Voorschrift Informatiebeveiliging Rijksdienst

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Het Voorschrift Informatiebeveiliging Rijksdienst (VIR) is een op 1 januari 1995 van kracht geworden besluit dat regelt hoe de Nederlandse Rijksoverheid omgaat met de beveiliging van haar informatie, waaronder gerubriceerde of geclassificeerde informatie.

Algemeen[bewerken]

Het VIR is geen lijst met maatregelen die moeten worden doorgevoerd maar geeft een klein aantal basisregels. Het VIR is een doelstellende regeling, die veel overlaat aan de verantwoordelijke beheerders zelf. De regeling stelt minimumeisen aan het te ontwikkelen beveiligingsbeleid binnen een ministerie. Daarnaast worden eisen gesteld aan het stelsel van maatregelen dat dit beleid in de praktijk moet brengen.

De eerste versie van het VIR (VIR 1994) was geldig van 1 januari 1995 tot 30 juni 2007. Op 1 juli 2007 is vervolgens de nieuwe versie van het VIR (VIR 2007) van kracht geworden.

Zoals beschreven in het Beveiligingsvoorschrift Rijksdienst is de rijksbeveiligingsambtenaar verantwoordelijk voor de realisatie van rijksbreed toezicht op de naleving van de Rijksbrede kaders.

Verantwoordelijkheden[bewerken]

In de VIR staat: 'Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen' en 'stelt op basis van een expliciete risicoafweging de betrouwbaarheidseisen voor zijn informatiesystemen vast'.

Het lijnmanagement is verantwoordelijk voor de kwaliteit van bedrijfsvoering. Die verantwoordelijkheid wordt verticaal in de lijn verdeeld, van organisatietop tot afdelingshoofd. Informatiebeveiliging geldt als een integraal onderdeel van de bedrijfsvoering. Zo is het lijnmanagement ook eindverantwoordelijk voor informatiebeveiliging.[1]

Staatsgeheimen[bewerken]

Voor de behandeling van vertrouwelijke informatie bij de Rijksoverheid is een aanvullende set van maatregelen van toepassing: Het Voorschrift Informatiebeveiliging Bijzondere Informatie (VIRBI).[2] In dit voorschrift wordt voor 4 categorieën van informatie extra eisen gesteld. Bijzondere informatie wordt als volgt gerubriceerd:

  • Departementaal VERTROUWELIJK (Dep.V.)
  • Staatsgeheim CONFIDENTIEEL (Stg.C)
  • Staatsgeheim GEHEIM (Stg.G)
  • Staatsgeheim ZEER GEHEIM (Stg.ZG)

Het VIRBI legt per beveiligingsniveau een niveau van beveiliging op aan de “beheerder” van vertrouwelijke informatie. Personen die frequent hebben te maken met bijzondere informatie dienen tevens te beschikken over een passende verklaring (VOG of VGB).

Toezicht op uitvoering[bewerken]

De departementale accountantsdiensten en de Algemene Rekenkamer controleren de uitvoering en de kwaliteit van de beveiligingsmaatregelen.

Baseline Informatiebeveiliging Rijksdienst (BIR)[bewerken]

Waar het VIR beschrijft aan welke eisen de beveiliging van een informatiesysteem moet voldoen gegeven de gevoeligheid van de informatie, is het ook nodig om algemene beveiligingsmaatregelen te hebben die van toepassing is op alle informatie (een baseline). Door de toename van gegevensuitwisseling tussen ministeries is het binnen de rijksoverheid steeds belangrijker geworden om deze maatregelen te standaardiseren. De BIR:2012 (Baseline Informatiebeveiliging Rijksdienst) is op basis van pas toe of leg uit en beschrijft deze algemeen te nemen maatregelen.

Het beoogde niveau van de baseline is "departementaal vertrouwelijk en WBP risicoklasse II", wat betekent dat alleen de georganiseerde criminaliteit en statelijke actoren mogelijk de middelen hebben om deze maatregelen te doorbreken. Voor hoger gerubriceerde informatie, of informatie waar een dreiging vanuit statelijke actoren of georganiseerde criminaliteit van toepassing is moeten dus extra maatregelen genomen worden zoals het VIR dat voorschrijft.

De baseline omvat een verplicht tactisch normenkader (BIR:2012 TNK) en een ondersteunende operationele handreiking (BIR-OH) die een groot deel van het tactisch kader dekt. De BIR is gebaseerd op ISO 27001.

De BIR:2012 is vervangen door de BIR2017.

De Baseline Informatiebeveiliging Overheid (BIO) is in ontwikkeling en gaat op termijn de BIR vervangen.[3]

Externe links[bewerken]