Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013)

Geraadpleegd op 28-03-2024.
Geldend van 01-06-2013 t/m heden

Besluit van de Minister-President, Minister van Algemene Zaken van 1 juni 2013, nr. 3124134, houdende voorschrift informatiebeveiliging Rijksdienst – bijzondere informatie 2013

De Minister-President, Minister van Algemene Zaken,

Handelend in overeenstemming met het gevoelen van de ministerraad,

Besluit:

Artikel 1. Begripsbepalingen

In dit besluit wordt verstaan onder:

  • a. Bijzondere informatie: informatie waar kennisname door niet geautoriseerden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries;

  • b. Compromittering: kennisname dan wel mogelijkheid tot kennisname van bijzondere informatie door niet geautoriseerden;

  • c. Rubriceren: bepalen van het rubriceringsniveau en -duur van de bijzondere informatie op basis van de te verwachten nadelige gevolgen voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries als (een deel van) deze informatie bekend wordt bij niet geautoriseerden;

  • d. Rubriceringsniveau: aanduiding van de verwachte nadelige gevolgen aan de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries als (een deel van) de informatie bekend wordt bij niet geautoriseerden;

  • e. Rubriceringsambtenaar: ambtenaar bevoegd tot het vaststellen van rubriceringen, hiertoe aangewezen door de secretaris-generaal;

  • f. Vaststeller van de rubricering: minister, staatssecretaris, secretaris-generaal of een door de secretaris-generaal aangewezen rubriceringsambtenaar;

  • g. Rijksdienst: alle organisatieonderdelen waarvoor de ministeriële verantwoordelijkheid onverkort geldt.

  • h. Zorgdrager: degene die bij of krachtens de wet belast is met de zorg voor de archiefbescheiden.

Artikel 2. Plaatsbepaling en reikwijdte

  • 1 Dit voorschrift met de bijbehorende toelichting en bijlage 1 geldt voor de Rijksdienst, waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.

  • 3 Bijzondere informatie die krachtens een internationaal verdrag of overeenkomst is verkregen, behoudt de toegekende rubricering en wordt beveiligd volgens het overeenkomstige nationale beveiligingsniveau. Voor zover voor de beveiliging van dergelijke informatie als gevolg van het verdrag of de overeenkomst afwijkende of verdergaande beveiligingsbepalingen bestaan worden deze bepalingen toegepast.

Artikel 3. Beveiligingsbeleid

Het beveiligingsbeleid dat door de secretaris-generaal wordt vastgesteld omvat ten minste de ministeriële uitgangspunten voor de beveiliging van, de toegang tot, het omgaan met en verwerken van bijzondere informatie zoals bedoeld in dit voorschrift en de wijze waarop:

  • a. het ministerie informatie rubriceert;

  • b. de secretaris-generaal vooraf toestemming verleent voor het verwerken van bijzondere informatie;

  • c. het ministerie toezicht uitoefent op de beveiliging van bijzondere informatie.

Artikel 4. Rubriceringen

  • 1 Informatie waarvan de geheimhouding vanwege het belang van de Staat, zijn bondgenoten of van één of meer ministeries is geboden, moet worden voorzien van een passend niveau van rubricering.

  • 2 Bijzondere informatie wordt als volgt gerubriceerd:

    • a. Staatsgeheim ZEER GEHEIM (afgekort Stg.ZG)

      Indien kennisname door niet geautoriseerden zeer ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten

    • b. Staatsgeheim GEHEIM (afgekort Stg.G)

      Indien kennisname door niet geautoriseerden ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten

    • c. Staatsgeheim CONFIDENTIEEL (afgekort Stg.C)

      Indien kennisname door niet geautoriseerden schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten

    • d. Departementaal VERTROUWELIJK (afgekort Dep.V.).

      Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries.

  • 3 De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.

Artikel 5. Herzien en beëindigen van de rubricering

  • 1 Rubriceringen worden verbonden aan een maximum tijdsverloop of aan een bepaalde gebeurtenis. Na die periode of na die gebeurtenis weegt de vaststeller voor bijzondere informatie af of herziening, dan wel beëindiging van de rubricering, aan de orde is.

  • 2 Van het eerste lid van deze bepaling kan worden afgeweken in die gevallen waarin de rubricering betrekking heeft op:

    • a. Bijzondere informatie die krachtens een internationaal verdrag of overeenkomst is verkregen;

    • b. Staatsgeheimen die door de wet als zodanig zijn aangewezen.

  • 3 Uitsluitend de vaststeller van de rubricering is bevoegd de rubricering te herzien of te beëindigen.

  • 4 Bij overbrenging van bijzondere informatie naar een rijksarchiefbewaarplaats als bedoeld in de Archiefwet 1995 vervalt de rubricering, tenzij de zorgdrager, na advies van de algemene rijksarchivaris, bepaalt dat deze gehandhaafd dan wel herzien moet worden.

Artikel 6. Eisen aan de beveiliging

  • 1 Bijzondere informatie wordt zodanig beveiligd dat:

    • a. alleen personen die daartoe zijn geautoriseerd deze kunnen behandelen of inzien voor zover dit noodzakelijk is voor een goede uitoefening van hun taak en

    • b. dat inbreuken op de beveiliging worden gedetecteerd en gedegen onderzoek naar (mogelijke) inbreuken mogelijk is.

  • 2 De beveiliging is ingericht op basis van risicomanagement.

  • 3 Bijzondere informatie die krachtens een internationaal verdrag of een internationale overeenkomst is verkregen wordt uitsluitend verwerkt nadat de autoriteit, die krachtens het betreffende verdrag verantwoordelijk is voor de beveiligingsregels ter bescherming van bijzondere informatie, haar goedkeuring aan de beveiliging heeft gegeven.

Artikel 7. Buiten de rijksdienst brengen van bijzondere informatie

  • 1 Bij het buiten de rijksdienst brengen van bijzondere informatie, anders dan op grond van een wettelijke verplichting tot openbaarmaking, blijven de eisen aan de beveiliging en het toezicht daarop onverkort van kracht.

  • 2 Bijzondere informatie die krachtens een internationaal verdrag of een internationale overeenkomst is verkregen wordt uitsluitend na voorafgaande toestemming van het land of de internationale organisatie van herkomst doorgegeven aan externe partijen.

Artikel 8. Compromittering van bijzondere informatie

  • 1 Elke ambtenaar is verplicht de Beveiligingsambtenaar (BVA) onmiddellijk mededeling te doen van een inbreuk op de beveiliging die redelijkerwijs kan leiden, dan wel vermoedelijk of vaststaand heeft geleid, tot compromittering van bijzondere informatie.

  • 2 De BVA laat, nadat hij op de hoogte is gebracht van een inbreuk op de beveiliging, onmiddellijk (nood)maatregelen treffen om verdere inbreuk te voorkomen.

  • 3 De BVA onderzoekt of compromittering van bijzondere informatie heeft plaatsgevonden; indien dit het geval is doet hij hiervan mededeling aan de secretaris-generaal en adviseert over de noodzaak tot het instellen van een commissie van onderzoek.

  • 4 Indien de compromittering betrekking heeft op bijzondere informatie die is verkregen van een ander ministerie of krachtens internationaal verdrag of overeenkomst, doet de BVA bovendien mededeling aan dat betreffende ministerie of de krachtens het verdrag of de overeenkomst voor de beveiliging van die bijzondere informatie verantwoordelijke instantie.

Artikel 9. Commissie van onderzoek

  • 1 Een commissie van onderzoek wordt ingesteld door de secretaris-generaal.

  • 2 De commissie stelt een onderzoek in naar:

    • a. de wijze waarop de compromittering heeft plaatsgevonden;

    • b. de aard en de omvang van de schade aan de belangen van de Staat of zijn bondgenoten;

    • c. de te nemen maatregelen om de schade te beperken en herhaling te voorkomen.

  • 3 De commissie voert, indien de gecompromitteerde bijzondere informatie (mede) afkomstig is van een ander ministerie, haar onderzoek uit in overleg met de BVA van dat ministerie. In het geval dat de gecompromitteerde bijzondere informatie krachtens een internationaal verdrag of overeenkomst is verkregen voert de commissie haar onderzoek uit in samenwerking met de instantie die krachtens het verdrag of de overeenkomst verantwoordelijk is voor de beveiliging ervan.

  • 4 De secretaris-generaal of een door hem aangewezen ambtenaar treft, op basis van de bevindingen van de commissie van onderzoek, maatregelen om de schade die de compromittering heeft toegebracht aan de veiligheid of andere gewichtige belangen van de Staat of zijn bondgenoten te beperken en herhaling van de compromittering te voorkomen.

  • 5 Indien het de compromittering van een staatsgeheim betreft stelt de secretaris-generaal het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst in kennis van de uitkomsten van het onderzoek. Bij het ministerie van Defensie wordt de Militaire Inlichtingen- en Veiligheidsdienst op de hoogte gesteld van de uitkomsten van het onderzoek.

Artikel 10. Slotbepaling

  • 2 Rubriceringen die zijn vastgesteld vóór inwerkingtreding van dit voorschrift worden uiterlijk tien jaar na vaststelling door de vaststeller onderzocht op de mogelijkheid om de rubricering te herzien of te beëindigen.

  • 3 Dit besluit en de daarbij behorende bijlagen treden in werking met ingang van 1 juni 2013.

  • 4 Dit besluit wordt aangehaald als: Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013).

  • 5 Dit besluit zal met de toelichting in de Staatscourant worden geplaatst. Van de ter inzage legging van de bij dit besluit behorende bijlagen zal mededeling worden gedaan in de Staatscourant.

De

Minister-President, Minister

van Algemene Zaken,

M. Rutte

Bijlage 1. Uitgangspunten en minimum niveau beveiliging

Deze bijlage beschrijft de uitgangspunten en het minimum beveiligingsniveau voor de beveiliging van bijzondere informatie. Bij de inrichting van een adequaat stelsel van beveiligingsmaatregelen voor de beveiliging van bijzondere informatie moet binnen het in de artikelen beschreven principe van risicomanagement worden uitgegaan van de volgende inrichtingsprincipes:

  • Beveiliging in lagen: De beveiliging zal bestaan uit meerdere lagen, zodat er geen afhankelijkheid is van één beveiligingsmaatregel.

  • Minste privilege: Alleen de autorisaties die iemand nodig heeft om zijn taak te kunnen vervullen, zullen worden toegekend;

  • Zelf beschermende systemen: Ieder systeem beschouwt andere systemen als onvertrouwd totdat het tegendeel is bewezen en treft maatregelen om veilig informatie uit te kunnen wisselen met wel vertrouwde systemen indien deze communicatie via onvertrouwde systemen verloopt.

  • Verificatie implementatie beveiliging: De maatregelen voor beveiliging van bijzondere informatie worden onder de verantwoordelijkheid van de BVA of de accreditatieautoriteit periodiek gecontroleerd.

Deze inrichtingprincipes moeten stringenter worden toegepast naarmate het niveau van de rubricering toeneemt.

Voor de volgende onderwerpen, die grotendeels afkomstig zijn uit de Code voor Informatiebeveiliging, zijn specifiek op bijzondere informatie toegesneden doelstellingen en eisen geformuleerd waaraan dient te worden voldaan. Waar aan de orde zijn daarbij ook maatregelen benoemd die ten minste deel uit moeten maken van de totale set van maatregelen om de vertrouwelijkheid van bijzondere informatie te waarborgen.

Hiermee is voor alle betrokkenen inzichtelijk gemaakt wat minimaal wordt verlangd op het gebied van beveiliging voor de verschillende rubriceringen op grond van dit voorschrift. Tevens is op efficiënte wijze de toepassing van een uniforme set van minimale maatregelen gedefinieerd waardoor waarborgen zijn gecreëerd voor een consistente beveiliging van bijzondere informatie.

1. Management van bedrijfsmiddelen

Doelstelling

Het handhaven van een adequaat, ordelijk en controleerbaar beheer van bedrijfsmiddelen waarop bijzondere informatie wordt verwekt.

Eis

Bedrijfsmiddelen waarop bijzondere informatie wordt verwerkt, dienen te zijn geregistreerd en aan een 'eigenaar" te zijn toegewezen. Daarbij is onderkend welke van deze bedrijfsmiddelen specifieke beveiligingsmaatregelen behoeven.

 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Registreer alle middelen en de personen aan wie deze zijn uitgereikt.

   

V

V

B

Maatregel

Registreer de locatie/standplaats van alle middelen en de toewijzing aan een eigenaar.

   

V

V

2. Personen

Doelstelling

Organisaties moeten zekerstellen dat personen hun verantwoordelijkheden kennen en geschikt zijn voor de rol die zij vervullen evenals het beperken van de risico's van menselijk handelen.

Eis

Elk persoon die frequent gaat werken met bijzondere informatie, dient voorafgaand aan indiensttreding een aan zijn functievervulling gerelateerd betrouwbaarheidsonderzoek te ondergaan. Voor het bepalen of een functie als vertrouwensfunctie moet worden aangewezen, dient de betreffende leidraad aanwijzen vertrouwensfuncties van de AIVD (civiele sector) en MIVD (militaire sector) te worden gevolgd.

Bij beëindiging of wijziging van het dienstverband waarin gewerkt is met bijzondere informatie, wordt zeker gesteld dat de geheimhoudingsplicht geborgd is.

Van elk persoon die frequent werkt met bijzondere informatie moet geborgd zijn dat deze over een aan zijn functievervulling gerelateerd, actueel betrouwbaarheidsonderzoek beschikt.

 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Personen die hebben te maken met bijzondere informatie, dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.

V

V

V

V

B

Maatregel

Personen die frequent hebben te maken met bijzondere informatie dienen tevens te beschikken over een passende verklaring.

VOG1

VGB2

VGB2

VGB2

C

Maatregel

Bij beëindiging van een functie waarbij iemand in aanraking komt met bijzondere informatie wordt zeker gesteld dat de betreffende persoon geen toegang meer heeft tot die informatie, noch deze in zijn / haar bezit heeft.

V

V

V

V

1 Verklaring omtrent het gedrag

2 Verklaring van geen bezwaar conform de Wet op de veiligheidsonderzoeken

3. Fysieke en omgevingsbeveiliging

Doelstelling

Het waarborgen van toereikende weerstand tegen (pogingen tot) ongeautoriseerde fysieke toegang van locaties, gebouwen en ruimtes (waaronder kluizen) waar zich bijzondere informatie bevindt.

Eis

Voor elke locatie, gebouw en ruimte waar zich bijzondere informatie bevindt, dient systematisch de beveiligingsmaatregelen in beeld te zijn gebracht voor fysieke toegangsbeheersing. Hierbij is ten minste voorzien in:

  • Het aanbrengen van zonering c.q. compartimentering.

  • Het detecteren van ongeautoriseerde toegangen of pogingen daartoe.

  • Het regelen van een ordelijk toegangsbeleid en sleutelbeheer.

  • Het uitoefenen door bewakingspersoneel van toezicht buiten reguliere werktijden.

  • Het toewijzen van ruimten waar met bijzondere informatie mag worden gewerkt.

Ten aanzien van zonering kunnen de diverse beveiligingszones worden onderkend, waarbij om toegang te krijgen tot ruimtes waarin bijzondere informatie wordt verwerkt, steeds zwaardere beveiligingsmaatregelen worden getroffen.

   

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Bijzondere informatie wordt zodanig behandeld en opgeslagen dat er een positief beveiligingsrendement1 is, op basis van schadeacceptatie en het dreigingsprofiel.

V

V

V

V

B

Maatregel

Tempestmaatregelen conform Beleidsadvies Compromitterende straling (VBV 32000).

 

V

V

V

C

Maatregel

Tegengaan van afluisteren, zicht op en reflectie van informatie (bv via beeldschermen of spiegelende oppervlakten).

 

V

V

V

D

Maatregel

De medewerker verantwoordelijk voor de verwerking van bijzondere informatie, dient zorg te dragen dat bezoekers geen kennis kunnen nemen van de bijzondere informatie die hij onder zijn beheer heeft.

V

V

V

V

E

Maatregel

Bezoekers worden begeleid wanneer zij ruimten waarin bijzondere informatie aanwezig is, betreden.

 

V

V

V

F

Maatregel

Bezoekers worden geregistreerd indien zij toegang (kunnen) hebben tot bijzondere informatie in ruimten die zij betreden, als de toegang tot die informatie niet op andere wijze kan worden voorkomen (bv kast/kluis/etc.).

   

V

V

1 Zie hiervoor toelichting artikel 3 onder b.

4. Logische toegangsbeveiliging

Doelstelling

Het waarborgen van een beheerste en gecontroleerde toegang tot ICT-voorzieningen waarin zich bijzondere informatie bevindt.

Eisen

Voorzie in procedures en regels voor toegangsrechten tot en monitoring van netwerkdiensten, besturingssystemen en applicaties waar zich gerubriceerde informatie bevindt.

Voorzie in een stelsel van logische toegangsbeveiligingsmaatregelen dat is gerelateerd aan de relevante dreiging en het rubriceringniveau.

 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Toegang tot een account wordt na een aantal direct achtereenvolgende foutieve inlogpogingen geblokkeerd.

5

3

3

3

B

Maatregel

Toegang tot systemen kan op groepsniveau worden bepaald.

V

V

V

niet toegestaan

C

Maatregel

Toegang tot bijzondere informatie wordt op individueel niveau bepaald.

   

V

V

5. Levenscyclus ICT-voorzieningen

Doelstelling

Het waarborgen van een passend niveau van beveiliging gedurende de gehele levenscyclus van ICT-voorzieningen waarin bijzondere informatie wordt verwerkt.

Eis

Voorafgaand aan verwerving, ontwikkeling, onderhoud en afstoot van informatiesystemen waarin bijzondere informatie wordt verwerkt, dienen de dreigingen en risico’s in beeld te zijn gebracht.

 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Gedurende de gehele levenscyclus van een systeem worden periodieke audits, inspecties, reviews en tests uitgevoerd om te controleren of de beveiligingsmaatregelen effectief zijn.

Deze controles worden uitgevoerd door deskundige specialisten die beschikken over de juiste onderzoeksmiddelen en beproefde onderzoeksmethoden.

Self assessment

Self assessment

Onafhankelijke deskundige

Onafhankelijke deskundige

B

Maatregel

De verantwoordelijkheden en procedures voor het adequaat beheer en juist gebruik van de ICT-voorzieningen waarin bijzondere informatie wordt verwerkt, zijn vastgesteld.

V

V

V

V

C

Maatregel

Voor het beheer van ICT-voorzieningen is het beveiligingsniveau in overeenstemming met de risico's.

V

V

V

V

D

Maatregel

Bij uitbesteding van (delen van) de dienstverlening dient een zelfde beveiligingsniveau te worden gerealiseerd als geldt bij de interne dienstverlening.

V

V

V

V

6. Verzending van gerubriceerde informatie

Doelstelling

Het waarborgen van een wederzijds verenigbaar beveiligingsniveau voor de vertrouwelijkheid van bijzondere informatie.

Eisen

Er dient te zijn voorzien in een passende set van verenigbare maatregelen indien bijzondere informatie het ministerie verlaat.

De vertrouwelijkheid van informatie moet tijdens (elektronisch) transport buiten gecontroleerd gebied gehandhaafd blijven

 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Maatregel

Digitale verzending van bijzondere informatie dient met ministerieel goedgekeurde cryptografische middelen te geschieden. De ministeriële goedkeuring vindt plaats op basis van advies van de Werkgroep Bijzondere Informatiebeveiliging (WBI) of diens rechtsopvolger over de beveiligingswaarde van de cryptografische middelen.

 

V

V

V

B

Maatregel

Digitale verzending van informatie die krachtens een internationaal verdrag of een internationale overeenkomst is verkregen, dient met door de verstrekkende instantie goedgekeurde cryptografische middelen te worden verzonden.

   

V

V

C

Maatregel

Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.

V

V

V

V

D

Maatregel

Fysieke verzending geschiedt door:

• een geautoriseerde medewerker, waarbij de informatie te allen tijde onder beheer van de drager blijft en niet wordt geopend tijdens transport.

• fysieke verzending geschiedt met een ministerieel goedgekeurde koerier.

• een militaire, overheids- of diplomatieke koerier.

 

V

V

nvt

E

Maatregel

Nationale verzending uitsluitend via een overheidskoerier.

     

V

F

Maatregel

Internationale verzending uitsluitend als diplomatieke koeringszending of militair transport.

     

V

G

Maatregel

Zowel digitaal als niet digitaal is er een onweerlegbare bevestiging van ontvangst.

 

V

V

V

H

Maatregel

Beveiligingsrelevante handelingen worden geregistreerd.

V

V

V

V

I

Maatregel

Het maken, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling en vernietigen van bijzondere informatie wordt vastgelegd.

   

V

V

J

Maatregel

Elk document moet tenminste bij verspreiding voorzien zijn van:

• Rubriceringsniveau;

• Rubriceringsduur;

• Bladzijdenummering en totaal aantal bladzijden waaruit het document bestaat;

V

V

V

V

K

Maatregel

Elk document wordt voorzien van:

• Exemplaarnummer.

 

V

V

V

L

Maatregel

Van alle exemplaren van bijzondere documenten worden de volgende gegevens vastgelegd:

• Exemplaarnummer;

• Maker;

• Ontvanger.

 

V

V

V

M

Maatregel

Er worden niet meer kopieën van bijzondere informatie gemaakt dan strikt noodzakelijk.

 

V

V

V

Naar boven