bijzondere informatie - Pagina niet gevonden
bijzondere informatie - Pagina niet gevonden
bijzondere informatie - Pagina niet gevonden
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
• Van marktinventarisatie tot aanbieding voor evaluatie<br />
Doel hiervan is om in korte tijd goed werkzame oplossingen te vinden die aan de eisen (kunnen)<br />
voldoen.<br />
Bij een globale behoeftestelling waarbij géén specifiek ICT-beveiligingsproduct ter evaluatie wordt<br />
aangeboden, zal de AIVD/Cryptofaciliteit afhankelijk van de prioriteit in samenspraak met de<br />
behoeftesteller en AIVD/NBV inventariseren of er al geschikte beveiligingsoplossingen op de<br />
markt zijn die voldoen aan de gestelde behoefte. Hier zijn drie mogelijkheden:<br />
1 Er worden producten <strong>gevonden</strong> die voldoen en die nationaal zijn goedgekeurd. De<br />
behoeftesteller kan direct de betreffende producten aanschaffen.<br />
2 Er worden producten <strong>gevonden</strong> die voldoen, maar die nog <strong>niet</strong> nationaal zijn goedgekeurd.<br />
Indien er nog geen evaluatie heeft plaats<strong>gevonden</strong> of de evaluatie van een te laag niveau is,<br />
zal de oplossing formeel worden aangemeld voor nationale evaluatie door het NBV.<br />
In geval de WBI zo heeft besloten kan de AIVD/cryptofaciliteit de opdrachtgever zijn, of<br />
anders het betreffende ministerie.<br />
De opdrachtgever stelt in samenwerking met de BVA van het ministerie en de AIVD<br />
criteria op die als uitgangspunt zullen dienen voor de evaluatie. De criteria zijn gebaseerd<br />
op het Vir-bi en de NBV-criteria.<br />
Daarna kan het product worden aangeboden voor evaluatie.<br />
3 Mocht tijdens de marktverkenning blijken dat er geen geschikte beveiligingsproducten<br />
verkrijgbaar zijn, dan zullen deze specifiek moeten worden ontwikkeld. Mogelijk is dit een<br />
deelontwikkeling. In geval de WBI zo heeft besloten kan de AIVD/cryptofaciliteit de<br />
opdrachtgever zijn, of anders het betreffende ministerie.<br />
Indien daartoe wordt besloten stelt de opdrachtgever een Programma van Eisen (PvE) op<br />
met bijdragen van de behoeftesteller, de betreffende BVA, en de AIVD. In het Programma<br />
van Eisen zullen evaluatiecriteria worden vastgelegd. De criteria zijn gebaseerd op het Virbi<br />
en de NBV-criteria.<br />
Na akkoord van de betrokken partijen over het PvE wordt de productontwikkeling en bij<br />
voorkeur ook de evaluatie gestart. Door het direct starten van de evaluatie kan de evaluatie<br />
parallel aan de ontwikkeling kan plaats vinden. Het is van belang om de AIVD/NBV in een<br />
zo vroeg mogelijk stadium te betrekken bij het opstellen van de PvE en de<br />
productontwikkeling, zodat goed kan worden gepland wanneer evaluatiecapaciteit moet<br />
worden geleverd en resultaten opgeleverd.<br />
Toelichting:<br />
De evaluaties kunnen in fasen worden uitgevoerd, afhankelijk van datgene wat de leverancier op<br />
dat moment moet afleveren. Dit kan dus een theoretische evaluatie zijn op een model of<br />
conceptbeschrijving vroeg in het proces, maar ook de evaluatie van de implementatie in het<br />
uiteindelijke product. Voor elke (deel)evaluatie heeft het NBV tijd nodig. Daarom is het van belang<br />
dat er een goede projectplanning wordt opgesteld waarin harde afspraken worden gemaakt over de<br />
evaluatiemomenten: opleverdata van <strong>informatie</strong> en apparatuur door de fabrikant aan het NBV en<br />
de datum dat resultaten van het NBV beschikbaar moeten zijn voor de opdrachtgever in verband<br />
met bijvoorbeeld een betaalmoment. Om deze data te bepalen is het belangrijk met het NBV te<br />
overleggen over de benodigde expertise.<br />
Ook bij behoeftestellingen waarbij goedkeuring gevraagd wordt voor een specifiek ICTbeveiligingsproduct,<br />
zal de AIVD/Cryptofaciliteit nagaan of het betreffende product al een<br />
56