ook voor certificeringstrajecten of audits (zoals DigiD, ISO-certificering, Meldplicht datalekken, AVG en Wet bescherming persoonsgegevens) dient een NCSC-rapportage als goede peiler voor de kwaliteit van de beveiliging.

Deze rapportage heeft tevens een managementsamenvatting en uitgebreid overzicht van alle bevindingen (zowel kwetsbaarheden als veilig bevonden onderdelen).

Wat is een OWASP Top 10-rapportage?

Een OWASP Top 10-rapportage is opgesteld uit de OWASP Top 10 Application Security Risks (versie 2017) van het Open Web Application Security Project (OWASP). Zie https://www.owasp.org/index.php/Category:OWASP_Top_Ten_2017_Project voor meer informatie.

Het Open Web Application Security Project (OWASP) stelt periodiek een lijst op met de tien grootste beveiligingsrisico's voor webapplicaties. De eerste top 10 verscheen in 2003 en is bedoeld om bewustzijn over het belang van webapplicatiebeveiliging te verhogen. Aangezien het veld zich blijft ontwikkelen, wordt deze lijst regelmatig (bijna jaarlijks) bijgewerkt.

Deze rapportage is korter en meer technisch zodat ontwikkelaars hiermee mee uit de voeten kunnen.