Beleidsregels van de Minister van Veiligheid en Justitie van 11 januari 2012, nr DGP/DPV/VIT, over de beveiliging van het radiocommunicatienetwerk C2000
De Minister van Veiligheid en Justitie,
Gelet op artikel 2 Regeling C2000 en GMS;
Vanwege het belang van het C2000-netwerk voor de handhaving van de openbare orde, veiligheid en hulpverlening worden er regels gesteld aan de informatiebeveiliging daarvan;
Gehoord het advies van het Veiligheidsberaad;
b)
de eigenaar van het C2000-netwerk: de staat der Nederlanden, de minister van Veiligheid en Justitie. De eigenaar van het C2000-netwerk vertegenwoordigt mede namens de Minister Defensie en de Minister van Volksgezondheid, Welzijn en Sport de staat der Nederlanden;
c)
strategisch beheerder: de minister van Veiligheid en Justitie
d)
tactisch en operationeel beheerder: de beheerorganisatie van C2000, Voorziening tot samenwerking Politie Nederland/Unit Meldkamer Systemen;
e)
gebruikers: een organisatie die voor OOV-taken gebruik maakt van het C2000- communicatienetwerk. Dit kan een aangewezen gebruiker, een gelieerde of een bijzondere gebruiker zijn;
f)
aangewezen gebruiker: een organisatie die op het terrein van openbare orde, veiligheid en hulpverlening een wettelijk opgedragen taak heeft en ten behoeve van haar operationele processen gebruik maakt van C2000;
g)
gelieerde: een organisatie die de aangewezen gebruiker ondersteunt bij de uitvoering van zijn taken op het terrein van openbare orde, veiligheid en hulpverlening en die daarbij met behulp van mobiele communicatie door de aangewezen gebruiker wordt aangestuurd.
h)
adviesorgaan C2000: :et overleg van gebruikers dat de strategisch beheerder adviseert over C2000. De adviestaak met betrekking tot C2000 wordt ingevuld door de Bestuurscommissie Informatievoorziening van het Veiligheidsberaad. Ten aanzien van C2000 wordt dit gedaan in afstemming met het korpsbeheerdersberaad;
i)
een bijzondere gebruiker: een organisatie die naar het oordeel van de Minister van Veiligheid en Justitie uit het oogpunt van openbare orde, veiligheid en hulpverlening onder reguliere omstandigheden en bij crisis en rampen in contact moeten kunnen treden met een of meer aangewezen gebruikers en daartoe gebruik maakt van C2000.
j)
C2000-randapparatuur: een apparaat dat via de air-interface met het C2000-netwerk is verbonden. Dit zijn T2000 handsets, P2000 handsets of mobiele data terminals;
k)
beschikbaarheid: de mate waarin (gegevens in) een informatiesysteem beschikbaar is voor een eindgebruiker;
l)
beveiligingsincident: een gebeurtenis die opgetreden is, of die kan optreden en die negatieve effecten heeft op de informatiebeveiliging van het C2000-communicatienetwerk of in de controleerbaarheid van deze eigenschappen;
m)
integriteit: de mate waarin (gegevens in) een informatiesysteem foutenvrij is;
n)
vertrouwelijkheid: de mate waarin de gegevens ineen informatiesysteem slechts toegankelijk is voor geautoriseerde personen;
o)
(C2000-) Infrastructuur: alle middelen die binnen het verantwoordelijkheidsgebied van de eigenaar van het C2000-communicatienetwerk vallen en fysiek zijn verbonden met het C2000- communicatienetwerk. Hieronder vallen schakelpunten, paging routers, netwerkinfrastructuur, opstelpunten, vitale SCL's, C2000-meldkamerapparatuur, netwerkmanagement systeem en diverse gateways.
•
De informatiebeveiliging van het C2000-netwerk wordt gedefinieerd in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
•
De doelstelling van het informatiebeveiligingsbeleid is de realisatie en het behoud van informatiebeveiliging van het C2000-netwerk. Dit informatiebeveiligingsbeleid stelt de grondslagen en richtlijnen vast voor de informatiebeveiliging van het C2000 communicatienetwerk en de taken, verantwoordelijkheden en bevoegdheden van de daarbij betrokken partijen.
•
De reikwijdte van dit beleid is gelimiteerd tot aspecten die gerelateerd zijn aan de
•
Informatiebeveiliging van het C2000 communicatienetwerk. Het Informatiebeveiligingsbeleid is van toepassing op alle personen en organisaties die het C2000 communicatienetwerk gebruiken, beheren of onderhouden in dienst van, gelieerd aan, of werkend in opdracht van één van de OOV-diensten, de beheerders of de eigenaar.
•
Taken kunnen worden uitbesteed aan leveranciers of een andere partij, echter de verantwoordelijkheden van partijen, zoals deze in dit beleid zijn belegd, zijn niet overdraagbaar. Daarnaast is het de verantwoordelijkheid van de uitbestedende partij dat de leverancier formeel is geaccrediteerd en alle uit dit beleid voortvloeiende maatregelen, behorend bij de uitbestede taak, heeft geïmplementeerd.
1.
De implementatie en naleving van de beveiligingsmaatregelen bij de gebruikers worden jaarlijks getoetst door de eigenaar.
2.
De gebruiker implementeert in beginsel de maatregelen (zie
Bijlage 2 ). De gebruiker mag alleen hiervan afwijken indien hij voldoende kan motiveren dat een vergelijkbaar basis beveiligingsniveau wordt gerealiseerd.
3.
De beheerder gebruikt de vastgelegde beveiligingseisen als richtsnoer voor zijn eigen risicobeheersingproces om zo te waarborgen dat aan de eisen wordt voldaan.
4.
Door te voldoen aan de beveiligingseisen, zijn de gebruikers en de beheerder in overeenstemming met dit beleid.
5.
Partijen zijn verplicht jaarlijks te rapporteren aan de beheerder over de status van de implementatie van de voor hen verplichte beveiligingsmaatregelen.
6.
Alle C2000 eindgebruikers en personen werkzaam voor het C2000 communicatienetwerk of binnen een betrokken partij worden op de hoogte gebracht over hun verantwoordelijkheden rond informatiebeveiliging en hebben daarvoor training gekregen.
7.
Door middel van formele afspraken met partijen betrokken bij het C2000 communicatienetwerk is geborgd dat dit informatiebeveiligingsbeleid en de daaruit voorvloeiende beheersmaatregelen van toepassing zijn op de medewerkers werkzaam binnen deze partijen.
8.
Het gebruik van leveranciers of het overdragen van taken aan overige partijen ontslaat de partij niet van de bij hem belegde verantwoordelijkheid: In het geval dat een leverancier een verplichte beveiligingsmaatregel niet implementeert, is de partij die gebruik maakt van de leverancier hier direct verantwoordelijk voor.
9.
Alle personen die het C2000 communicatienetwerk gebruiken, beheren of onderhouden (waaronder leveranciers), melden via de binnen de eigen organisatie aangewezen beveiligingsfunctionaris, de beveiligingsincidenten bij het operationeel-beveiligingsbeheer.
1.
De aangewezen gebruiker is verantwoordelijk voor beveiligd gebruik van C2000-netwerk.
2.
De aangewezen gebruiker is verantwoordelijk voor de implementatie van de beveiligingsmaatregelen (
Bijlage 2 ).
1.
De aangewezen gebruiker is verantwoordelijk voor het voldoen van haar gelieerden aan dit informatiebeveiligingsbeleid.
2.
De aangewezen gebruiker legt met de gelieerde contractueel vast dat de gelieerde de set maatregelen in
Bijlage 2 implementeert. Hierbij is de aangewezen gebruiker ervoor verantwoordelijk dat de gelieerde deze maatregelen daadwerkelijk implementeert en rapporteert de aangewezen gebruiker over de status van implementatie aan de beheerder.
3.
De aangewezen gebruiker voert de taken en voortvloeiende verantwoordelijkheden beheer C2000 randapparatuur en gebruik C2000 beheer- en meldkamersystemen voor de gelieerde uit. Het is de gelieerde niet toegestaan deze taken zelfstandig uit te voeren.
4.
De aangewezen gebruiker mag twee C2000 beveiligingsgerelateerde taken uitbesteden aan leveranciers.
1.
Zoals alle partijen binnen het C2000-communicatienetwerk implementeert de bijzondere gebruiker de algemene maatregelen uit
Bijlage 2 .
2.
Om te worden toegelaten als bijzondere gebruiker tot het C2000-communicatienetwerk, is de bijzondere gebruiker geaccrediteerd door de eigenaar.
1.
De beheerder is verantwoordelijk voor beveiligd gebruik van C2000-randapparatuur.
2.
De beheerder is verantwoordelijk voor de implementatie van de beveiligingsmaatregelen (
Bijlage 2 ).
1.
De eigenaar is verantwoordelijk voor het formeel vaststellen van de accreditatiecriteria en de uiteindelijke accreditatiebeslissing. Hiernaast is de beheerder verantwoordelijk voor het laden en verwijderen van cryptografische sleutels in randapparatuur van bijzondere gebruikers.
2.
De beheerder is verantwoordelijk voor het onderhouden van de accreditatiecriteria aan de hand van voortschrijdend inzicht en het uitvoeren van toetsingen bij gebruikers en leveranciers en op externe koppelingen, SCL's en randapparatuur.
1.
Het operationeel beveiligingsbeheer is verantwoordelijk voor het beperken van de impact van beveiligingsincidenten.
2.
Het operationeel beveiligingsbeheer is verantwoordelijk voor het signaleren van ontwikkelingen aan strategisch beveiligingsbeheer.
3.
Het operationeel beveiligingsbeheer is belegd bij de tactisch en operationeel beheerder.
1.
Het strategisch beveiligingsbeheer wordt ondersteund door en ziet toe op het operationeel beveiligingsbeheer. Daarnaast is strategisch beveiligingsbeheer verantwoordelijk voor de toetsing op naleving door middel van periodieke audits. De rol van het strategisch beveiligingsbeheer is belegd bij de eigenaar.
1.
De verantwoordelijkheid voor uitvoering van toezicht, controle en herziening is belegd bij de eigenaar.
1.
Controle heeft als doel vast te stellen of de beveiligingsmaatregelen geïmplementeerd zijn en of zij het gewenste effect bereiken (namelijk een C2000 communicatienetwerk met voldoende beschikbaarheid, integriteit en vertrouwelijkheid).
2.
De controles vinden plaats in de vorm van audits.
1.
ln de Herziening (van het informatiebeveiligingsbeleid) wordt de informatiebeveiliging van het C2000-communicatienetwerk geëvalueerd door strategisch beveiligingsbeheer.
2.
De herziening vindt jaarlijks plaats door strategisch beveiligingsbeheer.
3.
Indien de herziening hier aanleiding toe geeft, wordt dit informatiebeveiligingsbeleid aangepast en opnieuw vastgesteld.
4.
In het geval van ernstige incidenten kan strategisch beveiligingsbeheer deze herziening vervroegd plaats laten vinden.
1.
De effectiviteit van het beveiligingsbeleid wordt bepaald door de mate waarin betrokken partijen de beveiligingsmaatregelen naleven.
Artikel 15. Inwerkingtreding
Deze regeling treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin zij wordt geplaatst.
Artikel 16
Deze beleidsregels worden aangehaald als: Beleidsregels Informatiebeveiligingsbeleid C2000
Den Haag, 11 januari 2012