bijzondere informatie - Pagina niet gevonden

More documents

Recommendations

Info

Goedkeuring van ICT-beveiligingsproducten Deze richtlijn is een handleiding voor de implementatie van de exclusiviteitseis die in onderdeel VII van de Matrix Exclusiviteitseisen van het Vir-bi wordt genoemd. Voor het veilig verwerken, verzenden en opslaan van informatie kan gebruik worden gemaakt van ICT-beveiligingsproducten. Voor bijzondere informatie is adequate beveiliging verplicht volgens het Vir-bi en de daarbij behorende richtlijnen. Bij de aanschaf en het gebruik van ICT-beveiligingsproducten bij bijzondere informatie is vereist dat de Staat inzicht heeft in het beveiligingsniveau van een apparaat of systeem en dient de kwaliteit gegarandeerd te zijn. Om dit inzicht en de kwaliteitsgarantie te verkrijgen vereist het Virbi dat ICT-beveiligingsproducten met gunstig resultaat zijn geëvalueerd op basis van de door de Werkgroep Bijzondere Informatiebeveiliging (WBI) bepaalde evaluatiecriteria (de NBV-criteria). Op grond van dit evaluatieresultaat verleent het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) namens de minister van Binnenlandse Zaken en Koninkrijksrelaties, door tussenkomst van de WBI, goedkeuring voor het gebruik van het betreffende ICTbeveiligingsproduct voor de beveiliging van bijzondere informatie. De WBI laat zich hierbij adviseren door het Nationaal Bureau voor Verbindingbeveiliging (NBV). Hieronder wordt aangegeven welke stappen moeten worden doorlopen om tot goedkeuring te komen. • Ministerie stelt behoefte bekend aan AIVD Doel hiervan is om te toetsen of er reeds ICT-beveiligingsproducten zijn of in ontwikkeling zijn die voldoen aan de behoefte, en tevens om een goed beeld te verkrijgen van de totale behoefte van de overheid op dit vlak. De behoeftestelling van het ministerie wordt in samenspraak met zijn BVA gemeld aan de AIVD/Cryptofaciliteit. Behoeftestellingen kunnen variëren van globale beveiligingsproblemen waarbij nog niet vaststaat wat voor soort ICT-beveiligingsproduct er nodig is tot behoeftestellingen waarbij het ministerie al van tevoren aan kan geven voor welk ICT-beveiligingsproduct zij goedkeuring vraagt. In alle gevallen moet bij de behoeftestelling worden aangegeven welke informatie ermee moet worden beveiligd (rubricering, nationaal/NATO/EU, eventuele bijzondere merkingen, enzovoort), wat het voorziene gebruik is (bijv. stand-alone, netwerk, koppelingen, aantal gebruikers, enzovoort), het tijdpad en dergelijke. De AIVD/Cryptofaciliteit1 adviseert het ministerie ten aanzien van de behoeftestelling en kan in voorkomend geval in het kader van de behoeftestelling als opdrachtgever fungeren voor de productontwikkeling van ICT-apparatuur voor de bijzondere informatiebeveiliging. De Cryptofaciliteit fungeert dan als opdrachtgever voor de ontwikkeling, keuring en acceptatie van ontwikkelde apparatuur en maakt tevens afspraken over leveringsvoorwaarden. De behoeftesteller kan daarna overgaan tot de aanschaf van de apparatuur, waarmee zijn behoefte is afgedekt. 55 1 De AIVD/Cryptofaciliteit wordt gesponsord door de stemhebbende leden van de WBI; dat zijn op dit moment de ministeries van Buitenlandse Zaken, Binnenlandse Zaken en Koninkrijksrelaties, Defensie en Justitie. Deze ministeries besluiten in de WBI of de AIVD/Cryptofaciliteit al dan niet en met welke prioriteit adviseert of fungeert als opdrachtgever. De Cryptofaciliteit beschikt over een programmabudget en formatie van waaruit de ontwikkeling van ICT-apparatuur voor bijzondere informatiebeveiliging kan worden betaald en geleid. Dit betekent dat indien een ontwikkelingsproject is opgenomen in het programmabudget van de cryptofaciliteit, deze integraal verantwoordelijk is voor de ontwikkeling en optreedt als opdrachtgever.
• Van marktinventarisatie tot aanbieding voor evaluatie Doel hiervan is om in korte tijd goed werkzame oplossingen te vinden die aan de eisen (kunnen) voldoen. Bij een globale behoeftestelling waarbij géén specifiek ICT-beveiligingsproduct ter evaluatie wordt aangeboden, zal de AIVD/Cryptofaciliteit afhankelijk van de prioriteit in samenspraak met de behoeftesteller en AIVD/NBV inventariseren of er al geschikte beveiligingsoplossingen op de markt zijn die voldoen aan de gestelde behoefte. Hier zijn drie mogelijkheden: 1 Er worden producten gevonden die voldoen en die nationaal zijn goedgekeurd. De behoeftesteller kan direct de betreffende producten aanschaffen. 2 Er worden producten gevonden die voldoen, maar die nog niet nationaal zijn goedgekeurd. Indien er nog geen evaluatie heeft plaatsgevonden of de evaluatie van een te laag niveau is, zal de oplossing formeel worden aangemeld voor nationale evaluatie door het NBV. In geval de WBI zo heeft besloten kan de AIVD/cryptofaciliteit de opdrachtgever zijn, of anders het betreffende ministerie. De opdrachtgever stelt in samenwerking met de BVA van het ministerie en de AIVD criteria op die als uitgangspunt zullen dienen voor de evaluatie. De criteria zijn gebaseerd op het Vir-bi en de NBV-criteria. Daarna kan het product worden aangeboden voor evaluatie. 3 Mocht tijdens de marktverkenning blijken dat er geen geschikte beveiligingsproducten verkrijgbaar zijn, dan zullen deze specifiek moeten worden ontwikkeld. Mogelijk is dit een deelontwikkeling. In geval de WBI zo heeft besloten kan de AIVD/cryptofaciliteit de opdrachtgever zijn, of anders het betreffende ministerie. Indien daartoe wordt besloten stelt de opdrachtgever een Programma van Eisen (PvE) op met bijdragen van de behoeftesteller, de betreffende BVA, en de AIVD. In het Programma van Eisen zullen evaluatiecriteria worden vastgelegd. De criteria zijn gebaseerd op het Virbi en de NBV-criteria. Na akkoord van de betrokken partijen over het PvE wordt de productontwikkeling en bij voorkeur ook de evaluatie gestart. Door het direct starten van de evaluatie kan de evaluatie parallel aan de ontwikkeling kan plaats vinden. Het is van belang om de AIVD/NBV in een zo vroeg mogelijk stadium te betrekken bij het opstellen van de PvE en de productontwikkeling, zodat goed kan worden gepland wanneer evaluatiecapaciteit moet worden geleverd en resultaten opgeleverd. Toelichting: De evaluaties kunnen in fasen worden uitgevoerd, afhankelijk van datgene wat de leverancier op dat moment moet afleveren. Dit kan dus een theoretische evaluatie zijn op een model of conceptbeschrijving vroeg in het proces, maar ook de evaluatie van de implementatie in het uiteindelijke product. Voor elke (deel)evaluatie heeft het NBV tijd nodig. Daarom is het van belang dat er een goede projectplanning wordt opgesteld waarin harde afspraken worden gemaakt over de evaluatiemomenten: opleverdata van informatie en apparatuur door de fabrikant aan het NBV en de datum dat resultaten van het NBV beschikbaar moeten zijn voor de opdrachtgever in verband met bijvoorbeeld een betaalmoment. Om deze data te bepalen is het belangrijk met het NBV te overleggen over de benodigde expertise. Ook bij behoeftestellingen waarbij goedkeuring gevraagd wordt voor een specifiek ICTbeveiligingsproduct, zal de AIVD/Cryptofaciliteit nagaan of het betreffende product al een 56
Page 2:
Voorschrift informatiebeveiliging r
Page 6 and 7: Inleiding 1 Het Voorschrift informa
Page 8: eschikbaarheid van bijzondere infor
Page 11 and 12: Er moeten pas hogere eisen aan de w
Page 13 and 14: B. Rubriceringen Artikel 5 Rubricer
Page 15 and 16: Om te voorkomen dat ook in deze gev
Page 17 and 18: Artikel 11 Rubricering van bijzonde
Page 19 and 20: daartoe door het BIB-beraad of zijn
Page 21 and 22: Inlichtingen- en Veiligheidsdienst.
Page 23 and 24: derde lid onder c Wiv); voor de ove
Page 25 and 26: F. Slotbepaling Artikel 19 Slotbepa
Page 27 and 28: 26 Bijlage 2 Schema voorbeelden van
Page 29 and 30: c. Kwetsbaarheidsanalyse Op basis v
Page 31 and 32: Dreigingen/kwetsbaarheden Algemeen
Page 33 and 34: 5 Netwerkbeveiligingsbeheer Stg.ZG
Page 35 and 36: e Het maken, afleveren, bewaren en
Page 37 and 38: V Toegangsbeveiliging (informatiesy
Page 39 and 40: IX Naleving (hoofdstuk 12) 1 Contro
Page 41 and 42: De interventietijd mag nooit meer d
Page 43 and 44: In het geval van verwerking van gro
Page 46: Bijlage I 45 Uitvoeringsrichtlijnen
Page 49 and 50: Inleiding Het Voorschrift informati
Page 51 and 52: Documenten Indien praktisch uitvoer
Page 53 and 54: diplomatieke zending vindt plaats d
Page 55: 1.f Ruimten na werktijd controleren
Page 60 and 61: Blad 1 Schematische weergave goedke
Page 62 and 63: Bijlage II Wet bescherming staatsge
Page 64 and 65: Gegeven ten Paleize Soestdijk, 5 ap
show all

bijzondere informatie - Pagina niet gevonden

Create successful ePaper yourself

Delete template?

Save as template?