NSA voor de Nederlandse overheid
Door zowel de NAVO als de EU zijn uitgebreide eisen en richtlijnen opgesteld voor de beveiliging van hun gerubriceerde informatie. Deze richtlijnen zijn op te vragen bij de civiele NSA.
De beveiligingseisen van zowel de NAVO als de EU zijn gebaseerd op het zogenaamde vijf-pijler principe en omvatten:
1. Security of information
Beveiliging van fysieke documenten en/of goederen.
2. Physical security
Fysieke beveiligingseisen (bouwkundig en elektronisch).
3. Personnel security
Eisen die worden gesteld aan de screening van personen.
4. CIS security
Eisen die worden gesteld aan de systemen waarmee gerubriceerde informatie wordt verwerkt, opgeslagen en verzonden (Communicatie- en Informatie Systemen).
5. Classified project and Industrial security
Eisen die worden gesteld aan het door de industrie uit te voeren gerubriceerde opdrachten van de NATO/EU of onderliggende organisaties.
Departementen kunnen bij de NSA terecht voor toelichting op en advies bij de implementatie van de NAVO- en/of EU-eisen en richtlijnen.
Vertrouwensfuncties en Clearances
Voor vertrouwensfuncties en veiligheidsonderzoeken wordt verwezen naar de Unit Veiligheidsonderzoeken (UVO).
NAVO-/EU-/ESA-Clearances voor eigen personeel kunnen worden aangevraagd bij de Unit Veiligheidsonderzoeken (UVO) van de AIVD.
- Meer informatie over deze clearances
Audits
NAVO-, EU- en ESA-gerubriceerde informatie mag pas verwerkt worden nadat de bevoegde autoriteit, in dit geval de NSA, haar goedkeuring aan de beveiliging heeft gegeven. In de praktijk komt dit neer op een audit die wordt uitgevoerd door NSA-inspecteurs in samenspraak met de BVA van het departement en is gebaseerd op de pijlers 1, 2 en 3.
De basis voor een dergelijke audit vormt het beveiligingsplan waarin wordt aangegeven om welke informatie het gaat, hoe die is beveiligd en onder wiens beheer die valt. Zoals gesteld dient de NSA vooraf schriftelijk in te stemmen met de getroffen beveiligingsmaatregelen.
Audits worden ook op ICT-systemen uitgevoerd (pijler 4).
ICT-beveiliging
Informatie- en communicatiesystemen (ICT) waarmee NAVO-/EU-/ESA-gerubriceerde informatie wordt verwerkt, opgeslagen dan wel verzonden, dienen geaccrediteerd te zijn met voorafgaande toestemming van de NSA.
Accrediteren is het van tevoren toestemming verlenen dat een informatiesysteem operationeel in gebruik mag worden genomen. Zowel de informatiesystemen bij de rijksoverheid als die in de civiele sector moeten zijn geaccrediteerd voordat ze in gebruik worden genomen.
Ga terug naar de vorige pagina: National Security Authority