Einde inhoudsopgave
Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013)
Bijlage 1 Uitgangspunten en minimum niveau beveiliging
Geldend
Geldend vanaf 01-06-2013
- Bronpublicatie:
01-06-2013, Stcrt. 2013, 15497 (uitgifte: 12-06-2013, regelingnummer: 3124134)
- Inwerkingtreding
01-06-2013
- Bronpublicatie inwerkingtreding:
01-06-2013, Stcrt. 2013, 15497 (uitgifte: 12-06-2013, regelingnummer: 3124134)
- Vakgebied(en)
Openbare orde en veiligheid / Preventie
Openbare orde en veiligheid / Riskmanagement
Deze bijlage beschrijft de uitgangspunten en het minimum beveiligingsniveau voor de beveiliging van bijzondere informatie. Bij de inrichting van een adequaat stelsel van beveiligingsmaatregelen voor de beveiliging van bijzondere informatie moet binnen het in de artikelen beschreven principe van risicomanagement worden uitgegaan van de volgende inrichtingsprincipes:
- •
Beveiliging in lagen: De beveiliging zal bestaan uit meerdere lagen, zodat er geen afhankelijkheid is van één beveiligingsmaatregel.
- •
Minste privilege: Alleen de autorisaties die iemand nodig heeft om zijn taak te kunnen vervullen, zullen worden toegekend;
- •
Zelf beschermende systemen: Ieder systeem beschouwt andere systemen als onvertrouwd totdat het tegendeel is bewezen en treft maatregelen om veilig informatie uit te kunnen wisselen met wel vertrouwde systemen indien deze communicatie via onvertrouwde systemen verloopt.
- •
Verificatie implementatie beveiliging: De maatregelen voor beveiliging van bijzondere informatie worden onder de verantwoordelijkheid van de BVA of de accreditatieautoriteit periodiek gecontroleerd.
Deze inrichtingprincipes moeten stringenter worden toegepast naarmate het niveau van de rubricering toeneemt.
Voor de volgende onderwerpen, die grotendeels afkomstig zijn uit de Code voor Informatiebeveiliging, zijn specifiek op bijzondere informatie toegesneden doelstellingen en eisen geformuleerd waaraan dient te worden voldaan. Waar aan de orde zijn daarbij ook maatregelen benoemd die ten minste deel uit moeten maken van de totale set van maatregelen om de vertrouwelijkheid van bijzondere informatie te waarborgen.
Hiermee is voor alle betrokkenen inzichtelijk gemaakt wat minimaal wordt verlangd op het gebied van beveiliging voor de verschillende rubriceringen op grond van dit voorschrift. Tevens is op efficiënte wijze de toepassing van een uniforme set van minimale maatregelen gedefinieerd waardoor waarborgen zijn gecreëerd voor een consistente beveiliging van bijzondere informatie.
1. Management van bedrijfsmiddelen
Doelstelling
Het handhaven van een adequaat, ordelijk en controleerbaar beheer van bedrijfsmiddelen waarop bijzondere informatie wordt verwekt.
Eis
Bedrijfsmiddelen waarop bijzondere informatie wordt verwerkt, dienen te zijn geregistreerd en aan een ‘eigenaar’ te zijn toegewezen. Daarbij is onderkend welke van deze bedrijfsmiddelen specifieke beveiligingsmaatregelen behoeven.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Registreer alle middelen en de personen aan wie deze zijn uitgereikt. | V | V | ||
B | Maatregel Registreer de locatie/standplaats van alle middelen en de toewijzing aan een eigenaar. | V | V | ||
2. Personen
Doelstelling
Organisaties moeten zekerstellen dat personen hun verantwoordelijkheden kennen en geschikt zijn voor de rol die zij vervullen evenals het beperken van de risico's van menselijk handelen.
Eis
Elk persoon die frequent gaat werken met bijzondere informatie, dient voorafgaand aan indiensttreding een aan zijn functievervulling gerelateerd betrouwbaarheidsonderzoek te ondergaan. Voor het bepalen of een functie als vertrouwensfunctie moet worden aangewezen, dient de betreffende leidraad aanwijzen vertrouwensfuncties van de AIVD (civiele sector) en MIVD (militaire sector) te worden gevolgd.
Bij beëindiging of wijziging van het dienstverband waarin gewerkt is met bijzondere informatie, wordt zeker gesteld dat de geheimhoudingsplicht geborgd is.
Van elk persoon die frequent werkt met bijzondere informatie moet geborgd zijn dat deze over een aan zijn functievervulling gerelateerd, actueel betrouwbaarheidsonderzoek beschikt.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Personen die hebben te maken met bijzondere informatie, dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. | V | V | V | V |
B | Maatregel Personen die frequent hebben te maken met bijzondere informatie dienen tevens te beschikken over een passende verklaring. | VOG1. | VGB2. | VGB2. | VGB2. |
C | Maatregel Bij beëindiging van een functie waarbij iemand in aanraking komt met bijzondere informatie wordt zeker gesteld dat de betreffende persoon geen toegang meer heeft tot die informatie, noch deze in zijn / haar bezit heeft. | V | V | V | V |
3. Fysieke en omgevingsbeveiliging
Doelstelling
Het waarborgen van toereikende weerstand tegen (pogingen tot) ongeautoriseerde fysieke toegang van locaties, gebouwen en ruimtes (waaronder kluizen) waar zich bijzondere informatie bevindt.
Eis
Voor elke locatie, gebouw en ruimte waar zich bijzondere informatie bevindt, dient systematisch de beveiligingsmaatregelen in beeld te zijn gebracht voor fysieke toegangsbeheersing. Hierbij is ten minste voorzien in:
- •
Het aanbrengen van zonering c.q. compartimentering.
- •
Het detecteren van ongeautoriseerde toegangen of pogingen daartoe.
- •
Het regelen van een ordelijk toegangsbeleid en sleutelbeheer.
- •
Het uitoefenen door bewakingspersoneel van toezicht buiten reguliere werktijden.
- •
Het toewijzen van ruimten waar met bijzondere informatie mag worden gewerkt.
Ten aanzien van zonering kunnen de diverse beveiligingszones worden onderkend, waarbij om toegang te krijgen tot ruimtes waarin bijzondere informatie wordt verwerkt, steeds zwaardere beveiligingsmaatregelen worden getroffen.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Bijzondere informatie wordt zodanig behandeld en opgeslagen dat er een positief beveiligingsrendement1. is, op basis van schadeacceptatie en het dreigingsprofiel. | V | V | V | V |
B | Maatregel Tempestmaatregelen conform Beleidsadvies Compromitterende straling (VBV 32000). | V | V | V | |
C | Maatregel Tegengaan van afluisteren, zicht op en reflectie van informatie (bv via beeldschermen of spiegelende oppervlakten). | V | V | V | |
D | Maatregel De medewerker verantwoordelijk voor de verwerking van bijzondere informatie, dient zorg te dragen dat bezoekers geen kennis kunnen nemen van de bijzondere informatie die hij onder zijn beheer heeft. | V | V | V | V |
E | Maatregel Bezoekers worden begeleid wanneer zij ruimten waarin bijzondere informatie aanwezig is, betreden. | V | V | V | |
F | Maatregel Bezoekers worden geregistreerd indien zij toegang (kunnen) hebben tot bijzondere informatie in ruimten die zij betreden, als de toegang tot die informatie niet op andere wijze kan worden voorkomen (bv kast/kluis/etc.). | V | V |
4. Logische toegangsbeveiliging
Doelstelling
Het waarborgen van een beheerste en gecontroleerde toegang tot ICT-voorzieningen waarin zich bijzondere informatie bevindt.
Eisen
Voorzie in procedures en regels voor toegangsrechten tot en monitoring van netwerkdiensten, besturingssystemen en applicaties waar zich gerubriceerde informatie bevindt.
Voorzie in een stelsel van logische toegangsbeveiligingsmaatregelen dat is gerelateerd aan de relevante dreiging en het rubriceringniveau.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Toegang tot een account wordt na een aantal direct achtereenvolgende foutieve inlogpogingen geblokkeerd. | 5 | 3 | 3 | 3 |
B | Maatregel Toegang tot systemen kan op groepsniveau worden bepaald. | V | V | V | niet toegestaan |
C | Maatregel Toegang tot bijzondere informatie wordt op individueel niveau bepaald. | V | V | ||
5. Levenscyclus ICT-voorzieningen
Doelstelling
Het waarborgen van een passend niveau van beveiliging gedurende de gehele levenscyclus van ICT-voorzieningen waarin bijzondere informatie wordt verwerkt.
Eis
Voorafgaand aan verwerving, ontwikkeling, onderhoud en afstoot van informatiesystemen waarin bijzondere informatie wordt verwerkt, dienen de dreigingen en risico's in beeld te zijn gebracht.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Gedurende de gehele levenscyclus van een systeem worden periodieke audits, inspecties, reviews en tests uitgevoerd om te controleren of de beveiligingsmaatregelen effectief zijn. Deze controles worden uitgevoerd door deskundige specialisten die beschikken over de juiste onderzoeksmiddelen en beproefde onderzoeksmethoden. | Self assessment | Self assessment | Onafhankelijke deskundige | Onafhankelijke deskundige |
B | Maatregel De verantwoordelijkheden en procedures voor het adequaat beheer en juist gebruik van de ICT-voorzieningen waarin bijzondere informatie wordt verwerkt, zijn vastgesteld. | V | V | V | V |
C | Maatregel Voor het beheer van ICT-voorzieningen is het beveiligingsniveau in overeenstemming met de risico's. | V | V | V | V |
D | Maatregel Bij uitbesteding van (delen van) de dienstverlening dient een zelfde beveiligingsniveau te worden gerealiseerd als geldt bij de interne dienstverlening. | V | V | V | V |
6. Verzending van gerubriceerde informatie
Doelstelling
Het waarborgen van een wederzijds verenigbaar beveiligingsniveau voor de vertrouwelijkheid van bijzondere informatie.
Eisen
Er dient te zijn voorzien in een passende set van verenigbare maatregelen indien bijzondere informatie het ministerie verlaat.
De vertrouwelijkheid van informatie moet tijdens (elektronisch) transport buiten gecontroleerd gebied gehandhaafd blijven
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Maatregel Digitale verzending van bijzondere informatie dient met ministerieel goedgekeurde cryptografische middelen te geschieden. De ministeriële goedkeuring vindt plaats op basis van advies van de Werkgroep Bijzondere Informatiebeveiliging (WBI) of diens rechtsopvolger over de beveiligingswaarde van de cryptografische middelen. | V | V | V | |
B | Maatregel Digitale verzending van informatie die krachtens een internationaal verdrag of een internationale overeenkomst is verkregen, dient met door de verstrekkende instantie goedgekeurde cryptografische middelen te worden verzonden. | V | V | ||
C | Maatregel Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is. | V | V | V | V |
D | Maatregel Fysieke verzending geschiedt door: • een geautoriseerde medewerker, waarbij de informatie te allen tijde onder beheer van de drager blijft en niet wordt geopend tijdens transport. • fysieke verzending geschiedt met een ministerieel goedgekeurde koerier. • een militaire, overheids- of diplomatieke koerier. | V | V | nvt | |
E | Maatregel Nationale verzending uitsluitend via een overheidskoerier. | V | |||
F | Maatregel Internationale verzending uitsluitend als diplomatieke koeringszending of militair transport. | V | |||
G | Maatregel Zowel digitaal als niet digitaal is er een onweerlegbare bevestiging van ontvangst. | V | V | V | |
H | Maatregel Beveiligingsrelevante handelingen worden geregistreerd. | V | V | V | V |
I | Maatregel Het maken, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling en vernietigen van bijzondere informatie wordt vastgelegd. | V | V | ||
J | Maatregel Elk document moet tenminste bij verspreiding voorzien zijn van:
| V | V | V | V |
K | Maatregel Elk document wordt voorzien van:
| V | V | V | |
L | Maatregel Van alle exemplaren van bijzondere documenten worden de volgende gegevens vastgelegd:
| V | V | V | |
M | Maatregel Er worden niet meer kopieën van bijzondere informatie gemaakt dan strikt noodzakelijk. | V | V | V | |
Voetnoten
Verklaring omtrent het gedrag
Verklaring van geen bezwaar conform de Wet op de veiligheidsonderzoeken
Verklaring van geen bezwaar conform de Wet op de veiligheidsonderzoeken
Verklaring van geen bezwaar conform de Wet op de veiligheidsonderzoeken
Zie hiervoor toelichting artikel 3 onder b.