Besluit van de Minister-President, Minister van Algemene Zaken van 1 juni 2013, nr. 3124134, houdende voorschrift informatiebeveiliging Rijksdienst – bijzondere informatie 2013

Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013)

De Minister-President, Minister van Algemene Zaken,
Handelend in overeenstemming met het gevoelen van de ministerraad,

Besluit:

Artikel

1

Begripsbepalingen

In dit besluit wordt verstaan onder:

  • a.

    Bijzondere informatie: informatie waar kennisname door niet geautoriseerden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries;

  • b.

    Compromittering: kennisname dan wel mogelijkheid tot kennisname van bijzondere informatie door niet geautoriseerden;

  • c.

    Rubriceren: bepalen van het rubriceringsniveau en -duur van de bijzondere informatie op basis van de te verwachten nadelige gevolgen voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries als (een deel van) deze informatie bekend wordt bij niet geautoriseerden;

  • d.

    Rubriceringsniveau: aanduiding van de verwachte nadelige gevolgen aan de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries als (een deel van) de informatie bekend wordt bij niet geautoriseerden;

  • e.

    Rubriceringsambtenaar: ambtenaar bevoegd tot het vaststellen van rubriceringen, hiertoe aangewezen door de secretaris-generaal;

  • f.

    Vaststeller van de rubricering: minister, staatssecretaris, secretaris-generaal of een door de secretaris-generaal aangewezen rubriceringsambtenaar;

  • g.

    Rijksdienst: alle organisatieonderdelen waarvoor de ministeriële verantwoordelijkheid onverkort geldt.

  • h.

    Zorgdrager: degene die bij of krachtens de wet belast is met de zorg voor de archiefbescheiden.

Artikel

2

Plaatsbepaling en reikwijdte

Artikel

3

Beveiligingsbeleid

Het beveiligingsbeleid dat door de secretaris-generaal wordt vastgesteld omvat ten minste de ministeriële uitgangspunten voor de beveiliging van, de toegang tot, het omgaan met en verwerken van bijzondere informatie zoals bedoeld in dit voorschrift en de wijze waarop:

  • a.

    het ministerie informatie rubriceert;

  • b.

    de secretaris-generaal vooraf toestemming verleent voor het verwerken van bijzondere informatie;

  • c.

    het ministerie toezicht uitoefent op de beveiliging van bijzondere informatie.

Artikel

4

Rubriceringen

Artikel

5

Herzien en beëindigen van de rubricering

Artikel

6

Eisen aan de beveiliging

Artikel

7

Buiten de rijksdienst brengen van bijzondere informatie

Artikel

8

Compromittering van bijzondere informatie

Artikel

9

Commissie van onderzoek

Artikel

10

Slotbepaling

De Minister-President, Minister van Algemene Zaken,M.Rutte

Bijlage

1

Uitgangspunten en minimum niveau beveiliging

Deze bijlage beschrijft de uitgangspunten en het minimum beveiligingsniveau voor de beveiliging van bijzondere informatie. Bij de inrichting van een adequaat stelsel van beveiligingsmaatregelen voor de beveiliging van bijzondere informatie moet binnen het in de artikelen beschreven principe van risicomanagement worden uitgegaan van de volgende inrichtingsprincipes:

  • Beveiliging in lagen: De beveiliging zal bestaan uit meerdere lagen, zodat er geen afhankelijkheid is van één beveiligingsmaatregel.

  • Minste privilege: Alleen de autorisaties die iemand nodig heeft om zijn taak te kunnen vervullen, zullen worden toegekend;

  • Zelf beschermende systemen: Ieder systeem beschouwt andere systemen als onvertrouwd totdat het tegendeel is bewezen en treft maatregelen om veilig informatie uit te kunnen wisselen met wel vertrouwde systemen indien deze communicatie via onvertrouwde systemen verloopt.

  • Verificatie implementatie beveiliging: De maatregelen voor beveiliging van bijzondere informatie worden onder de verantwoordelijkheid van de BVA of de accreditatieautoriteit periodiek gecontroleerd.

Deze inrichtingprincipes moeten stringenter worden toegepast naarmate het niveau van de rubricering toeneemt.

Voor de volgende onderwerpen, die grotendeels afkomstig zijn uit de Code voor Informatiebeveiliging, zijn specifiek op bijzondere informatie toegesneden doelstellingen en eisen geformuleerd waaraan dient te worden voldaan. Waar aan de orde zijn daarbij ook maatregelen benoemd die ten minste deel uit moeten maken van de totale set van maatregelen om de vertrouwelijkheid van bijzondere informatie te waarborgen.

Hiermee is voor alle betrokkenen inzichtelijk gemaakt wat minimaal wordt verlangd op het gebied van beveiliging voor de verschillende rubriceringen op grond van dit voorschrift. Tevens is op efficiënte wijze de toepassing van een uniforme set van minimale maatregelen gedefinieerd waardoor waarborgen zijn gecreëerd voor een consistente beveiliging van bijzondere informatie.

1

Management van bedrijfsmiddelen

Doelstelling

Het handhaven van een adequaat, ordelijk en controleerbaar beheer van bedrijfsmiddelen waarop bijzondere informatie wordt verwekt.

Eis

Bedrijfsmiddelen waarop bijzondere informatie wordt verwerkt, dienen te zijn geregistreerd en aan een 'eigenaar" te zijn toegewezen. Daarbij is onderkend welke van deze bedrijfsmiddelen specifieke beveiligingsmaatregelen behoeven.

A

Maatregel

Registreer alle middelen en de personen aan wie deze zijn uitgereikt.

V

V

B

Maatregel

Registreer de locatie/standplaats van alle middelen en de toewijzing aan een eigenaar.

V

V

2

Personen

Doelstelling

Organisaties moeten zekerstellen dat personen hun verantwoordelijkheden kennen en geschikt zijn voor de rol die zij vervullen evenals het beperken van de risico's van menselijk handelen.

Eis

Elk persoon die frequent gaat werken met bijzondere informatie, dient voorafgaand aan indiensttreding een aan zijn functievervulling gerelateerd betrouwbaarheidsonderzoek te ondergaan. Voor het bepalen of een functie als vertrouwensfunctie moet worden aangewezen, dient de betreffende leidraad aanwijzen vertrouwensfuncties van de AIVD (civiele sector) en MIVD (militaire sector) te worden gevolgd.

Bij beëindiging of wijziging van het dienstverband waarin gewerkt is met bijzondere informatie, wordt zeker gesteld dat de geheimhoudingsplicht geborgd is.

Van elk persoon die frequent werkt met bijzondere informatie moet geborgd zijn dat deze over een aan zijn functievervulling gerelateerd, actueel betrouwbaarheidsonderzoek beschikt.

A

Maatregel

Personen die hebben te maken met bijzondere informatie, dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.

V

V

V

V

B

Maatregel

Personen die frequent hebben te maken met bijzondere informatie dienen tevens te beschikken over een passende verklaring.

VOG1

VGB2

VGB2

VGB2

C

Maatregel

Bij beëindiging van een functie waarbij iemand in aanraking komt met bijzondere informatie wordt zeker gesteld dat de betreffende persoon geen toegang meer heeft tot die informatie, noch deze in zijn / haar bezit heeft.

V

V

V

V

1 Verklaring omtrent het gedrag

2 Verklaring van geen bezwaar conform de Wet op de veiligheidsonderzoeken

3

Fysieke en omgevingsbeveiliging

Doelstelling

Het waarborgen van toereikende weerstand tegen (pogingen tot) ongeautoriseerde fysieke toegang van locaties, gebouwen en ruimtes (waaronder kluizen) waar zich bijzondere informatie bevindt.

Eis

Voor elke locatie, gebouw en ruimte waar zich bijzondere informatie bevindt, dient systematisch de beveiligingsmaatregelen in beeld te zijn gebracht voor fysieke toegangsbeheersing. Hierbij is ten minste voorzien in:

  • Het aanbrengen van zonering c.q. compartimentering.

  • Het detecteren van ongeautoriseerde toegangen of pogingen daartoe.

  • Het regelen van een ordelijk toegangsbeleid en sleutelbeheer.

  • Het uitoefenen door bewakingspersoneel van toezicht buiten reguliere werktijden.

  • Het toewijzen van ruimten waar met bijzondere informatie mag worden gewerkt.

Ten aanzien van zonering kunnen de diverse beveiligingszones worden onderkend, waarbij om toegang te krijgen tot ruimtes waarin bijzondere informatie wordt verwerkt, steeds zwaardere beveiligingsmaatregelen worden getroffen.

A

Maatregel

Bijzondere informatie wordt zodanig behandeld en opgeslagen dat er een positief beveiligingsrendement1 is, op basis van schadeacceptatie en het dreigingsprofiel.

V

V

V

V

B

Maatregel

Tempestmaatregelen conform Beleidsadvies Compromitterende straling (VBV 32000).

V

V

V

C

Maatregel

Tegengaan van afluisteren, zicht op en reflectie van informatie (bv via beeldschermen of spiegelende oppervlakten).

V

V

V

D

Maatregel

De medewerker verantwoordelijk voor de verwerking van bijzondere informatie, dient zorg te dragen dat bezoekers geen kennis kunnen nemen van de bijzondere informatie die hij onder zijn beheer heeft.

V

V

V

V

E

Maatregel

Bezoekers worden begeleid wanneer zij ruimten waarin bijzondere informatie aanwezig is, betreden.

V

V

V

F

Maatregel

Bezoekers worden geregistreerd indien zij toegang (kunnen) hebben tot bijzondere informatie in ruimten die zij betreden, als de toegang tot die informatie niet op andere wijze kan worden voorkomen (bv kast/kluis/etc.).

V

V

1 Zie hiervoor toelichting artikel 3 onder b.

4

Logische toegangsbeveiliging

Doelstelling

Het waarborgen van een beheerste en gecontroleerde toegang tot ICT-voorzieningen waarin zich bijzondere informatie bevindt.

Eisen

Voorzie in procedures en regels voor toegangsrechten tot en monitoring van netwerkdiensten, besturingssystemen en applicaties waar zich gerubriceerde informatie bevindt.

Voorzie in een stelsel van logische toegangsbeveiligingsmaatregelen dat is gerelateerd aan de relevante dreiging en het rubriceringniveau.

A

Maatregel

Toegang tot een account wordt na een aantal direct achtereenvolgende foutieve inlogpogingen geblokkeerd.

5

3

3

3

B

Maatregel

Toegang tot systemen kan op groepsniveau worden bepaald.

V

V

V

niet toegestaan

C

Maatregel

Toegang tot bijzondere informatie wordt op individueel niveau bepaald.

V

V

5

Levenscyclus ICT-voorzieningen

Doelstelling

Het waarborgen van een passend niveau van beveiliging gedurende de gehele levenscyclus van ICT-voorzieningen waarin bijzondere informatie wordt verwerkt.

Eis

Voorafgaand aan verwerving, ontwikkeling, onderhoud en afstoot van informatiesystemen waarin bijzondere informatie wordt verwerkt, dienen de dreigingen en risico’s in beeld te zijn gebracht.

A

Maatregel

Gedurende de gehele levenscyclus van een systeem worden periodieke audits, inspecties, reviews en tests uitgevoerd om te controleren of de beveiligingsmaatregelen effectief zijn.

Deze controles worden uitgevoerd door deskundige specialisten die beschikken over de juiste onderzoeksmiddelen en beproefde onderzoeksmethoden.

Self assessment

Self assessment

Onafhankelijke deskundige

Onafhankelijke deskundige

B

Maatregel

De verantwoordelijkheden en procedures voor het adequaat beheer en juist gebruik van de ICT-voorzieningen waarin bijzondere informatie wordt verwerkt, zijn vastgesteld.

V

V

V

V

C

Maatregel

Voor het beheer van ICT-voorzieningen is het beveiligingsniveau in overeenstemming met de risico's.

V

V

V

V

D

Maatregel

Bij uitbesteding van (delen van) de dienstverlening dient een zelfde beveiligingsniveau te worden gerealiseerd als geldt bij de interne dienstverlening.

V

V

V

V

6

Verzending van gerubriceerde informatie

Doelstelling

Het waarborgen van een wederzijds verenigbaar beveiligingsniveau voor de vertrouwelijkheid van bijzondere informatie.

Eisen

Er dient te zijn voorzien in een passende set van verenigbare maatregelen indien bijzondere informatie het ministerie verlaat.

De vertrouwelijkheid van informatie moet tijdens (elektronisch) transport buiten gecontroleerd gebied gehandhaafd blijven

A

Maatregel

Digitale verzending van bijzondere informatie dient met ministerieel goedgekeurde cryptografische middelen te geschieden. De ministeriële goedkeuring vindt plaats op basis van advies van de Werkgroep Bijzondere Informatiebeveiliging (WBI) of diens rechtsopvolger over de beveiligingswaarde van de cryptografische middelen.

V

V

V

B

Maatregel

Digitale verzending van informatie die krachtens een internationaal verdrag of een internationale overeenkomst is verkregen, dient met door de verstrekkende instantie goedgekeurde cryptografische middelen te worden verzonden.

V

V

C

Maatregel

Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.

V

V

V

V

D

Maatregel

Fysieke verzending geschiedt door:

• een geautoriseerde medewerker, waarbij de informatie te allen tijde onder beheer van de drager blijft en niet wordt geopend tijdens transport.

• fysieke verzending geschiedt met een ministerieel goedgekeurde koerier.

• een militaire, overheids- of diplomatieke koerier.

V

V

nvt

E

Maatregel

Nationale verzending uitsluitend via een overheidskoerier.

V

F

Maatregel

Internationale verzending uitsluitend als diplomatieke koeringszending of militair transport.

V

G

Maatregel

Zowel digitaal als niet digitaal is er een onweerlegbare bevestiging van ontvangst.

V

V

V

H

Maatregel

Beveiligingsrelevante handelingen worden geregistreerd.

V

V

V

V

I

Maatregel

Het maken, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling en vernietigen van bijzondere informatie wordt vastgelegd.

V

V

J

Maatregel

Elk document moet tenminste bij verspreiding voorzien zijn van:

• Rubriceringsniveau;

• Rubriceringsduur;

• Bladzijdenummering en totaal aantal bladzijden waaruit het document bestaat;

V

V

V

V

K

Maatregel

Elk document wordt voorzien van:

• Exemplaarnummer.

V

V

V

L

Maatregel

Van alle exemplaren van bijzondere documenten worden de volgende gegevens vastgelegd:

• Exemplaarnummer;

• Maker;

• Ontvanger.

V

V

V

M

Maatregel

Er worden niet meer kopieën van bijzondere informatie gemaakt dan strikt noodzakelijk.

V

V

V