Baseline Security Product Assessment (BSPA)
Wilt u de beveiligingswaarde van een commercieel ICT- beveiligingsproduct laten beoordelen? Laat dan een Baseline Security Product Assessment (BSPA) uitvoeren.
BSPA is een door de AIVD opgezet en beheerd schema, gericht op de beveiligingsbehoefte van de Nederlandse overheid (en bij uitzondering ook private organisaties en het bedrijfsleven). BSPA's worden uitgevoerd door (particuliere) evaluatielabs die onder toezicht staan van het NBV.
Het is een samenwerkingsverband tussen sponsoren, evaluatielabs en de toezichthouder. Ook is er een stakeholdergroep. De sponsor betaalt de kosten voor een BSPA-beoordeling.
Het hoofddoel van een BSPA-beoordeling is informatie te geven over de beveiligingswaarde van een product zodat de gebruikersorganisatie beter kan nagaan of het product in een BBN1- of BBN2-omgeving past.
Dit kan het risicomanagement van de gebruikersorganisatie makkelijker maken.
Lichtgewicht beoordeling
Het BSPA-proces is ontworpen om beveiligingsproducten in korte tijd onafhankelijk en tegen beperkte kosten te beoordelen. De beoordeling wordt volgens een vastgestelde methode gedaan, waarbij specifiek wordt gekeken naar de beveiligingsfuncties van het product.
BSPA is ontworpen als een lichtgewicht beoordeling. Daarom is dit assessment alleen bedoeld voor de laagste beveiligingsniveaus van de BIO.
BSPA is met nadruk niet bedoeld voor beveiligingsproducten die (staatsgeheime) informatie moeten beveiligen tegen aanvallen van statelijke actoren, buitenlandse inlichtingendiensten en soortgelijke partijen.
Een positieve BSPA-beoordeling is dan ook geen garantie dat het beveiligingsproduct volledig vrij is van kwetsbaarheden.
Wat is het resultaat?
Een positieve beoordeling volgens het BSPA-schema is een indicatie dat het beveiligingsproduct (mits toegepast volgens het inzetadvies) verantwoord kan worden ingezet in een BBN1- of BBN2-omgeving.
Een positieve productbeoordeling wordt afgesloten met een:
- een verklaring van conformiteit (Statement of Conformity);
- een inzetadvies (Deployment Advisory) waarin wordt beschreven hoe het product geconfigureerd en toegepast moet worden.
Het inzetadvies kan aanvullende maatregelen bevatten die nodig zijn om het product niet alleen verantwoord te kunnen inzetten in een BBN1-omgeving, maar ook in een BBN2-omgeving. Inzetadviezen voor BSPA-producten zijn beschikbaar voor rijksambtenaren op het rijksportaal of op te vragen bij het NBV.
Meer informatie en de contactgegevens staat in de brochure Baseline Security Product Assessment (BSPA).
Een overzicht van alle geëvalueerde producten staan op de pagina BSPA geëvalueerde producten.