Baseline Security Product Assessment

Wilt u de beveiligingswaarde van een commercieel ICT- beveiligingsproduct laten beoordelen? Laat dan een Baseline Security Product Assessment (BSPA) uitvoeren. 

BSPA is een instrument dat de AIVD heeft ontwikkeld om inzicht te geven in de beveiligingswaarde van commerciële ICT-beveiligingsproducten. Hiermee kan een overheidsorganisatie een meer onderbouwde afweging maken of deze producten toepasbaar zijn in een informatiehuishouding op BBN1- of BBN2-niveau van de Baseline Informatiebeveiliging Overheid (BIO). Voor BBN2 kunnen aanvullende maatregelen in de informatiehuishouding van de gebruikersorganisatie noodzakelijk zijn.

Wat is BSPA?

BSPA is een door de AIVD opgezet en beheerd schema, gericht op de beveiligingsbehoefte van de Nederlandse overheid en, bij uitzondering, ook voor private organisaties en het bedrijfsleven. Het is een samenwerkingsverband tussen sponsoren, evaluatielabs en de toezichthouder. Ook is er een stakeholdergroep. De sponsor neemt de kosten voor een BSPA-beoordeling voor zijn rekening.

Het hoofddoel van een BSPA-beoordeling is informatie te geven over de beveiligingswaarde van een product zodat de gebruikersorganisatie beter kan nagaan of het product in een BBN1- of BBN2-omgeving past. Dit kan het risicomanagement van de gebruikersorganisatie makkelijker maken.

Lichtgewicht beoordeling

Het BSPA-proces is ontworpen om beveiligingsproducten in korte tijd en tegen beperkte kosten onafhankelijk te beoordelen. De beoordeling, waarbij specifiek wordt gekeken naar de beveiligingsfuncties van het product, vindt plaats volgens een vastgestelde methodiek.

Omdat BSPA is ontworpen als een lichtgewicht beoordeling, is een BSPA alleen bedoeld voor de laagste beveiligingsniveaus van de BIO. BSPA is met nadruk niet bedoeld voor beveiligingsproducten die (staatsgeheime) informatie moeten beveiligen tegen aanvallen van statelijke actoren, inlichtingendiensten en soortgelijke partijen. Een positieve beoordeling geeft dan ook geen garantie dat het beveiligingsproduct volledig vrij is van kwetsbaarheden.

Het resultaat

Een positieve beoordeling volgens het BSPA-schema geeft een indicatie dat het beveiligingsproduct, indien toegepast volgens het inzetadvies, verantwoord ingezet kan worden in een BBN1- of BBN2-omgeving.

Een positieve productbeoordeling wordt afgesloten met:

  1. Een verklaring van conformiteit (Statement of Conformity).
  2. Een inzetadvies (Deployment Advisory) waarin wordt beschreven hoe het product geconfigureerd en toegepast moet worden.

Het inzetadvies kan aanvullende maatregelen bevatten die nodig zijn om het product niet alleen verantwoord te kunnen inzetten in een BBN1-omgeving, maar ook in een BBN2-omgeving.

Meer informatie en de contactgegevens zijn te vinden in de onderstaande brochure.