Internationale taak NBV

Het NBV heeft ook een internationale taak en neemt deel aan verschillende internationale gremia op het gebied van beveiliging en cryptografie.

Europese Unie

Het NBV heeft zitting in het Council Security Committee (CSC), de Council Security Committee Infosec (CSCI) en heeft de status van AQUA in de AQUA Reference Group (ARG). Informatiebeveiliging en het evalueren van apparatuur is als volgt geregeld binnen de Council. Indien een Lidstaat een beveiligingsproduct heeft geëvalueerd en goed bevonden voor een bepaald beveiligingsniveau, verzoekt het een AQUA-land eveneens een evaluatie uit te voeren. Dit noemt men een zogenaamde 'tweedelandevaluatie'. Indien ook deze evaluatie met goed gevolg is afgerond, kan het apparaat ingezet worden voor de beveiliging van gerubriceerde EU-data.

NAVO

Het NBV vervult namens Nederland binnen NAVO de rol van NCSA – National Communication Security Agency. Vanuit die rol heeft het NBV, soms samen met het Ministerie van Defensie, zitting in diverse NAVO overlegfora en draagt hierdoor actief bij aan totstandkoming van beleid en regelgeving op het gebied van Informatiebeveiliging voor NAVO en synchronisatie tussen NATO en nationale regelgeving. De nationale evaluaties uitgevoerd door NBV voor niveau Departementaal Vertrouwelijk en Stg. Confidentieel zijn geldig voor respectievelijk NAVO Restricted en NATO Confidential. Evaluaties op beveiligingsproducten voor NAVO Secret en hoger worden door SECAN uitgevoerd. Het NBV kan nationale apparatuur (d.w.z. in Nederland geproduceerd en goedgekeurd) aanbieden aan SECAN om deze goedgekeurd te krijgen voor NAVO gebruik

Zoals vermeld onder NDA speelt het NBV ook in de distributie van crypto apparatuur en middelen voor NAVO een belangrijke rol.

Common Criteria (CC)

Het NBV is toezichthouder op het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB) waarbij Common Criteria certificaten door TÜV Rheinland Nederland (voorheen TNO Certification) kunnen worden afgegeven. Het NSCIB is door het NBV in samenwerking met TÜV Rheinland Nederland opgezet om de beveiligingsaspecten van IT producten te kunnen evalueren en certificeren. Het doel van het schema is om in Nederland IT producten te kunnen evalueren en certificeren volgens de zogenaamde ‘Common Criteria’, ook wel bekend als ISO-standaard 15408/18405. Meer informatie over het NSCIB en de Nederlandse CC certificaten kunt u vinden op http://www.tuv-nederland.nl/nl/17/common_criteria.html.

De Common Criteria (CC) hebben vooral betrekking op civiele beveiligingsproducten. Het hebben van een CC certificaat is een goede opstap voor het verkrijgen van een goedkeuring na evaluatie door het NBV. Bij CC evaluaties gaat het vooral om het verkrijgen van zekerheden ofwel assurances met betrekking tot het te evalueren product. Dit geschiedt op diverse vlakken zoals juiste documentatie, ontwikkel- en ontwerpproces, productiemethode, testprocedures etc. De criteria zijn begin jaren 1990 ontstaan uit de ITSEC criteria van Frankrijk, Duitsland, Engeland en Nederland en het zogenaamde Orangebook van de Verenigde Staten. In de jaren 1990 zijn ook de landen Australië en Canada toegetreden tot het overleg.

Evaluatie en certificatietrajecten zijn meestal vrij kostbaar. Er is daarom een grote behoefte om certificaten in het ene land ook te erkennen in een ander land. Om dit mogelijk te maken moet er een systeem van wederzijds vertrouwen zijn waarmee gewaarborgd is dat de certificaten voldoen aan de afgesproken eisen. Hiertoe is er binnen Europa de zogenaamde SOG-IS Mutual Recognition Agreement opgesteld.

De Senior Officials Group on the Security of Information Systems (SOG-IS) was een groep werkend onder de Europese Commissie en heeft in 1997 de eerste versie van de ITSEC Mutual Recognition Agreement (MRA) opgesteld. Deze MRA had als doel om de wederzijdse erkenning van toenmalige ITSEC certificaten Europees te regelen. Met de komst van de Common Criteria is in 1999 de MRA uitgebreid met de erkenning van deze CC certificaten. De MRA is een internationale overeenkomst tussen overheden en is namens Nederland ondertekend door de Minister van Economische Zaken. Lidmaatschap van de MRA staat open voor landen uit de EU en EFTA en kent twee niveaus: ‘Consuming participants’ zijn landen die geen eigen certificatieschema hebben, maar wel elkaars certificaten erkennen en er zijn ‘Qualified Participants’, landen die daarnaast ook SOG-IS certificaten mogen afgeven. Nederland hoort tot deze laatste groep landen samen met Duitsland, Frankrijk en Engeland.

Rond het jaar 2000 begon de behoefte te ontstaan om elkaars certificaten ook op wereldwijd niveau te erkennen. Hiervoor is de CCRA – Common Criteria Recognition Arrangement afgesloten: een internationale overeenkomst tussen overheden welke in 2000 namens Nederland ondertekend is door de Minister van BZK. Inmiddels zijn zo’n 25 landen aangesloten bij de Common Criteria, waaronder landen als Japan, Zuid-Korea, India en Singapore. Ook landen uit het voormalig Oostblok hebben inmiddels hun interesse getoond. Voor meer informatie over de CC en de CCRA kunt u terecht op het webportal: http://www.commoncriteriaportal.org/.

Voordat een land certificaten mag gaan uitgeven moet ook aan een groot aantal voorwaarden worden voldaan. Zo moet bijvoorbeeld het nationale schema voor het verrichten van evaluaties worden goedgekeurd en erkend. Binnen de CCRA voldoen op dit moment 16 landen aan deze voorwaarden, waaronder Nederland. Het CCRA beeldmerk op een certificaat informeert de gebruiker dat het betreffende product is geëvalueerd volgens de Common Criteria en de voorwaarden van de CCRA. Het SOGIS logo op een certificaat geeft aan dat een land ook voldoet aan de voorwaarden van de SOG-IS Mutual Recognition Agreement. Onderscheidend t.o.v. de CCRA is dat de SOG-IS MRA geen beperking heeft voor het assurance niveau van de certificaten. Certificaten tot op EAL7 worden wederzijds erkend in tegenstelling tot EAL4 binnen de CCRA.