Communication and Information Systems
Beveiliging van IT-systemen
In een wereld waar cyberaanvallen steeds vaker voorkomen, is het van cruciaal belang om te zorgen voor de beveiliging van communicatie- en informatiesystemen (CIS) die geclassificeerde informatie verwerken, opslaan of verzenden.
Een communicatie- en informatiesysteem is een digitaal of IT-systeem, gaande van één enkele standalonecomputer tot een computernetwerk dat uit meerdere servers en toestellen bestaat.
De meest voorkomende beveiligingsvereisten voor een CIS zijn:
- Vertrouwelijkheid: de verwerkte, opgeslagen of verzonden informatie mag niet begrijpelijk zijn voor derden.
- Integriteit: de informatie mag niet door derden zijn gewijzigd.
- Beschikbaarheid: het CIS moet bruikbaar zijn op de geplande uren en plaatsen.
- Authenticatie: de identiteit van de gebruiker moet worden gecontroleerd.
- Onweerlegbaarheid: de zekerheid dat de gebruiker niet kan ontkennen een handeling in een CIS te hebben uitgevoerd.
Er bestaan talrijke maatregelen om aan deze beveiligingsvereisten te voldoen, waaronder (maar niet beperkt tot):
- Encryptie
- TEMPEST-maatregelen (beveiliging van systemen tegen ongewenste elektromagnetische straling)
- Bescherming van computernetwerken
- Bescherming van end devices
- Identity and access management (IAM)
- Risicoanalyses
- Beveiligingsaudits
- Pen testing
Toepassing van goedkeuringsprocedures
Om te waarborgen dat aan deze beveiligingsvereisten wordt voldaan, moet een CIS worden goedgekeurd alvorens het geclassificeerde informatie mag verwerken. De goedkeuring van een CIS wordt in de Belgische wet (wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen en de publiek gereguleerde dienst) gedefinieerd als ‘de officiële toelating om een communicatie- en informatiesysteem te hanteren voor de aanwending van geclassificeerde informatie nadat dit systeem werd onderworpen aan een goedkeuringsprocedure’. Deze goedkeuring moet op regelmatige tijdstippen worden hernieuwd.
De NVO is de instantie die bevoegd is om goedkeuringen van een CIS af te geven, te wijzigen, op te schorten of in te trekken. De goedkeuringsprocedure is gebaseerd op een beoordeling van documentatie, een terreinonderzoek, interviews, controle van de risicobeoordeling en het risicobeheer en op technische tests. Deze procedure verschilt naargelang het soort CIS. Wij vragen u dan ook om contact op te nemen met de CIS-sectie van de NVO om te weten welke goedkeuringsprocedure op uw CIS van toepassing is via Contact.
TEMPEST-maatregelen (bescherming tegen technische surveillance, onderschepping en spionage)
Vanaf het niveau "Vertrouwelijk" moeten geclassificeerde IT-systemen ook worden beschermd tegen de ongewenste emissie van straling die kan worden onderschept of gemonitord. Deze straling kan uit verschillende soorten golven bestaan: elektromagnetische golven, radiogolven, geluidsgolven of trillingsgolven.
Deze bescherming, TEMPEST genaamd, kan op twee verschillende manieren gebeuren. De eerste oplossing is zoning, waarbij een voldoende grote veiligheidsperimeter rond de te beschermen IT-systemen wordt ingesteld om ervoor te zorgen dat de straling voldoende wordt verminderd. De tweede oplossing is specifiek IT-materiaal (‘TEMPEST niveau A, B of C’) gebruiken dat deze ongewenste straling vermindert op een wijze die gelijkwaardig is aan zoning.
De NVO, die optreedt als National TEMPEST Authority, moet de zoning-procedures bij de geaudite entiteiten controleren. Ze stelt ook een lijst op van bedrijven die geaccrediteerde TEMPEST-uitrusting produceren. Ter informatie, de TEMPEST-bedrijven die door de NAVO en door de EU werden geaccrediteerd, zijn:
Retributies
Ingevolge de publicatie op 28 december 2023 van het koninklijk besluit van 5 december 2023 tot vaststelling van de bedragen van de retributies die verschuldigd zijn ter uitvoering van artikel 22octies van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen en de publiek gereguleerde dienst werden de bedragen van de retributies voor de goedkeuringen van communicatie- en informatiesystemen als volgt vastgelegd:
- 250 euro voor de goedkeuring van een niet-geïnterconnecteerd CIS van het classificatieniveau "Vertrouwelijk", "Geheim" of "Zeer geheim";
- 1000 euro voor de goedkeuring van een geïnterconnecteerd CIS.
De retributies worden jaarlijks op 1 januari aangepast aan de evolutie van de gezondheidsindex van de maand september van het voorgaande jaar. De referentie-index is die van september 2023.