Beleidsregels Informatiebeveiligingsbeleid C2000

Geraadpleegd op 08-11-2024. Gebruikte datum 'geldig op' 01-01-2013.
Geldend van 23-03-2012 t/m heden

Beleidsregels van de Minister van Veiligheid en Justitie van 11 januari 2012, nr DGP/DPV/VIT, over de beveiliging van het radiocommunicatienetwerk C2000

De Minister van Veiligheid en Justitie,

Gelet op artikel 2 Regeling C2000 en GMS;

Vanwege het belang van het C2000-netwerk voor de handhaving van de openbare orde, veiligheid en hulpverlening worden er regels gesteld aan de informatiebeveiliging daarvan;

Gehoord het advies van het Veiligheidsberaad;

Besluit:

Artikel 1. Begrippen

In deze regeling wordt verstaan onder:

  • a) het C2000-netwerk: het communicatienetwerk ten behoeve van de Openbare Orde en Veiligheid(OOV) diensten binnen Nederland, zoals bedoeld in artikel 1 van de Regeling C2000 en GMS;

  • b) de eigenaar van het C2000-netwerk: de staat der Nederlanden, de minister van Veiligheid en Justitie. De eigenaar van het C2000-netwerk vertegenwoordigt mede namens de Minister Defensie en de Minister van Volksgezondheid, Welzijn en Sport de staat der Nederlanden;

  • c) strategisch beheerder: de minister van Veiligheid en Justitie

  • d) tactisch en operationeel beheerder: de beheerorganisatie van C2000, Voorziening tot samenwerking Politie Nederland/Unit Meldkamer Systemen;

  • e) gebruikers: een organisatie die voor OOV-taken gebruik maakt van het C2000- communicatienetwerk. Dit kan een aangewezen gebruiker, een gelieerde of een bijzondere gebruiker zijn;

  • f) aangewezen gebruiker: een organisatie die op het terrein van openbare orde, veiligheid en hulpverlening een wettelijk opgedragen taak heeft en ten behoeve van haar operationele processen gebruik maakt van C2000;

  • g) gelieerde: een organisatie die de aangewezen gebruiker ondersteunt bij de uitvoering van zijn taken op het terrein van openbare orde, veiligheid en hulpverlening en die daarbij met behulp van mobiele communicatie door de aangewezen gebruiker wordt aangestuurd.

  • h) adviesorgaan C2000: :et overleg van gebruikers dat de strategisch beheerder adviseert over C2000. De adviestaak met betrekking tot C2000 wordt ingevuld door de Bestuurscommissie Informatievoorziening van het Veiligheidsberaad. Ten aanzien van C2000 wordt dit gedaan in afstemming met het korpsbeheerdersberaad;

  • i) een bijzondere gebruiker: een organisatie die naar het oordeel van de Minister van Veiligheid en Justitie uit het oogpunt van openbare orde, veiligheid en hulpverlening onder reguliere omstandigheden en bij crisis en rampen in contact moeten kunnen treden met een of meer aangewezen gebruikers en daartoe gebruik maakt van C2000.

  • j) C2000-randapparatuur: een apparaat dat via de air-interface met het C2000-netwerk is verbonden. Dit zijn T2000 handsets, P2000 handsets of mobiele data terminals;

  • k) beschikbaarheid: de mate waarin (gegevens in) een informatiesysteem beschikbaar is voor een eindgebruiker;

  • l) beveiligingsincident: een gebeurtenis die opgetreden is, of die kan optreden en die negatieve effecten heeft op de informatiebeveiliging van het C2000-communicatienetwerk of in de controleerbaarheid van deze eigenschappen;

  • m) integriteit: de mate waarin (gegevens in) een informatiesysteem foutenvrij is;

  • n) vertrouwelijkheid: de mate waarin de gegevens ineen informatiesysteem slechts toegankelijk is voor geautoriseerde personen;

  • o) (C2000-) Infrastructuur: alle middelen die binnen het verantwoordelijkheidsgebied van de eigenaar van het C2000-communicatienetwerk vallen en fysiek zijn verbonden met het C2000- communicatienetwerk. Hieronder vallen schakelpunten, paging routers, netwerkinfrastructuur, opstelpunten, vitale SCL's, C2000-meldkamerapparatuur, netwerkmanagement systeem en diverse gateways.

Artikel 2. Doelstelling en reikwijdte

  • De informatiebeveiliging van het C2000-netwerk wordt gedefinieerd in termen van beschikbaarheid, integriteit en vertrouwelijkheid.

  • De doelstelling van het informatiebeveiligingsbeleid is de realisatie en het behoud van informatiebeveiliging van het C2000-netwerk. Dit informatiebeveiligingsbeleid stelt de grondslagen en richtlijnen vast voor de informatiebeveiliging van het C2000 communicatienetwerk en de taken, verantwoordelijkheden en bevoegdheden van de daarbij betrokken partijen.

  • De reikwijdte van dit beleid is gelimiteerd tot aspecten die gerelateerd zijn aan de

  • Informatiebeveiliging van het C2000 communicatienetwerk. Het Informatiebeveiligingsbeleid is van toepassing op alle personen en organisaties die het C2000 communicatienetwerk gebruiken, beheren of onderhouden in dienst van, gelieerd aan, of werkend in opdracht van één van de OOV-diensten, de beheerders of de eigenaar.

  • Taken kunnen worden uitbesteed aan leveranciers of een andere partij, echter de verantwoordelijkheden van partijen, zoals deze in dit beleid zijn belegd, zijn niet overdraagbaar. Daarnaast is het de verantwoordelijkheid van de uitbestedende partij dat de leverancier formeel is geaccrediteerd en alle uit dit beleid voortvloeiende maatregelen, behorend bij de uitbestede taak, heeft geïmplementeerd.

Artikel 3. Implementatie en beveiligingsincidenten

  • 1 De implementatie en naleving van de beveiligingsmaatregelen bij de gebruikers worden jaarlijks getoetst door de eigenaar.

  • 2 De gebruiker implementeert in beginsel de maatregelen (zie Bijlage 2). De gebruiker mag alleen hiervan afwijken indien hij voldoende kan motiveren dat een vergelijkbaar basis beveiligingsniveau wordt gerealiseerd.

  • 3 De beheerder gebruikt de vastgelegde beveiligingseisen als richtsnoer voor zijn eigen risicobeheersingproces om zo te waarborgen dat aan de eisen wordt voldaan.

  • 4 Door te voldoen aan de beveiligingseisen, zijn de gebruikers en de beheerder in overeenstemming met dit beleid.

  • 5 Partijen zijn verplicht jaarlijks te rapporteren aan de beheerder over de status van de implementatie van de voor hen verplichte beveiligingsmaatregelen.

  • 6 Alle C2000 eindgebruikers en personen werkzaam voor het C2000 communicatienetwerk of binnen een betrokken partij worden op de hoogte gebracht over hun verantwoordelijkheden rond informatiebeveiliging en hebben daarvoor training gekregen.

  • 7 Door middel van formele afspraken met partijen betrokken bij het C2000 communicatienetwerk is geborgd dat dit informatiebeveiligingsbeleid en de daaruit voorvloeiende beheersmaatregelen van toepassing zijn op de medewerkers werkzaam binnen deze partijen.

  • 8 Het gebruik van leveranciers of het overdragen van taken aan overige partijen ontslaat de partij niet van de bij hem belegde verantwoordelijkheid: In het geval dat een leverancier een verplichte beveiligingsmaatregel niet implementeert, is de partij die gebruik maakt van de leverancier hier direct verantwoordelijk voor.

  • 9 Alle personen die het C2000 communicatienetwerk gebruiken, beheren of onderhouden (waaronder leveranciers), melden via de binnen de eigen organisatie aangewezen beveiligingsfunctionaris, de beveiligingsincidenten bij het operationeel-beveiligingsbeheer.

Artikel 4. Gebruik en beheer door aangewezen gebruikers

  • 1 De aangewezen gebruiker is verantwoordelijk voor beveiligd gebruik van C2000-netwerk.

  • 2 De aangewezen gebruiker is verantwoordelijk voor de implementatie van de beveiligingsmaatregelen (Bijlage 2).

Artikel 5. Verantwoordelijkheid aangewezen gebruiker voor gelieerde en leverancier

  • 1 De aangewezen gebruiker is verantwoordelijk voor het voldoen van haar gelieerden aan dit informatiebeveiligingsbeleid.

  • 2 De aangewezen gebruiker legt met de gelieerde contractueel vast dat de gelieerde de set maatregelen in Bijlage 2 implementeert. Hierbij is de aangewezen gebruiker ervoor verantwoordelijk dat de gelieerde deze maatregelen daadwerkelijk implementeert en rapporteert de aangewezen gebruiker over de status van implementatie aan de beheerder.

  • 3 De aangewezen gebruiker voert de taken en voortvloeiende verantwoordelijkheden beheer C2000 randapparatuur en gebruik C2000 beheer- en meldkamersystemen voor de gelieerde uit. Het is de gelieerde niet toegestaan deze taken zelfstandig uit te voeren.

  • 4 De aangewezen gebruiker mag twee C2000 beveiligingsgerelateerde taken uitbesteden aan leveranciers.

Artikel 6. Gebruik en beheer bijzondere gebruikers

  • 1 Zoals alle partijen binnen het C2000-communicatienetwerk implementeert de bijzondere gebruiker de algemene maatregelen uit Bijlage 2.

  • 2 Om te worden toegelaten als bijzondere gebruiker tot het C2000-communicatienetwerk, is de bijzondere gebruiker geaccrediteerd door de eigenaar.

Artikel 7. Gebruik en beheer randapparatuur door tactisch en operationeel beheerder

  • 1 De beheerder is verantwoordelijk voor beveiligd gebruik van C2000-randapparatuur.

  • 2 De beheerder is verantwoordelijk voor de implementatie van de beveiligingsmaatregelen (Bijlage 2).

Artikel 8. Gebruik en beheer C2000 meldkamer -en beheersystemen door tactisch en operationeel beheerder

  • 1 De eigenaar is verantwoordelijk voor het formeel vaststellen van de accreditatiecriteria en de uiteindelijke accreditatiebeslissing. Hiernaast is de beheerder verantwoordelijk voor het laden en verwijderen van cryptografische sleutels in randapparatuur van bijzondere gebruikers.

  • 2 De beheerder is verantwoordelijk voor het onderhouden van de accreditatiecriteria aan de hand van voortschrijdend inzicht en het uitvoeren van toetsingen bij gebruikers en leveranciers en op externe koppelingen, SCL's en randapparatuur.

Artikel 9. Operationeel beveiligingsbeheer

  • 1 Het operationeel beveiligingsbeheer is verantwoordelijk voor het beperken van de impact van beveiligingsincidenten.

  • 2 Het operationeel beveiligingsbeheer is verantwoordelijk voor het signaleren van ontwikkelingen aan strategisch beveiligingsbeheer.

  • 3 Het operationeel beveiligingsbeheer is belegd bij de tactisch en operationeel beheerder.

Artikel 10. Strategisch beveiligingsbeheer

  • 1 Het strategisch beveiligingsbeheer wordt ondersteund door en ziet toe op het operationeel beveiligingsbeheer. Daarnaast is strategisch beveiligingsbeheer verantwoordelijk voor de toetsing op naleving door middel van periodieke audits. De rol van het strategisch beveiligingsbeheer is belegd bij de eigenaar.

Artikel 11. Toezicht en controle

  • 1 De verantwoordelijkheid voor uitvoering van toezicht, controle en herziening is belegd bij de eigenaar.

Artikel 12. Controle en audits

  • 1 Controle heeft als doel vast te stellen of de beveiligingsmaatregelen geïmplementeerd zijn en of zij het gewenste effect bereiken (namelijk een C2000 communicatienetwerk met voldoende beschikbaarheid, integriteit en vertrouwelijkheid).

  • 2 De controles vinden plaats in de vorm van audits.

Artikel 13. Herziening

  • 1 ln de Herziening (van het informatiebeveiligingsbeleid) wordt de informatiebeveiliging van het C2000-communicatienetwerk geëvalueerd door strategisch beveiligingsbeheer.

  • 2 De herziening vindt jaarlijks plaats door strategisch beveiligingsbeheer.

  • 3 Indien de herziening hier aanleiding toe geeft, wordt dit informatiebeveiligingsbeleid aangepast en opnieuw vastgesteld.

  • 4 In het geval van ernstige incidenten kan strategisch beveiligingsbeheer deze herziening vervroegd plaats laten vinden.

Artikel 14. Naleving

  • 1 De effectiviteit van het beveiligingsbeleid wordt bepaald door de mate waarin betrokken partijen de beveiligingsmaatregelen naleven.

Artikel 15. Inwerkingtreding

Deze regeling treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin zij wordt geplaatst.

Den Haag, 11 januari 2012

De

Minister

van Veiligheid en Justitie,

I.W. Opstelten

Bijlage 1. : Toetsingsoverzicht

In de onderstaande label is de periodiciteit van de in dit beleid genoemde toetsingsmomenten kort weergegeven:

Audit strategisch beveiligingsbeheer

Jaarlijkse stelselevaluatie met betrekking tot informatiebeveiliging voor het C2000- communicatienetwerk.

Deze evaluatie is de input voor wijzigingen in dit beleid. De eigenaar in overleg met strategisch beveiligingsbeheer plant om de twee jaar de stelselevaluatie.

Audit beheerder

Jaarlijks

Hoewel dit jaarlijks plaatsvindt, zal per jaar een aandachtsgebied (bijvoorbeeld één taak) worden gekozen. Strategisch beveiligingsbeheer stelt jaarlijks deze aandachtsgebieden vast.

Audit gebruiker

Jaarlijks.

Deze audit zal niet jaarlijks voor alle gebruikers plaatsvinden, maar slechts voor zes (6) gebruikers per jaar. Strategisch beveiligingsbeheer stelt jaarlijks vast welke gebruikers worden geaudit en kan daarbij ook aandachtspunten aangeven.

Herhalingsaccreditatie Steekproefsgewijs.

Jaarlijks vastgesteld.

Dit omvat herhalingsonderzoeken bij reeds geaccrediteerde partijen, apparaten of koppelingen.

Dit vindt steekproefsgewijs plaats, in het bijzonder bij een directe aanleiding. Bijvoorbeeld: beveiligingsincidenten en (grote) veranderingen. Strategisch beveiligingsbeheer stelt jaarlijks vast welke herhalingsaccreditaties worden uitgevoerd. De herhalingsonderzoeken voor gebruikers vinden plaats door middel van de gebruiker audits.

Bijlage 2. : Beveiligingsmaatregelen gebruikers

Deze bijlagebevat de beveiligingsmaatregelen per rol, welke zijn gerelateerd aan de NEN-ISO/IEC 27002:2007. De partijen waarbij de rol is belegd zijn verantwoordelijk voor de implementatie van de beveiligingsmaatregelen.

2.0. Algemene beveiligingsmaatregelen

  • 2.0.1 De gebruiker richt een documentatiesysteem in voor het centrale beheer van

    documentatie relevant voor de informatiebeveiliging van het C2000-communicatienetwerk.

    Onderdeel van het documentatiesysteem moet ten minste zijn: versiebeheer en traceerbaarheid.

    Dit systeem is onderdeel van het kwaliteitssysteem van de gebruiker.

    Indien in deze bijlage gedocumenteerd staat dan is het betreffende gedeelte in dit documentatiesysteem zijn opgenomen.

  • 2.0.2 De taken, verantwoordelijkheden en bevoegdheden van werknemers, ingehuurd personeel en externe eindgebruikers ten aanzien van de informatiebeveiliging van C2000 moeten worden vastgesteld en gedocumenteerd.

  • 2.0.3 Elke gebruiker stelt een C2000-beveiligingsfunctionaris aan, die als centraal aanspreekpunt voor en naar de beheerder en eigenaar fungeert op het gebied van informatiebeveiliging. Deze functionaris geeft tevens uitvoering aan de beveiligingsincidenten- en implementatierapportage naar de beheerder.

  • 2.0.4 De toegangsrechten (zowel logisch als fysiek) van alle werknemers, ingehuurd personeel en externe eindgebruikers tot C2000-voorzieningen worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of wordt na wijziging van zijn/haar taak aangepast.

  • 2.0.5 De toegangsrechten (zowel logisch als fysiek) van alle werknemers, ingehuurd personeel en eindgebruikers tot C2000-voorzieningen worden minimaal halfjaarlijks door of in opdracht van het lijnmanagement gecontroleerd. Het resultaat van deze controle wordt gedocumenteerd.

  • 2.0.6 Er is een procedure vastgesteld en beschikbaar voor alle werknemers, ingehuurd personeel en externe eindgebruikers om beveiligingsincidenten onverwijld bij operationeel beveiligingsbeheer te melden.

  • 2.0.7 Beveiligingsincidenten en reacties hierop dienen te worden geregistreerd, daarnaast dient een procedure tot onverwijlde opvolging door de beveiligingsfunctionaris te zijn vastgesteld.

  • 2.0.8 Er is een disciplinair proces van toepassing op werknemers, ingehuurd personeel en eindgebruikers die inbreuk op de informatiebeveiliging van het C2000-communicatienetwerk hebben gepleegd.

  • 2.0.9 Relevante handboeken, werkinstructies en gedragscodes rond informatiebeveiliging zijn voor elke eindgebruiker en beheerder beschikbaar.

  • 2.0.10 Elke gebruiker controleert de implementatie van de voor hem en zijn gelieerden verplichte beveiligingsmaatregelen en rapporteert hierover jaarlijks aan operationeel beveiligingsbeheer volgens een format vastgesteld door operationeel beveiligingsbeheer.

  • 2.0.11 Elke gebruiker controleert de implementatie van de voor zijn leveranciers verplichte beveiligingsmaatregelen en rapporteert hierover jaarlijks aan operationeel beveiligingsbeheer volgens een format vastgesteld door operationeel beveiligingsbeheer.

    Leveranciers die crypto gerelateerde handelingen uitvoeren (zogenaamd type 2 leveranciers) dienen te zijn geaccrediteerd door de eigenaar. De implementatie van de verplichte beveiligingsmaatregelen en volledige medewerking van de leverancier bij een controle op deze implementatie dient in het contract met de leverancier te worden opgenomen.

  • 2.0.12 Alle logische en fysieke koppelingen tussen de C2000-infrastructuur en andere componenten die niet onderdeel zijn van de standaard C2000 dienstverlening (dit ter beoordeling van de beheerder) zijn geaccrediteerd door de eigenaar.

  • 2.0.13 De locatie(s) waar C2000 middelen staan opgesteld zijn beveiligd. Het totaal aan inbraakwerende en vertragende maatregelen dient te voldoen aan de maatregelen behorend bij het risiconiveau 3 volgens de verbeterde risicoklasse indeling (VRKl) van het Nationaal Centrum voor Preventie.

2.1. Gebruik C2000 randapparatuur

  • 2.1.1 Alle C2000-randapparatuur wordt geregistreerd in een actuele inventaris. Hierin is te allen tijde inzichtelijk aan welke functionaris en aan welk voertuig het randapparaat is toegewezen.

  • 2.1.2 De C2000-randapparatuur wordt tenminste één keer per week gecontroleerd op juistheid en volledigheid. Ontbrekende randapparaten dienen onverwijld aan operationeel beveiligingsbeheer te worden gemeld.

  • 2.1.3 Er behoren regels te worden vastgesteld voor aanvaardbaar gebruik van C2000- randapparatuur.

    Deze gedragsregels bevatten ten minste dat:

    • C2000-randapparatuur is bestemd voor persoonlijk gebruik.

    • C2000-randapparatuur niet onnodig onbeheerd wordt achtergelaten.

    • De C2000-randapparatuur voor zakelijk gebruik is en niet bestemd is voor privé doeleinden.

    • Alle pogingen tot het misbruik van de apparatuur, zoals het (trachten van) herprogrammeren, openbreken en anderszins manipuleren van het apparaat of de (cryptografische) informatie hierin, strikt verboden is.

    • De instructies van de fabrikant ter bescherming van de apparatuur worden opgevolgd (bijvoorbeeld bescherming legen het blootstellen aan elektromagnetische velden).

    • De instructies van de beheerder die betrekking hebben op de beveiliging van het C2000- netwerk worden opgevolgd.

    Verder bevatten de gedragsregels instructies voor eindgebruikers hoe te handelen in het geval van vermissing van C2000-randapparatuur alsmede de regels voortkomend uit het Landelijk Kader Fleetmap.

  • 2.1.4 De bovenstaande gedragsregels zijn gecommuniceerd naar en voor akkoord verklaard door personen bij eerste ontvangst van C2000-randapparatuur. Daarna zijn zij eenvoudig voor deze personen beschikbaar.

  • 2.1.5 Er is een procedure ingericht die het melden van vermissing, verlies en diefstal van randapparatuur beschrijft. Hierin zijn de contactpersonen en escalatiepaden uitgeschreven. De procedure voorziet in het uitschakelen door de beheerder van vermiste, verloren en gestolen randapparatuur.

  • 2.1.6 Alle personen die C2000-randapparatuur gebruiken krijgen geschikte training en regelmatige bijscholing met betrekking tot informatiebeveiliging en procedures van de organisatie.

  • 2.1.7 De (tijdelijk) niet in gebruik zijnde C2000-randapparatuur (i.e. voorraad, defect) is ondergebracht in afgesloten kasten in een beveiligde ruimte(n). Toegang tot deze ruimte is beperkt tot hiervoor bevoegde personen.

2.2. Beheer C2000 randapparatuur (lokaal beheer)

  • 2.2.1. Alle beheerde C2000-randapparatuur wordt geregistreerd in een actuele inventaris. Hieruit is inzichtelijk welke randapparaten aan welke functionaris en aan welk voertuig is uitgegeven en in welke gespreksgroepen het randapparaat actief kan zijn.

  • 2.2.2 Er wordt geregistreerd welke randapparatuur zich buiten de directe controle van de gebruiker (bijvoorbeeld in het geval van onderhoud, inbouw en reparatie) bevindt.

  • 2.2.3 Wijzigingen in de configuratie (template) van de randapparatuur worden geregistreerd.

  • 2.2.4 Alleen gespreksgroepen waarvoor de gebruiker geautoriseerd is middels het Landelijk Kader Fleetmap of schriftelijke toestemming heeft van de gespreksgroepeigenaar, mogen in een randapparaat van de gebruiker worden geprogrammeerd.

  • 2.2.5 Alle C2000-randapparatuur heeft binnen de organisatie een formele eigenaar die managementverantwoordelijkheid heeft voor het gebruik en informatiebeveiliging van de randapparatuur en die optreedt als centraal aanspreekpunt voor de C2000-apparatuur.

  • 2.2.6 De (tijdelijk) niet in gebruik zijnde C2000-randapparatuur (i.e. voorraad, defect) is ondergebracht in afgesloten kasten in een beveiligde ruimte(n). Toegang tot deze ruimte is beperkt tot hiervoor bevoegde personen.

  • 2.2.7 De toegang tot de beveiligde ruimte(n) wordt geregistreerd.

  • 2.2.8 Datum en tijdstip van aankomst en vertrek van bezoekers worden geregistreerd en bezoekers van de beveiligde ruimte(n) behoren gedurende de gehele periode waarin zij zich in deze ruimte(n) bevinden te worden begeleid en er wordt toezicht gehouden op de uitvoer van werkzaamheden. Aan hen mag alleen toegang worden verleend voor geautoriseerde doeleinden zoals reparatie en onderhoud.

  • 2.2.9 Toegangsrechten tot de beveiligde ruimte(n) worden halfjaarlijks beoordeeld, geactualiseerd en wanneer nodig ingetrokken. Het resultaat van deze controle wordt gedocumenteerd.

  • 2.2.10 De achtergrond van alle lokale beheerders is geverifieerd via een screening equivalent met die voor een Vertrouwensfunctie niveau C, in de zin van de wet Veiligheidsonderzoeken van 10 oktober 1996.

  • 2.2.11 Alle personen die C2000-randapparatuur beheren krijgen geschikte training en regelmatige bijscholing met betrekking tot informatiebeveiliging en procedures van de organisatie, relevant voor hun werkgebied.

  • 2.2.12 Slechts C2000 geaccrediteerde randapparatuur mag worden gebruikt. Randapparatuur mag alleen worden aangeschaft van een geaccrediteerde leverancier, met een TEA2 supplier licentie.

  • 2.2.13 Er is een procedure aanwezig voor de in- en uitbouw van randapparatuur uit voer-, vaar- en vliegtuigen. In- en uitbouw geschiedt enkel bij geaccrediteerde bedrijven.

  • 2.2.14 Randapparaten die aan een organisatie of persoon worden verstrekt die niet geautoriseerd is voor het gebruik van C2000, zijn uitgeschakeld in het netwerk of bevatten geen geldige cryptosleutel.

  • 2.2.15 Het (tijdelijk) blokkeren van het C200- randapparaat vindt volgens de door de beheerder gespecificeerde procedure plaats te vinden.

  • 2.2.16 Het uitvoeren van cryptografische handelingen aan C2000-randapparatuur (laden/verwijderen van sleutels en het programmeren van C2000-randapparatuur) is in overeenstemming met de instructies, in de Documentatieset Lokaal Cryptomanagement.

  • 2.2.17 Programmeermiddelen voor het laden van sleutels in C2000 randapparatuur worden dagelijks, wanneer deze niet direct in gebruik zijn, opgeborgen in kluizen.

2.3. Gebruik C2000 meldkamer- en beheersystemen (lokaal beheer)

  • 2.3.1 De achtergrond van alle lokale beheerders is geverifieerd via een screening equivalent met die voor een Vertrouwensfunctie niveau C, in de zin van de wet Veiligheidsonderzoeken van 10 oktober 1996.

  • 2.3.2 Alle personen die C2000-apparatuur gebruiken en beheren krijgen geschikte training en regelmatige bijscholing met betrekking tot de beveiliging en procedures van het C2000- communicatienetwerk.

  • 2.3.3 De apparatuurruimte(n) waarin C2000-systeemapparatuur is ondergebracht (exclusief de radio bedienterminals en -werkplekken) dienen te voldoen aan de eisen gesteld in het document Programma van eisen apparatuurruimtes t.b.v. C2000 radiobediensystemen.

  • 2.3.4 De toegang tot de beveiligde ruimte(n) wordt geregistreerd.

  • 2.3.5 Er is een bezoekersregeling waarin datum en tijdstip van aankomst en vertrek van bezoekers worden geregistreerd. Bezoekers van de meldkamer en apparatuurruimte(n) behoren gedurende de gehele periode waarin zij zich in deze ruimte(n) bevinden te worden begeleid.

  • 2.3.6 Toegangsrechten tot de beveiligde ruimte(n) worden halfjaarlijks beoordeeld, geactualiseerd en als nodig ingetrokken. Het resultaat van deze controle wordt gedocumenteerd.

  • 2.3.7 De meldkamer- en apparatuurruimte(n) zijn 7 dagen per week, 24 uur per dag voor de beheerder toegankelijk conform de bezoekersregeling van de aangewezen gebruiker.

  • 2.3.8 Het radiobediensysteem en de hierbij behorende servers en netwerkcomponenten zijn aangesloten op een UPS en noodstroomgenerator met een autonomietijd van 8 uur om de C2000-functionaliteiten te beschermen tegen storingen ten gevolge van uitval van de stroomvoorziening.

  • 2.3.9 De C2000 apparatuur is beveiligd tegen blikseminslag en spanningspieken.

  • 2.3.10 Op de beheersystemen wordt gebruik gemaakt van unieke identificaties (ID) zodat lokale beheerders kunnen worden gekoppeld aan en verantwoordelijk kunnen worden gesteld voor hun handelingen. Lokale beheerders dienen te allen tijde gebruik te maken van hun eigen identificatie.

  • 2.3.11 Wireless Dispatch Systemen die ook gekoppeld zijn aan het C2000 communicatienetwerk anders dan via de TETRA air-interface mogen slechts in ruimten worden opgesteld die voldoen aan de eisen voor apparatuurruimten (zie punt 2.3.3).

  • 2.3.12 Wireless Dispatch Systemen die alleen gekoppeld zijn aan hel C2000 communicatienetwerk via de TETRA air-interface dienen te worden behandeld als C2000 randapparatuur.

2.4. Algemene maatregelen voor leveranciers van gebruikers (Type I)

  • 2.4.1 Indien de leverancier een private rechtspersoon is, dan toont deze zijn integriteit aan door de overhandiging van een geldige Verklaring Omtrent het Gedrag Rechtspersonen (VOGR) aan de gebruiker. Als de geldigheid van de VOGR verloopt, is de leverancier verplicht een nieuwe te overhandigen aan de gebruiker. Deze verplichting wordt contractueel geborgd.

  • 2.4.2 De locatie(s) waar C2000 middelen (al dan niet in een voertuig) worden opgeslagen zijn beveiligd.

    Het totaal aan inbraakwerende en vertragende maatregelen dient te voldoen aan de maatregelen behorend bij het risiconiveau 3 volgens de verbeterde risicoklasse indeling (VRKl) van hel Nationaal Centrum voor Preventie.

  • 2.4.3 De leverancier overlegt op verzoek van de gebruiker een actuele lijst die de namen bevat van alle medewerkers die door de leverancier geautoriseerd zijn werkzaamheden in het kader van het afgesloten onderhoudscontract uit te voeren. Hieronder vallen ook tijdelijke medewerkers en medewerkers van onderaannemers.