Beveiliging van ICT

De veiligheid van communicatie- en informatiesystemen die geclassificeerde informatie verwerken, opslagen of versturen wordt bepaald door de beschermingsmaatregelen die genomen werden om de beschikbaarheid, de integriteit en de vertrouwelijkheid van deze systemen te garanderen. De maatregelen worden toegepast op basis van een risicobeoordeling. Er zijn verschillende soorten maatregelen zoals het installeren van encryptieproducten of het beveiligen van systemen tegen ongewenste elektromagnetische stralingen. Het spreekt voor zich dat personen die geclassificeerde informatie digitaal verwerken zelf ook over een veiligheidsmachtiging moeten beschikken.

ICT beschermings- en encryptieproducten

Organisaties met beveiligde communicatie- en informatiesystemen moeten beschermingsproducten gebruiken die zijn goedgekeurd door de bevoegde Nationale Veiligheidsoverheid of internationale organisatie. U vindt informatie hierover onder meer terug in toegepaste regelgeving en in de veiligheidsinstructies van geclassificeerde contracten.

De Nationale Distributie Overheid (NDA) beheert het materiaal voor cryptografische bescherming van geclassificeerde informatie in België.

Voor de bescherming van nationale geclassificeerde informatie laat de Nationale Veiligheidsoverheid mits voorafgaandelijke toestemming ook het gebruik toe van ICT beveiligingsproducten  die werden goedgekeurd door de Raad van de Europese Unie of de NAVO.

 

TEMPEST maatregelen (bescherming tegen technische surveillance, afluisteren en spionnage)

Geclassificeerde informatie vanaf het niveau ‘vertrouwelijk’ moet ook beschermd worden tegen misbruik van ongewenste elektromagnetische stralingen. Dit gebeurt via beveiligingsmaatregelen die elektronische systemen beschermen tegen onder meer afluisteren en technische surveillance. Ook hier werken de Raad van de Europese Unie en de NAVO met producten van erkende bedrijven. Mits voorafgaande toestemming kan de Nationale Veiligheidsoverheid het gebruik van deze producten ook toestaan.

 

Homologatie van informatie- en communicatiesystemen 

Wanneer een bedrijf of administratie communicatie- en informatiesystemen gebruikt die geclassificeerde informatie verwerken, moeten deze vooraf worden goedgekeurd door de Nationale Veiligheidsoverheid (NVO). Bij de zogenaamde homologatie wordt via een risicobeoordeling nagegaan of communicatie- en informatiesystemen afdoende zijn beveiligd volgens de geldende normen. Alle interconnecties van communicatie- en informatiesystemen moeten ook gehomologeerd worden.

Als u een homologatie van een communicatie- en informatiesysteem wil aanvragen dient u het conformiteitsattest via uw lokale accreditatieoverheid (LSAA) over te maken aan de Nationale Veiligheidsoverheid. Op basis van dit attest en een audit beslist de Nationale Veiligheidsoverheid over de goedkeuring van uw  informatie- en communicatiesystemen.  

Een homologatie moet worden aangevraagd voor:

  • Nieuwe communicatie- en informatiesystemen
  • Verplaatsing van communicatie- en informatiesystemen of interconnecties
  • Invoering van goedgekeurde vaste capaciteiten (vb. invoering van webservers)
  • Invoering van nieuwe capaciteiten (vb. invoering van zelfontwikkelde software)

De homologatie van CIS en eventuele interconnecties verloopt in twee fasen:

1. Testfase 

Tijdens deze fase worden gedurende een beperkte periode testen uitgevoerd. In de testfase mag enkel niet geclassificeerde informatie worden uitgewisseld.

2. Homologatie

Tijdens de tweede fase wordt geëvalueerd of de homologatie kan worden toegestaan. Een homologatie is in principe geldig voor maximum 3 jaar.

In uitzonderlijke en zeer dringende gevallen waar uitstel ernstige schade zou veroorzaken kan een versnelde procedure worden toegepast. Homologatie kan dan na goedkeuring tijdelijk worden toegestaan. De betrokken communicatie- en informatiesystemen dienen echter zo spoedig mogelijk gehomologeerd te worden volgens de gewone procedure die hierboven beschreven staat.