bijzondere informatie - Pagina niet gevonden
bijzondere informatie - Pagina niet gevonden
bijzondere informatie - Pagina niet gevonden
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
evaluatie door AIVD/NBV heeft ondergaan en of deze adequaat is voor het specifieke<br />
beveiligingsprobleem.<br />
Indien er nog geen evaluatie heeft plaats<strong>gevonden</strong> of de evaluatie is van een te laag niveau, zal de<br />
cryptofaciliteit namens het ministerie een evaluatie bij het NBV aanvragen. Ook kan de<br />
cryptofaciliteit, op basis van zijn marktkennis, een alternatief ICT-beveiligingsproduct welke reeds<br />
positief door het NBV is geëvalueerd aan de behoeftesteller voorstellen. Acceptatie van dit<br />
alternatief blijft hierbij voorbehouden aan de behoeftesteller, waarbij wordt aangetekend dat de<br />
prioriteit van de gevraagde evaluatie in overleg met de WBI neerwaarts wordt aangepast als het<br />
voorgestelde alternatief redelijk is.<br />
• Evaluatie van product door AIVD<br />
AIVD/NBV evalueert het product. De basis van de evaluatie is het evaluatie-uitgangspunten<br />
document dat in de voorgaande fase is geconcipieerd.<br />
Voordat met de evaluatie kan worden begonnen dient de opdrachtgever zorg te dragen voor het<br />
beschikbaar stellen van de benodigde <strong>informatie</strong> over het product. Ter verkrijging van deze<br />
<strong>informatie</strong> wordt zonodig een non-disclosure agreement tussen leverancier/fabrikant en<br />
AIVD/NBV afgesloten.<br />
Noot: Als het product een Common Criteria (CC) evaluatie heeft ondergaan en een CC-certificaat<br />
heeft verkregen, kan dat de doorlooptijd van de AIVD-evaluatie bekorten. Aan de hand van<br />
het CC-evaluatierapport bepaalt AIVD dan welke aspecten nog een aanvullende evaluatie<br />
dienen te ondergaan.<br />
Het resultaat van een evaluatie is ofwel positief ofwel negatief. Indien er tekortkomingen zijn<br />
geconstateerd of er is onvoldoende <strong>informatie</strong> beschikbaar om tot een oordeel te komen zal in het<br />
algemeen een negatief advies met motivatie worden gegeven en zal de gebruiker de gehele<br />
procedure opnieuw moeten starten. In <strong>bijzondere</strong> gevallen kan onder voorwaarden een interim<br />
goedkeuring (ook wel Interim Approval To Operate (IATO) genoemd) worden afgegeven. Deze is<br />
een beperkte tijd geldig. Een IATO wordt slechts afgegeven indien er voldoende zekerheid is dat de<br />
ontbrekende <strong>informatie</strong> alsnog beschikbaar komt of dat een tekortkoming op korte termijn door de<br />
leverancier wordt hersteld.<br />
Het resultaat van de AIVD evaluatie, het beveiligingsadvies, wordt vastgelegd in een concept<br />
goedkeuringsdocument. Hierin wordt vermeld voor welke rubricering en onder welke<br />
omstandigheden het geëvalueerde product kan worden ingezet. In de bijbehorende operationele<br />
doctrine wordt vastgelegd hoe het product moet worden omgegaan.<br />
Het concept goedkeuringsdocument met bijbehorende operationele doctrine wordt vervolgens<br />
voorgelegd aan de WBI. Deze werkgroep zal vervolgens nagaan of alle aspecten van het<br />
evaluatieproces zijn doorlopen en accordeert daarna het goedkeuringsdocument. Het<br />
goedkeuringsdocument wordt vervolgend vastgesteld door het hoofd van de AIVD namens de<br />
minister van BZK en opgenomen in de bundel VBV 92002.<br />
57