ISM Guidelines

ISM Evaluated Products: Security Product Certification

📊 Strategisch 👥 Security Procurement Teams ⏱️ 8 min lezen
Web App API Service Mobile App ! Database WAF Active SSL/TLS Encryption Active Auth Token JWT Validation SQL Injection
Executive Summary

ISM Evaluated Products biedt een gestructureerde aanpak voor Nederlandse overheidsorganisaties om beveiligingsproducten te selecteren die aantoonbaar veilig en betrouwbaar zijn. De richtlijn sluit aan op internationale standaarden zoals Common Criteria en koppelt deze aan praktische eisen voor aanbesteding, inkoop en doorlopende leveranciersbewaking. Door gebruik te maken van gecertificeerde producten en aanvullende controles op de beveiligingspraktijken van leveranciers kunnen organisaties hun risico op kwetsbare of ondeugdelijke oplossingen aanzienlijk verlagen. Deze pagina beschrijft de rol van Common Criteria, hoe evaluaties en certificaten in het inkoopproces worden benut, en welke aanvullende stappen nodig zijn om ervoor te zorgen dat producten in de praktijk daadwerkelijk veilig worden ingezet binnen de context van de Nederlandse publieke sector.

Evaluated Products

Voor overheidsorganisaties is het selecteren van beveiligingsproducten geen puur technische keuze, maar een strategische beslissing met directe impact op continuïteit, vertrouwelijkheid en publieke verantwoording. ISM Evaluated Products biedt hierbij houvast door te sturen op oplossingen die aantoonbaar zijn beoordeeld tegen objectieve criteria. In plaats van uitsluitend af te gaan op marketingclaims of losse referenties, vormen formele evaluaties en certificeringen – zoals Common Criteria – het vertrekpunt voor een volwassen selectieproces. Dit geeft zowel het bestuur als de securityorganisatie vertrouwen dat de gekozen producten passen binnen de risicobereidheid en wettelijke verplichtingen van de Nederlandse overheid.

Common Criteria is een internationaal erkend raamwerk waarmee de beveiligingseigenschappen van ICT-producten systematisch worden beoordeeld. Fabrikanten laten een product door een geaccrediteerde evaluator testen tegen een vooraf gedefinieerd beveiligingsprofiel. Het resultaat is een certificaat dat inzicht geeft in de scope van de beoordeling, het beoogde gebruiksscenario en het bereikte evaluatieniveau. Voor Nederlandse overheidsorganisaties betekent dit dat zij niet vanaf nul hoeven te beoordelen of een product bepaalde beveiligingsmechanismen wel of niet correct implementeert, maar kunnen voortbouwen op een onafhankelijk oordeel. Dit vermindert de kans dat fundamentele ontwerp- of implementatiefouten pas na ingebruikname worden ontdekt.

Een Common Criteria-certificaat is echter geen eindpunt, maar een solide basis binnen een bredere governance- en risicobenadering. In de praktijk kan de manier waarop een leverancier omgaat met kwetsbaarheden, updates en cloudcomponenten minstens zo bepalend zijn voor het werkelijke risico als de technische eigenschappen van het product zelf. Daarom vult ISM Evaluated Products de focus op certificering aan met gestructureerde leveranciersvalidatie. Organisaties toetsen of de leverancier een volwassen kwetsbaarheidsmanagementproces heeft, op tijd beveiligingsupdates levert, transparant is over beveiligingsincidenten en duidelijke afspraken biedt over gegevensbescherming, logging en monitoring. Deze combinatie van productcertificering en leveranciersbeoordeling zorgt voor een realistischer beeld van het beveiligingsniveau in de dagelijkse operatie.

Binnen strategische besluitvorming over productselectie speelt bovendien de aansluiting op bredere kaders zoals de BIO, sectorale normen en interne architectuurrichtlijnen een belangrijke rol. Beveiligingsproducten moeten bijvoorbeeld passen binnen de gekozen identity- en toegangsarchitectuur, integreren met bestaande monitoring- en SIEM-oplossingen en voldoen aan eisen rondom gegevenslokalisatie en privacy. ISM Evaluated Products stimuleert daarom dat security- en inkoopteams vroegtijdig samenwerken. In plaats van dat beveiligingseisen pas aan het eind van een aanbesteding als toetstabel worden toegevoegd, worden zij geïntegreerd in de uitvraag, de selectiecriteria en de beoordeling van inschrijvingen. Hierdoor wordt duidelijk welke certificeringen minimaal vereist zijn, welke aanvullende audits of verklaringen worden verwacht en hoe leveranciers moeten aantonen dat zij gedurende de gehele contractduur aan deze eisen blijven voldoen.

Voor de praktijk betekent dit dat organisaties een herhaalbare aanpak ontwikkelen voor het vergelijken van alternatieven. Bij de initiële selectie wordt gekeken naar de beschikbaarheid en geldigheid van certificaten, de onderliggende beveiligingsprofielen, de kwaliteit van technische documentatie en de mate waarin de leverancier bereid is inzicht te geven in zijn beveiligingsorganisatie. Tijdens de implementatie wordt vervolgens gecontroleerd of het product daadwerkelijk wordt geconfigureerd conform de aannames uit de evaluatie, bijvoorbeeld door het toepassen van hardeningrichtlijnen, het uitschakelen van verouderde protocollen en het inschakelen van logging op het juiste detailniveau. Gedurende de beheerfase blijft de organisatie monitoren of nieuwe versies, patches of clouduitbreidingen nog steeds aansluiten op de oorspronkelijke certificering en afgesproken beveiligingsniveaus.

Deze geïntegreerde benadering helpt bestuurders en securityverantwoordelijken om keuzes over beveiligingsproducten te kunnen verantwoorden richting interne audits, toezichthouders en externe rekenschap. Door aantoonbaar gebruik te maken van geëvalueerde producten en een gestructureerde leveranciersbeoordeling te hanteren, ontstaat een transparant spoor van onderbouwde beslissingen. ISM Evaluated Products vormt daarmee een strategische bouwsteen binnen de Nederlandse Baseline voor Veilige Cloud, waarbij technische kwaliteit, governance en publieke verantwoording elkaar versterken in plaats van los van elkaar te worden behandeld.

Conclusie

ISM Evaluated Products ondersteunt Nederlandse overheidsorganisaties bij het maken van verdedigbare, risicogestuurde keuzes in de selectie van beveiligingsproducten. Door Common Criteria-certificering te combineren met een volwassen leveranciersbeoordeling ontstaat een evenwicht tussen technische zekerheid, beheersbaarheid en compliance met kaders zoals de BIO en relevante wetgeving. Organisaties die deze richtlijn consequent toepassen, verminderen de kans op structurele zwakheden in hun beveiligingslandschap en kunnen richting bestuur en toezichthouders helder uitleggen waarom voor bepaalde oplossingen is gekozen. Voor de verdere uitwerking van aanbestedingsprocessen, contractuele afspraken en governance rond productselectie sluit deze pagina direct aan op de bredere Governance- en inkooprichtlijnen binnen de Nederlandse Baseline voor Veilige Cloud.

Executive Aanbevelingen
  • Geef bij de selectie van beveiligingsoplossingen structureel voorrang aan producten met een relevante en actuele Common Criteria-certificering, aangevuld met een aantoonbaar volwassen beveiligingsorganisatie bij de leverancier, zodat zowel de techniek als de beheerpraktijk aansluiten op de risicobeoordeling van de organisatie.
ISM Product Evaluation Certification