Deze bijlage beschrijft de uitgangspunten en het beveiligingsniveau voor de bescherming van de vertrouwelijkheid van bijzondere informatie en de verwerking daarvan in informatiesystemen.
De voor de bescherming van vertrouwelijkheid van bijzondere informatie te nemen maatregelen worden bepaald aan de hand van een risicoanalyse, maar beslaan ten minste de in onderstaande tabellen weergegeven te hanteren uitgangspunten en te nemen maatregelen. Indien wordt afgeweken van het onderstaande wordt dat in de risicoanalyse vastgelegd met redenen omkleed inclusief eventueel aanvullende mitigerende maatregelen. Voor Dep.V wordt dit ten minste goedgekeurd door een directeur en voor STG ten minste door een DG.
Tabel 1: Uitgangspunten en minimumniveau van beveiliging.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | De Baseline Informatiebeveiliging Overheid (BIO) vormt de basis, met normen, maatregelen en risicomanagement als uitgangspunt. Daarbovenop worden, de in dit document aangegeven aanvullende maatregelen vereist voor gerubriceerde informatie, waarbij de maatregelen toenemen in strengheid bij toenemend risiconiveau. De risicoacceptatie neemt af bij toenemende hoogte van rubricering. | V | V | V | V |
B | Iedere organisatie hanteert een ‘Three Lines of Defense’-model voor doorlopend risicobeheer, naleving en controle. | V | V | V | V |
C | Minimaal een keer per jaar controleert de BVA de implementatie en vastlegging daarvan. (Maakt deel uit van de ‘Three Lines of Defense’-aanpak. Controles worden uitgevoerd om te waarborgen dat beveiligingsmaatregelen zijn geïmplementeerd en nageleefd.) | V | V | V | V |
D | Openbare en private bronnen worden actief gemonitord als onderdeel van risicomanagement. Dit omvat organisaties zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), de politie, het Nationaal Cyber Security Centrum (NCSC), het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA), en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD).’ | V | V | V | V |
E | De Unit Weerbaarheid van de AIVD schrijft Verbindingsbeveiligingsvoorschriften (VBV’s) voor, waarin beveiligingsmaatregelen ten aanzien van specifieke deelaspecten worden beschreven. Waar mogelijk wordt in deze bijlage verwezen naar bestaande VBV’s. VBV’s zijn op te vragen bij de Unit Weerbaarheid van de AIVD. | V | V | V | V |
F | Beveiliging in lagen: De beveiliging is opgebouwd uit meerdere lagen om te voorkomen dat de beveiliging afhankelijk is van één enkele maatregel. Deze lagen omvatten maatregelen voor zowel preventie en detectie van aanvallen als voor de voorbereiding op incident response en impactminimalisatie. Het doel is een geïntegreerde security architectuur te hanteren, oftewel een systeem van maatregelen die gezamenlijk de inventarisatie, preventie, detectie, respons en herstel omvatten inclusief besturing (governance). | V | V | V | V |
G | Least privilege: Alleen de autorisaties die iemand nodig heeft om zijn of haar taak te kunnen vervullen, worden toegekend. | V | V | V | V |
H | Need-to-know: Personen hebben alleen toegang tot bijzondere informatie als het noodzakelijk is dat zij deze kennen voor de uitoefening van hun functie. | V | V | V | V |
I | Zero trust-systemen: Elk systeem beschouwt andere systemen als onbetrouwbaar totdat het tegendeel is bewezen en er adequate maatregelen zijn getroffen om veilig informatie uit te wisselen met vertrouwde systemen. | V | V | V | V |
J | Analyse van de Te Beschermen Belangen (TBB): Identificeer deze TBB’s en prioriteer de bescherming daarvan. | V | V | V | V |
K | Maandelijks controleert de lijnmanager (of laat controleren) op naleving en vastlegging van deze controle. (Maakt deel uit van de ‘Three Lines of Defense’-aanpak. Controles worden uitgevoerd om te waarborgen dat beveiligingsmaatregelen zijn geïmplementeerd en nageleefd.) | V | V |
Een V in de bovenstaande tabel houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
In de volgende acht hoofdstukken komen de diverse onderdelen aan de orde.
Veilig personeel
Beheer van bedrijfsmiddelen
Fysieke beveiliging en beveiliging van de omgeving
Toegangsbeveiliging
Beveiligingseisen voor ICT-voorzieningen
Communicatiebeveiliging
Beheer van bijzondere informatie
Incidenten en compromittering
Organisaties moeten zeker stellen dat personen hun verantwoordelijkheden en verplichtingen kennen en geschikt zijn voor de rol of functie die zij vervullen. Daarnaast dienen organisaties de risico’s van menselijk handelen te beperken.
Ieder persoon die structureel gaat werken met bijzondere informatie, dient voorafgaand aan indiensttreding een aan zijn functievervulling gerelateerd veiligheidsonderzoek te ondergaan. Voor het bepalen of een functie als vertrouwensfunctie moet worden aangewezen, dient de betreffende leidraad aanwijzen vertrouwensfuncties van de AIVD (civiele sector) en MIVD (militaire sector) te worden gevolgd.
Bij aanvang, beëindiging of wijziging van het dienstverband waarin gewerkt is met bijzondere informatie, wordt zeker gesteld dat de geheimhoudingsplicht geborgd is.
Tabel 3. Minimale maatregelen voor veilig personeel voor, tijdens en na het dienstverband.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Personen die in aanraking komen met bijzondere informatie beschikken over een Verklaring Omtrent het Gedrag (VOG). | * | |||
B | Personen die structureel in aanraking komen met bijzondere informatie beschikken over een geldige Verklaring van geen bezwaar (VGB) voor de betreffende vertrouwensfunctie | V | V | V | |
C | De BVA/BA houdt toezicht op de afhandeling van beveiligingsincidenten rond bijzondere informatie. | V | V | V | V |
D | In de functieomschrijvingen van personeel dat inzage heeft in bijzondere informatie is de eigen verantwoordelijkheid voor beveiliging vastgelegd. | V | V | V | V |
E | Personen die in aanraking komen met bijzondere informatie, dienen aanvullend op de eed/belofte, een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. | V | V | V | V |
F | Bij beëindiging van een functie waarbij iemand in aanraking komt met bijzondere informatie wordt zeker gesteld dat de betreffende persoon geen toegang meer heeft tot die informatie, noch deze in zijn/haar bezit heeft. | V | V | V | V |
G | Er is een security awareness programma specifiek voor bijzondere informatie, passend bij het rubriceringsniveau. | V | V | V | V |
H | Personen die in aanraking komen met bijzondere informatie zijn verplicht om het security awareness programma te volgen. | V | V | V | V |
I | Er wordt voldoende informatie vastgelegd om een onderzoek van compromittering mogelijk te maken. | V | V | V | V |
J | Informatie zoals bedoeld in I wordt minimaal 3 maanden bewaard om achteraf onderzoek mogelijk te maken. | V | V | V | V |
K | Informatie over compromittering wordt gedurende minimaal een bepaalde termijn bewaard. | 3 jaar | 5 jaar | 5 jaar | 5 jaar |
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.
Het handhaven van een adequaat, ordelijk en controleerbaar beheer van alle bedrijfsmiddelen waarop, waarmee of waardoor bijzondere informatie wordt verwerkt.
Bedrijfsmiddelen waarop, waarmee of waardoor bijzondere informatie wordt verwerkt, dienen te zijn geregistreerd en aan een eigenaar te zijn toegewezen.
Tabel 4: Minimale maatregelen voor het management van bedrijfsmiddelen.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Registreer alle middelen en de personen aan wie deze zijn uitgereikt of aan wie toegang tot bedrijfsmiddelen wordt verleend. | * | V | V | V |
B | Registreer de locatie/ standplaats van alle middelen en de toewijzing aan een eigenaar. | * | V | V | V |
C | Er is een centraal register met een actueel overzicht van de locatie/ standplaats van alle middelen en de bijbehorende eigenaren. | * | V | V | V1 |
D | Minimaal eens per jaar wordt de actualiteit van het centrale register vastgesteld. | V | V | V | V |
E | Stel een procedure vast voor het inleveren, opnieuw inzetten of vernietiging van geregistreerde middelen. | V | V | V | V |
1 Vanwege need-to-know scheiding wordt het overzicht van Stg.ZG-middelen separaat geregistreerd.
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.
Het waarborgen van toereikende weerstand tegen (pogingen tot) ongeautoriseerde fysieke toegang van locaties, gebouwen en ruimtes (waaronder kluizen) waar zich bijzondere informatie bevindt of wordt verwerkt.
Voor elke locatie, gebouw en ruimte waar zich bijzondere informatie bevindt of wordt verwerkt, dienen systematisch de beveiligingsmaatregelen in beeld te zijn gebracht voor fysieke toegangsbeheersing. Hierbij is ten minste voorzien in:
Het aanbrengen van zonering c.q. compartimentering en per zone de rubricering en/of het TBB-niveau te bepalen,
Het regelen van een ordelijk toegangsbeleid en sleutelbeheer,
Het toewijzen van ruimtes waar bijzondere informatie zich bevindt of wordt verwerkt.
Om toegang te krijgen tot ruimtes waarin bijzondere informatie wordt verwerkt, worden afhankelijk van het rubriceringsniveau, steeds zwaardere beveiligingsmaatregelen getroffen.
Tabel 5: Uitgangspunten zonering en verwerking van gerubriceerde gegevens.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | DepV-informatie wordt structureel verwerkt, behandeld en besproken1 in minimaal Zone 2 (beveiligd gebied conform het NkBR2 of een en als gelijkwaardig beschouwde ruimte) en incidenteel in Zone 1 (conform het NkBR of een en als gelijkwaardig beschouwde ruimte). Dit betekent dat het structureel verwerken van dep. V informatie in een zone 1 een afwijking is waarvoor een exceptie nodig is. Een organisatiegeboden aanscherping is daarbij toegestaan. In het geval van thuiswerk bepaalt het departementaal beleid hoe om te gaan met het bespreken, verwerken en behandelen van DepV-informatie. | V | |||
B | Bijzondere informatie wordt structureel verwerkt, behandeld en besproken in tenminste een extra beveiligd werkgebied (conform het NkBR of een als gelijkwaardig beschouwde ruimte). | V | V | V |
1 Met ‘besproken’ wordt bedoeld: elk overleg waarin bijzondere informatie besproken wordt.
2 Normenkader Beveiliging Rijkskantoren (is niet voor alle gebouwen van de Rijksoverheid van toepassing)
Tabel 5.1 – Minimale eisen fysieke beveiliging locaties en gebouwen
C | De beveiliging is zodanig ingericht dat ongeautoriseerde toegang tot locaties en gebouwen en pogingen daartoe worden gedetecteerd. | * | |||
D | De beveiliging is zodanig ingericht dat ongeautoriseerde toegang tot locaties en gebouwen en pogingen daartoe worden gedetecteerd en dat tijdig interventie plaatsvindt, ook na kantooruren. De vertragingstijd is dusdanig dat detectie van ongeautoriseerde toegang en pogingen daartoe plaatsvindt op een tijdstip dat interventie mogelijk maakt. | V | V | V | |
E | Bezoekers worden geregistreerd. | V | V | V | V |
F | Bijzondere informatie wordt zoveel mogelijk geconcentreerd. | V | V | V | V |
G | Tegengaan van afluisteren, ook van gesproken informatie, zicht op en reflectie van informatie (bijvoorbeeld via beeldschermen of spiegelende oppervlakken). | V | V | V | V |
H | De medewerker verantwoordelijk voor de verwerking van bijzondere informatie, dient te voorkomen dat niet- geautoriseerde personen kennis kunnen nemen van bijzondere informatie. | V | V | V | V |
I | Er zijn TEMPEST-maatregelen getroffen conform het Beleidsadvies Compromitterende straling (Verbindingsbeveiligingsvoorschrift (VBV 32000)1. | V | V | V | |
J | Voorafgaand aan de ingebruikname van een werkruimte of andere beveiligde zone dient er, volgens het Nationaal TSCM/EVO Beleidsadvies, een Technical Surveillance Counter-Measures (TSCM)/ Elektronisch Veiligheidsonderzoek en indien nodig een geluidsdempingsmeting uitgevoerd te zijn. | V | V | V | |
K | Periodiek en bij elke bouwkundige aanpassing of het toevoegen van nieuwe middelen (zoals: ICT-apparatuur, meubilair, schilderijen en relatiegeschenken) in een beveiligde zone dient er, volgens het Nationaal TSCM/EVO Beleidsadvies, een Technical Surveillance Counter- Measures (TSCM)/Elektronisch Veiligheidsonderzoek en indien nodig een geluidsdempingsmeting uitgevoerd te worden. | V | V | V | |
L | Bezoekers worden geregistreerd indien zij toegang (kunnen) hebben tot bijzondere informatie in ruimten die zij betreden. | V | V | V | |
M | Niet-geautoriseerde personen worden begeleid wanneer zij ruimtes waarin bijzondere informatie aanwezig is, betreden. | V | V | V | |
N | Er wordt voorkomen dat bezoekers kennisnemen van bijzondere informatie waar zij niet toe geautoriseerd zijn. | V | V | V | |
O | Personen die een ruimte gaan betreden waar bijzondere informatie wordt verwerkt, bewaren alle persoonlijke elektronica (computers, tablets, telefoons, bio-wearables et cetera) buiten deze ruimte. | V | V | V | |
Opbergen van informatie | |||||
P | Bij het verlaten van de werkplek wordt bijzondere informatie in een goedgekeurd bergmiddel opgeborgen. | V | V | V | V |
Sleutelbeheer | |||||
Q | De uitgifte van sleutels wordt geregistreerd. | V | V | V | V |
R | Niet in gebruik zijnde sleutels worden veilig opgeborgen. | V | V | V | V |
S | Er worden gecertificeerde sleutels gebruikt. | V | V | V | |
Fysieke netwerkbescherming | |||||
T | Netwerkapparatuur en bekabeling worden fysiek beschermd conform het rubriceringsniveau van de onvercijferde informatie die er mee wordt verwerkt. | V | V | V | V |
Controles op onderhoud, plaatsing en vervanging van apparatuur: | |||||
U | Externe reparatie is gebonden aan door de BVA vastgestelde procedures. | V | V | V | V |
V | Reparatie vindt op locatie plaats, tenzij bijzondere informatie verwijderd is met goedgekeurde middelen. | V | V | V | V |
W | Onderhoud vindt plaats door personen die in bezit zijn van een passende VGB. | V | V | V | |
X | Onderhoud door extern personeel vindt alleen plaats onder begeleiding van eigen personeel. | V |
1 Hiervoor kan advies worden aangevraagd bij de Nationale TEMPEST Autoriteit (NTA).
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.
Het waarborgen van een beheerste en gecontroleerde toegang tot voorzieningen waarin zich bijzondere informatie bevindt of wordt verwerkt.
Voorzie in procedures en regels voor toegangsrechten tot, logging en monitoring van netwerkdiensten, besturingssystemen en applicaties waar zich gerubriceerde informatie bevindt.
Voorzie in een stelsel van logische toegangsbeveiligingsmaatregelen dat is gerelateerd aan de relevante dreiging en het rubriceringsniveau.
Tabel 6. Minimale maatregelen voor toegangsbeveiliging.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
Identificatie en authenticatie: | |||||
A | Het moet de gebruiker duidelijk zijn wat de maximale rubricering is van de informatie die verwerkt mag worden op een systeem. | V | V | V | V |
B | Gebruikersnamen garanderen dat activiteiten worden herleid naar individuen. | V | V | V | V |
C | Gebruikers worden vooraf geïdentificeerd en geautoriseerd. | V | V | V | V |
D | Pas multifactor authenticatie toe. | * | V | V | V |
E | Toegang tot bijzondere informatie wordt op individueel niveau bepaald. | V | V | V | V |
F | Toegang tot systemen kan op groepsniveau worden bepaald mits het lidmaatschap van de groep herleidbaar is op het individu. | V | V | Niet toegestaan. | Niet toegestaan. |
G | Wachtwoorden worden vercijferd opgeslagen. | V | V | V | V |
H | Stel minimum eisen aan wachtwoordlengte, -complexiteit en -versleuteling en wijzigingsfrequentie. | V | V | V | V |
I | Wachtwoorden worden zodanig behandeld dat ze beschermd zijn tegen ongeautoriseerde kennisname. | V | V | V | V |
J | Toegang tot een account wordt na een aantal direct achtereenvolgende foutieve inlogpogingen geblokkeerd. | * | 5 | 4 | 3 |
Logische toegangscontrole: | |||||
K | Toegang tot ICT-voorzieningen wordt enkel verschaft op basis van need-to-know. | V | V | V | V |
L | Er worden procedures vastgesteld voor het verkrijgen van toegang tot bijzondere informatie. | V | V | V | V |
De toegang tot het werkstation wordt beveiligd: | |||||
M | De toegangsbeveiliging wordt automatisch geactiveerd. | 10m | 10m | 5m | 5m |
N | Informatie wordt vercijferd opgeslagen en het vercijfermechanisme en het sleutelbeheer is goedgekeurd door de Minister van Binnenlandse Zaken en Koninkrijksrelaties voor inzet binnen de Rijksdienst of de BA Defensie voor gebruik binnen Defensie voor de betreffende rubricering. | V | V | V | V |
O | Toegang tot beheerfuncties is voorbehouden aan die personen die van deze functies gebruik moeten maken. | V | V | V | V |
P | De toegangsrechten van de gebruikers worden periodiek geëvalueerd. | * | V | V | V |
Netwerk toegangscontroles: | |||||
Q | De autorisaties van alle gebruikers zijn vastgelegd. | V | V | V | V |
R | Het is toegestaan om beheer op afstand uit te laten voeren. | V | Niet toegestaan | Niet toegestaan | Niet toegestaan |
De aansluiting met netwerken beveiligen: | |||||
S | Koppeling met externe netwerken is alleen toegestaan middels goedgekeurde koppelvlakken. | V | V | V | V |
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.
Het waarborgen van een passend niveau van beveiliging gedurende de gehele levenscyclus van ICT- voorzieningen waarin bijzondere informatie wordt verwerkt.
Voorafgaand aan verwerving, ontwikkeling, onderhoud en afstoot van informatiesystemen waarin bijzondere informatie wordt verwerkt, dienen de dreigingen en risico’s in beeld te zijn gebracht. Voor het gebruik en beheer van informatiesystemen is het beveiligingsniveau in overeenstemming met de dreigingen en risico’s.
Tabel 7: Minimale maatregelen voor de levenscyclus van ICT-voorzieningen.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | De configuratie van de hard- en software moet zijn vastgelegd. | * | V | V | V |
B | Alle wijzigingen in apparatuur, software of procedures moeten controleerbaar zijn. | * | V | V | V |
C | Er moet een autorisatiematrix zijn voor wijzigingen en de procedure voor wijzigingen moet zijn vastgelegd. | * | V | V | V |
D | Gedurende de gehele levenscyclus van een systeem worden minimaal jaarlijks audits, inspecties, reviews en tests uitgevoerd om te controleren of de beveiligingsmaatregelen effectief zijn. Deze controles worden uitgevoerd door deskundige specialisten die beschikken over de juiste onderzoeksmiddelen en beproefde onderzoeksmethoden. | Self assessment | Onafhankelijk deskundige | Onafhankelijk deskundige | Onafhankelijk deskundige |
E | De verantwoordelijkheden en procedures voor het adequaat beheer en juist gebruik van de ICT-voorzieningen waarin bijzondere informatie wordt verwerkt, zijn vastgesteld. | * | V | V | V |
F | Bij uitbesteding van (delen van) de dienstverlening dient een zelfde beveiligingsniveau te worden gerealiseerd als geldt bij de interne dienstverlening. De uitbestedende partij/eigenaar blijft verantwoordelijk voor de beveiliging. | * | V | V | V |
G | Bij informatieverwerking in ketens blijft de eigenaar van de bijzondere informatie verantwoordelijk voor het hanteren van het juiste beveiligingsniveau in de gehele keten. | V | V | V | V |
H | Voorafgaand aan de inkoop van ICT-middelen en fysieke voorzieningen, extern personeel evenals voorafgaand en tijdens een opdrachttoets omtrent het verwerken van bijzondere informatie, dient contact te worden opgenomen met de BVA om de juiste normen, kaders, wet- en regelgeving te kunnen hanteren en het accreditatieproces te starten. | * Zie ook tabel 1, maatregel A | V | V | V |
I | Accreditatie van ICT-voorzieningen worden periodiek of na een concrete aanleiding uitgevoerd, | * Zie ook tabel 1, maatregel A | V | V | V |
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.
Het waarborgen van een wederzijds vergelijkbaar beveiligingsniveau voor de vertrouwelijkheid bij communicatie van bijzondere informatie.
De vertrouwelijkheid van informatie moet gehandhaafd blijven tijdens (elektronisch) transport buiten gecontroleerd gebied. Voorzie in een passende set van maatregelen indien bijzondere informatie de organisatie of beveiligde omgeving verlaat.
Tabel 8: Minimale maatregelen voor verzending van gerubriceerde informatie.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
Controles op documenten en gegevensdragers: | |||||
A | Af te stoten gegevensdragers worden eerst gewist met een door de BVA voor de desbetreffende rubricering goedgekeurde methode. | V | V | V | |
B | Af te stoten gegevensdragers worden fysiek vernietigd. | V | |||
C | De hoogste rubricering van informatie wordt op gegevensdragers aangegeven. | V | V | V | V |
D | Elk document is tenminste voorzien van: • Rubriceringsniveau; • Rubriceringsduur; • Vaststeller (functie) van de rubricering; • Datum vaststelling; • Bladzijdenummering en totaal aantal bladzijden waaruit het document bestaat. | V | V | V | V |
E | Een gegevensverzameling (ongeacht welke vorm) is tenminste voorzien van (meta) gegevens van: • Rubriceringsniveau; • Rubriceringsduur; • Vaststeller (functie) van de rubricering; • Datum vaststelling; • Omvang. | V | V | V | V |
F | Gegevensdragers die onversleutelde bijzondere informatie bevatten en afgedrukte informatie in documentvorm worden beveiligd bewaard. | V | V | V | V |
G | Er worden niet meer kopieën van bijzondere informatie gemaakt dan strikt noodzakelijk. | V | V | V | V |
H | Informatie wordt alleen gedeeld op basis van de verspreidingscriteria van de opsteller. | V | V | V | V |
I | Bij het overnemen van tekstpassages, blijft het rubriceringsniveau van het origineel onverkort van kracht. | V | V | V | V |
J | Informatie (inclusief gegevensdragers) wordt vernietigd door middel van een door de BVA voor de desbetreffende rubricering goedgekeurde wijze waarvan vooraf, door onafhankelijke deskundigen, is aangetoond dat reconstructie van de informatie wordt voorkomen. | V | V | V | V |
K | Van alle exemplaren van documenten met bijzondere informatie worden de volgende gegevens vastgelegd: • Uniek exemplaarnummer; • Opsteller; • Ontvanger; • De in het oorspronkelijke document gebruikte merkingen (zoals ‘Vrij te geven aan’, ‘Releaseable to’ of ‘REL’). | V | V | V | |
L | Het bijmaken van kopieën en/ of reproducties (zowel fysiek als digitaal) van bijzondere informatie wordt geregistreerd. | V | V | ||
M | Het kopiëren en/of reproduceren van bijzondere informatie is voorbehouden aan daartoe aangewezen personen. | V | V | ||
N | Van vernietiging van bijzondere informatie wordt een proces-verbaal opgemaakt. | V | V | ||
Registratie – de verblijfplaats van de informatie is traceerbaar: | |||||
O | Geregistreerd wordt welke persoon de informatie onder zijn berusting heeft. | V | V | ||
P | Geregistreerd wordt welke persoon de informatie heeft ingezien. | V | V | ||
Fysiek transport: De beveiliging van informatie moet tijdens fysiek transport buiten gecontroleerd gebied gehandhaafd blijven: | |||||
Q | Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen zoals sealbags of andere verzegelingen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is. | V | V | V | V |
R | Verzending wordt gereed gemaakt door daartoe aangewezen personen c.q. afdeling. | V | V | V | V |
S | Verzending vindt nationaal plaats per aangetekende en traceerbare verzending of door een BVA goedgekeurde commerciële koerier. | V | |||
T | Verzending vindt internationaal plaats per aangetekende en traceerbare verzending of als onbegeleide diplomatieke zending. | V | |||
U | Verzending vindt zowel binnen als buiten Nederland plaats per door het ministerie aangewezen koerier. | V | |||
V | De ontvanger verstuurt een ontvangstbevestiging naar de verzender. | V | V | ||
W | Transport vindt binnen Nederland plaats per door het ministerie aangewezen koerier. | V | |||
X | Transport vindt buiten Nederland plaats per koerier1 als diplomatieke zending. | V | |||
Materiaal dat niet met de voorafgaande methoden kan worden verzonden: | |||||
Y | Wordt verzonden per door de BVA goedgekeurde koerier. | V | V | ||
Z | Wordt verzonden per Nederlands of bondgenootschappelijk militair transport of per door de SG goedgekeurde koerier. | V | V | ||
Meenemen van bijzondere informatie buiten gecontroleerd gebied (plaats van tewerkstelling): | |||||
A1 | Bijzondere informatie wordt uitsluitend meegenomen buiten de daarvoor aangewezen zones indien dit voor de voortgang van de werkzaamheden noodzakelijk is en hiervoor door de lijnmanager toestemming is verleend. | V | V | ||
B1 | Token voor de toegang tot de informatie wordt gescheiden van de informatie meegenomen. | V | V | ||
C1 | De BVA stelt voorschriften op voor het registreren van het meenemen. | V | V | ||
D1 | Bijzondere informatie wordt niet buiten de daarvoor aangewezen zones of locaties meegenomen. Transport vindt plaats op de hiervoor beschreven wijze. | V | |||
Elektronisch transport: De beveiliging van informatie moet tijdens elektronisch transport buiten gecontroleerd gebied gehandhaafd blijven: | |||||
E1 | De rubricering wordt samen met de informatie verzonden. | V | V | V | V |
F1 | Het versturen van berichten wordt geregistreerd. | V | V | V | |
G1 | De ontvangst van het bericht wordt geregistreerd. | V | V | V | |
H1 | De ontvangst van het bericht wordt bevestigd. | V | V | ||
Vertrouwelijkheid van informatie over netwerken: | |||||
I1 | Bijzondere informatie die wordt verspreid via netwerken wordt vercijferd2. | V | V | V | V |
J1 | Het vercijfermiddel is door de Minister van Binnenlandse Zaken en Koninkrijksrelaties goedgekeurd voor de betreffende rubricering. Voor Defensie geldt goedkeuring door de eigen BA. | V | V | V | |
K1 | De goedkeuring van een (cryptografisch) beveiligingsmiddel gebeurt door het hoofd van de AIVD namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, op basis van advies van de Werkgroep Bijzondere Informatiebeveiliging (WBI) of diens rechtsopvolger, na evaluatie door de Unit Weerbaarheid van de AIVD3. Voor Defensie gebeurt de goedkeuring door de BA Defensie. | V | V | V | V |
L1 | De bescherming van cryptografische middelen geschiedt conform VBV 41000. | V | V | V | V |
M1 | Digitale verwerking van informatie die krachtens een verdrag of een internationale overeenkomst is verkregen, dient met door de verstrekkende instantie goedgekeurde cryptografische middelen te geschieden. | V4 | V4 | V | V |
N1 | Digitale verwerking van bijzondere informatie dient met goedgekeurde (cryptografische) beveiligingsmiddelen te geschieden, in overeenstemming met de bijbehorende inzetadviezen en verbindingsbeveiligingsvoorschriften. De Secretaris-generaal van het ministerie verleent toestemming voor de inzet van (cryptografische) beveiligingsmiddelen voor digitale verwerking van bijzondere informatie, met inachtneming van maatregelen K1 en O1. | V5 | V | V | V |
O1 | Voor het gebruik en de inzet van (cryptografische) beveiligingsmiddelen voor ICT-voorzieningen wordt advies ingewonnen van de Unit Weerbaarheid van de AIVD. | V | V | V |
1 Het verzenden per koerier als diplomatieke zending vindt plaats door tussenkomst van het Ministerie van Buitenlandse Zaken, een diplomatieke of beroeps consulaire vertegenwoordiger van Nederland, de Gouverneur van Aruba, Gouverneur van Bonaire of de Gouverneur van Curaçao.
2 Dep. VERTROUWELIJK gerubriceerde informatie hoeft niet vercijferd te worden indien verzending plaatsvindt via een intern netwerk dat zich binnen één locatie bevindt.
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
3 Zie ook Instellingsregeling WBI, Staatscourant 2005, 139 pagina 8.
4 Voor equivalenten van Dep. VERTROUWELIJK en Stg. CONFIDENTIEEL geldt dat binnen Nederland ook nationaal goedgekeurde (cryptografische) beveiligingsmiddelen mogen worden ingezet.
5 Voor DepV kan de toestemmingsverlening gedelegeerd worden aan de BVA.
Risico's voor bijzondere informatie worden procesmatig beheerst.
Voorzie in maatregelen die duidelijke en veilige beheersing van, omgang met, kopiëring en vernietiging van bijzondere informatie mogelijk maken.
Tabel 9: Minimale maatregelen voor beheer van bijzondere informatie.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Er is een register van bijzondere informatie, inclusief datum van afgifte, persoon van afname, datum van teruggave en status van vernietiging. | V | V | V |
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Het waarborgen van een gedegen detectie, afhandeling, melding, en opvolging van incidenten en compromitteringen met betrekking tot bijzondere informatie.
Voorzie in maatregelen die in het geval van incidenten en compromittering voorzien in detectie en de impact minimaliseren en isoleren.
Voorzie in maatregelen die in het geval van incidenten en compromittering degelijk forensisch onderzoek hiernaar mogelijk maken.
Tabel 10: Minimale maatregelen voor beheersing van incidenten en compromittering.
Dep.V | Stg.C | Stg.G | Stg.ZG | ||
|---|---|---|---|---|---|
A | Incidenten en compromittering van bijzondere informatie worden direct gemeld aan de BVA, die dit meldt bij de aangewezen toezichthouders. Zie Artikel 8, lid 2. | V | V | V | V |
B | Incidenten en compromittering van bijzondere informatie worden tijdig door de BVA/BA gemeld aan de eigenaar van de bijzondere informatie. | V | V | V | V |
C | Incidenten en compromittering van bijzondere informatie die verkregen is krachtens een verdrag worden direct gemeld bij de NSA. Voor Defensie betreft dat de NSA Militair. | V | V | V | V |
D | Specifieke normen en maatregelen die genomen dienen te worden ter voorbereiding op en mitigatie van incidenten en compromittering van bijzondere informatie, worden beschreven in een Verbindings Beveiligings Voorschrift (VBV). Dit voorschrift wordt nog vastgesteld door de Unit Weerbaarheid (UWB) van de AIVD. | V | V | V | V |
E | Er is een register bij de BVA/BA van alle meldingen en signalen van (mogelijke) incidenten of compromittering verband houdend met bijzondere informatie. | V | V | V |
Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
Regelgeving die op dit is gebaseerd (gedelegeerde regelgeving)
Geen
Beleidsregels en circulaires die dit als wettelijke bevoegdheid hebben
Geen
Artikelen of vergelijkbare tekst die verwijzen naar dit
(10-09-2025)
Datum van inwerking- treding | Terugwerkende kracht | Betreft | Ondertekening | Bekendmaking | Kamerstukken | Ondertekening | Bekendmaking | Opmerking |
09-09-2025 | nieuwe-regeling | 21-08-2025 | 21-08-2025 |
