Volg Software Zaken

Baseline Informatiebeveiliging Overheid

| Jelle Hoekstra | Security

De Baseline Informatiebeveiliging Overheid (BIO) is een baseline voor informatiebeveiliging. Het document is geschreven door en voor de Nederlandse overheid. Leveranciers die diensten of producten leveren aan de overheid kunnen er echter ook mee te maken krijgen. Deze blog vat de BIO beknopt samen.

Achtergrond

Eerder schreven we al over de internationale standaard ISO 27001 en over informatiebeveiliging in de zorg op basis van NEN7510. De BIO richt zich, zoals de naam doet vermoeden, specifiek op de overheid.

De BIO is voortgekomen uit vier sectorale baselines die golden voor verschillende bestuurslagen van de overheid. Dit waren de BIR (Baseline Informatiebeveiliging Rijk), de IBI (Interprovinciale Baseline Informatiebeveiliging), de BIG (Baseline Informatiebeveiliging Gemeenten) en de BIWA (Baseline Informatiebeveiliging Waterschappen). Met de BIO heeft de overheid een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen) gemaakt en zijn de sectorale baselines komen te vervallen.

De BIO is een voorbeeld van zelfregulering door overheden. Het rijk, de provincies, gemeenten en waterschappen hebben zichzelf de verplichting opgelegd om aan deze norm te voldoen. Uit de FAQ die bij de BIO is uitgebracht blijkt dat er wordt gewerkt aan wettelijke verankering van de BIO: op dit moment is de BIO nog niet wettelijk verplicht, maar hebben de bestuurslagen met zichzelf afgesproken om eraan te voldoen.

Structuur van de BIO

Er is een gratis download van de BIO via de website van het implementatieproject. Voor deze blog is gebruik gemaakt van BIO versie 1.04. Het document bestaat uit verschillende delen:

Deel 1: Achtergrond BIO (hoofdstuk 1 tot en met 4)
Deel 2: Kader BIO (hoofdstuk 5 tot en met 18)
Deel 3: Addendum BIO

In deel 1 wordt kort een structuur beschreven om verantwoordelijkheden van informatiebeveiliging te beleggen binnen de overheid. De kern van de baseline wordt gevormd door deel 2, daar staan alle beheersmaatregelen beschreven. De hoofdstukken 5 tot en met 18 in dit deel komen overeen met de indeling van ISO 27002. De beheersmaatregelen uit ISO 27002 zijn letterlijk overgenomen in de BIO om afstemming met externe partners of leveranciers makkelijker te maken. In deel 3 worden enkele specifieke maatregelen toegevoegd die bijvoorbeeld alleen voor het Rijk gelden. Op deze specifieke maatregelen gaan we in deze blog niet in.

Hieronder worden de verschillende hoofdstukken van de BIO per onderdeel samengevat.

Deel 1: Achtergrond BIO

1. Informatiebeveiliging bij de overheid
De BIO bevordert de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid. Om dit structureel aan te pakken wordt er gebruik gemaakt van een cyclus van plan-do-check-act (PDCA). Eerder schreven we al een blog over continue verbeteren op basis van de PDCA-cyclus.

2. Opzet van de BIO
Om risicomanagement hanteerbaar en efficiënt te houden, kiest de BIO voor een relatief simpele risico-aanpak. De BIO onderscheid drie basisbeveiligingsniveaus (afgekort tot BBN, zie meer onder hoofdstuk 3). De keuze voor het beveiligingsniveau wordt gemaakt door de proceseigenaar op basis van een BBN-toets. Via de website van de informatiebeveiligingsdienst van Vereniging Nederlandse Gemeenten (VNG) is een methode te downloaden om de BBN-toets mee uit te voeren.

3. Basisbeveiligingsniveaus

Zoals in de vorige paragraaf geconstateerd wordt er een simpele aanpak van risicomanagement gehanteerd in de BIO. De verschillende basisbeveiligingsniveaus (BBN’s) die worden onderscheiden zijn:

  • BBN1: hier ligt de nadruk op wat minimaal verwacht mag worden van alle overheidssystemen.
  • BBN2: voor BBN2 ligt de nadruk op de bescherming van de meest voorkomende categorieën informatie volgens het principe ‘valt de maatregel onder goed huisvaderschap; toont deze beveiliging de betrouwbare overheid?’. Dat is het geval als:
    • er vertrouwelijke informatie wordt verwerkt;
    • mogelijke incidenten leiden tot bestuurlijke commotie;
    • de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.
  • BBN3: is van toepassing op gerubriceerde informatie Departementaal Vertrouwelijk dan wel vergelijkbaar vertrouwelijk bij andere overheidslagen, waarbij weerstand tegen statelijke actoren of vergelijkbare dreigers nodig is. Bijvoorbeeld als:
    • verlies van informatie een grote impact heeft, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op BBN3;
    • informatie met een rubricering (niet zijnde BBN2) wordt geleverd door derden;
    • aansluiting op een infrastructuur BBN3 is vereist om informatie te kunnen verwerken op deze infrastructuur (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen).

4. Verantwoording over de BIO

De BIO maakt de secretaris of algemeen directeur van een organisatie eindverantwoordelijk voor de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie. De term secretaris of algemeen directeur is gekozen, omdat dit een concrete uitwerking voor de publieke sector is van het begrip ‘top management’ dat in de ISO 27000-standaard voorkomt. Omdat de secretaris of algemeen directeur eindverantwoordelijk is, zullen proceseigenaren die het BBN vaststellen in het lijnmanagement zitten.

Deel 2: Kader BIO

Inleiding
Op deze plek wordt de structuur van de BIO uitgelegd en samengevat in de volgende tabel:

BBN-toets
Onder deel 1 hoofdstuk 2 is al aangegeven dat de VNG een model heeft gepubliceerd om de BBN-toets mee uit te voeren. Met behulp van de BBN-toets kan worden bepaald, in welk niveau van beveiliging (BBN) een bepaald proces valt. De stappen die bij de BBN-toets horen staan ook op pagina 25 van de BIO beschreven:

  • Stap 1: Is BBN2 voldoende?
  • Stap 2: Is BBN2 te zwaar?
  • Stap 3: Bepaal extra vereisten voor beschikbaarheid en/of integriteit

Controls en overheidsmaatregelen
Zoals hierboven is genoemd, heeft de BIO ervoor gekozen om nummering van de hoofdstukken en de controls in lijn te houden met de nummering uit de ISO 27002.

Hoofdstuk 5 tot en met 18
Dan volgt een overzicht met alle beheersmaatregelen in overeenstemming ISO 27002. Het gebruik van de NEN-ISO/IEC normen 27001 en 27002 in de BIO is auteursrechtelijk beschermd. Hier is een download van de Baseline Informatiebeveiliging Overheid (BIO). Op pagina 27 tot en met 68 kunnen alle controls worden teruggevonden:

Tot slot

De BIO is een praktische handleiding voor overheden om hun informatiebeveiliging op te schroeven.  Als burger is het goed te weten dat de overheid hiermee bezig is, maar directe consequenties zijn er momenteel niet. Voor leveranciers zijn de aanvullende eisen belangrijk, maar de norm is niet geschikt om zelf als managementsysteem te gebruiken. Onze tip voor IT leveranciers die veel zaken doen met de overheid: voeg de BIO-eisen voor leveranciers toe als extra controls aan je ISMS via de verklaring van toepasselijkheid.

Image credit: @katiemoum via Unsplash

Jelle Hoekstra
Author: Jelle Hoekstra
Jelle Hoekstra LLM is consultant en mediator bij SoftwareZaken. Hij is gecertificeerd in privacy (CIPP/E & CIPM), security (ISO27001 Lead Auditor) en mediaton (Toolkit Company). Eerder werkte hij voor diverse organisaties als juridisch adviseur en Privacy & Security Officer. Jelle is lid van de International Association for Privacy Professionals (IAPP) en het Nederlands Genootschap voor Functionarissen van Gegevensbescherming (NGFG).