Doelstelling
Het
beschermen van de vertrouwelijkheid, authenticiteit of integriteit van gegevens.
Toelichting
Cryptografische
systemen en technieken dienen te worden gebruikt ter beveiliging van
gegevens die onvoldoende beveiligd worden door andere maatregelen.
10.3.1
Beleid ten aanzien van het gebruik van cryptografische beveiliging
Doelstelling
Helder
beleid ten aanzien van het gebruik van cryptografische beveiliging, inclusief
beheer, doelstelling en type bedrijfsprocessen.
Eisen 10.3.1
- Suwinet is een gesloten netwerk zonder directe aansluitingen op openbare
netwerken; het College Bescherming Persoonsgegevens heeft daarom een
beleidslijn uitgezet waarin Suwinet beschouwd wordt als een extranet waarop t.b.v.
gegevenstransport geen cryptografische beveiliging hoeft te worden toegepast;
- Dit beleid kan veranderen indien uit toekomstige analyses van incidenten
of
risicoanalyses mocht blijken dat cryptografische beveiliging alsnog een optie blijkt
tegen bepaalde hoge risico’s.
10.3.2
Versleuteling (encryptie)
Doelstelling
Informatie
die valt onder risicoklasse III, wordt bij elektronische verzending zodanig
versleuteld, dat de vertrouwelijkheid en daarmee ontoegankelijkheid door derden,
gewaarborgd is.
Eisen 10.3.2
- Wachtwoorden van gebruikers van Suwi-applicaties worden versleuteld
opgeslagen
(zie 9.5.4 Wachtwoordmanagementsysteem);
- Bij elektronische verzending anders dan via Suwinet moet vertrouwelijke
informatie
worden versleuteld;
- De versleuteling moet aan de wettelijke normen voldoen;
- De brongegevens van de versleuteling zijn uitsluitend voor specifieke
functionarissen
toegankelijk.
10.3.3
Digitale handtekeningen
Is
in dit kader niet van toepassing (zie 10.3.1).
10.3.4
Onweerlegbaarheid
Is
in dit kader niet van toepassing (zie 10.3.1).
10.3.5
Sleutelbeheer
Is
in dit kader niet van toepassing (zie 10.3.1).
