Ga direct naar inhoud

NSA voor de Nederlandse overheid

Door zowel de NAVO als de EU zijn uitgebreide eisen en richtlijnen opgesteld voor de beveiliging van hun gerubriceerde informatie. Deze richtlijnen zijn op te vragen bij de civiele NSA.

De beveiligingseisen van zowel de NAVO als de EU zijn gebaseerd op het zogenaamde vijf-pijler principe en omvatten:

1. Security of information  

Beveiliging van fysieke documenten en/of goederen.

2. Physical security

Fysieke beveiligingseisen (bouwkundig en elektronisch).

3. Personnel security 

Eisen die worden gesteld aan de screening van personen.

4. CIS security

Eisen die worden gesteld aan de systemen waarmee gerubriceerde informatie wordt verwerkt, opgeslagen en verzonden (Communicatie- en Informatie Systemen).

5. Classified project and Industrial security

Eisen die worden gesteld aan het door de industrie uit te voeren gerubriceerde opdrachten van de NATO/EU of onderliggende organisaties.

Departementen kunnen bij de NSA terecht voor toelichting op en advies bij de implementatie van de NAVO- en/of EU-eisen en richtlijnen.

Vertrouwensfuncties en Clearances

Voor vertrouwensfuncties en veiligheidsonderzoeken wordt verwezen naar de Unit Veiligheidsonderzoeken (UVO).

NAVO-/EU-/ESA-Clearances voor eigen personeel kunnen worden aangevraagd bij de Unit Veiligheids­onderzoeken (UVO) van de AIVD.

Audits

NAVO-, EU- en ESA-gerubriceerde informatie mag pas verwerkt worden nadat de bevoegde autoriteit, in dit geval de NSA, haar goed­keuring aan de beveiliging heeft gegeven. In de praktijk komt dit neer op een audit die wordt uitgevoerd door NSA-inspecteurs in samenspraak met de BVA van het departement en is gebaseerd op de pijlers 1, 2 en 3.

De basis voor een dergelijke audit vormt het beveiligingsplan waarin wordt aangegeven om welke informatie het gaat, hoe die is beveiligd en onder wiens beheer die valt. Zoals gesteld dient de NSA vooraf schriftelijk in te stemmen met de getroffen beveiligingsmaatregelen.

Audits worden ook op ICT-systemen uitgevoerd (pijler 4).

ICT-beveiliging

Informatie- en communicatiesystemen (ICT) waarmee NAVO-/EU-/ESA-gerubriceerde informatie wordt verwerkt, opgeslagen dan wel verzonden, dienen geaccrediteerd te zijn met voorafgaande toestemming van de NSA.

Accrediteren is het van tevoren toestemming verlenen dat een informatiesysteem operationeel in gebruik mag worden genomen. Zowel de informatiesystemen bij de rijksoverheid als die in de civiele sector moeten zijn geaccrediteerd voordat ze in gebruik worden genomen.

Ga terug naar de vorige pagina: National Security Authority