Als het gaat om informatiebeveiliging, maken we binnen de overheid veel gebruik van baselines. Zo maakt de Rijksoverheid gebruik van de Baseline Informatiebeveiliging Rijksoverheid (BIR). Van deze baseline is er sinds het begin van dit jaar een nieuwe versie in werking getreden, de BIR2017 . Deze vervangt de BIR2012 . En dat is niet alles, naar verwachting komt er in 2019 de Baseline Informatiebeveiliging Overheid (BIO), die de sectorale baselines

BIR, BIG, BIWA en IBI vervangt. Wat zijn de verschillen tussen de BIR2012 en de BIR2017? En wat is de verhouding tussen de BIR2017 en de BIG/BIO?

BIR2017: what’s new?

Waarom we gebruik maken van baselines en wat het nut en de noodzaak hiervan is, beschreef ik al eerder in de blog ‘Nut en noodzaak van baselines ’. In Nederland hebben we diverse sectorale baselines. De BIR is er hier een van. Deze is in het leven geroepen om binnen de Rijksoverheid één (basis)niveau aan informatiebeveiliging te bewerkstelligen. De BIR biedt handvatten om het proces van risicomanagement te vereenvoudigen. Op die manier is te voorkomen dat informatie(systemen) te zwaar of te licht worden beveiligd. Zoals ik in de intro al heb benoemd, is er sinds kort een nieuwe versie van de BIR in werking getreden. De verschillen tussen de BIR2012 en de BIR2017 zijn besproken tijdens de CIP najaarsconferentie. Wat is er veranderd?

Allereerst is de BIR2012 in de basis wel gebaseerd op risicomanagement, maar in praktijk was er meer sprake van maatregelmanagement. In deze versie lag de nadruk veel te veel op de (vele) maatregelen, en dat is natuurlijk niet de bedoeling. Maatregelen zijn geen doel op zich. Daarnaast waren er geen differentiatiemogelijkheden en waren er geen aparte niveaus van beveiliging. Hierdoor werd er voor veel toepassingen een te zwaar niveau nagestreefd. Het gevolg hiervan was dat in de praktijk de BIR2012 niet goed implementeerbaar was en er veel discussie rondom heerste. Dit terwijl een baseline juist duidelijkheid en eensgezindheid dient te scheppen.

Hoe werkt de BIR2017?

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (en hoe meer maatregelen)

• BBN1 is het minimum waar alle Rijksoverheidsystemen aan moeten voldoen, deze komt voort uit de wet- en regelgeving en algemeen geldende beveiligingsprincipes.
• BBN2 vormt het uitgangspunt voor alle informatiesystemen binnen de Rijksoverheid. Deze BBN is van toepassing indien er vertrouwelijke informatie wordt verwerkt, mogelijke incidenten leiden tot bestuurlijke commotie, er onzekerheid bestaat of ook alle informatie van derden open is en de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.
• BBN3 richt zich ten slotte op de bescherming van Departementaal Vertrouwelijk gecategoriseerde informatie, waarbij weerstand geboden moet worden tegen een dreiging.

Bovenstaande BBN’s zijn verder uitgewerkt langs de volgende lijnen: beschikbaarheid, integriteit en vertrouwelijkheid. Iedere BBN bestaat uit een aantal controls, verplichte rijksmaatregelen en een verantwoordings- en toezichtsregime. Om te bepalen op welk niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. Aan de uitwerking van BBN3 wordt op het moment van schrijven nog gewerkt.

Relatie tussen BIR en BIO

De BIR is echter niet de enige sectorale Baseline Informatiebeveiliging. Hiernaast kennen we bijvoorbeeld de Baseline Informatiebeveiliging Gemeenten (BIG), de Baseline Informatiebeveiliging Waterschappen (BIWA) en de Interprovinciale Baseline Informatiebeveiliging (IBI). Qua inhoud zijn de verschillen tussen deze baselines gering. Iedere baseline heeft als het ware alleen een ‘eigen sausje’ en dit bemoeilijkt één gemeenschappelijke taal. Waar wel een groot verschil in is te zien, is de mate van detaillering. Hierdoor lopen de beveiligingsmaatregelen ook uiteen.

Het vervangen van de huidige sectorale baselines door de BIO, moet onder andere bijdragen aan het creëren van meer eenduidigheid binnen en tussen de diverse overheidslagen. Hiernaast worden uiteraard de verbeterpunten uit de huidige baselines meegenomen in de ontwikkeling van de BIO. Zo wordt de nieuwe baseline gebaseerd op de nieuwe ISO 27002:2013 norm en is er sprake van een gestandaardiseerd normenkader. Hiernaast is er de wens vanuit de verschillende overheidslagen om het aantal toetsen te reduceren en de grote hoeveelheid toetsen dus om te zetten naar een Single Audit, zoals nu al wordt getracht met ENSIA .

Zij die op hete kolen zitten moeten dus nog even geduld hebben. Naar verwachting komt de BIO er niet voor 2019. Daar bovenop geldt, net als bij de nieuwe BIR, een overgangstermijn van om en nabij twee jaar. Maar als gemeente kan je je goed voorbereiden door de BIR2017 te doorgronden.

Aan de slag!

Als er een nieuwe baseline aankomt, dan is het toch helemaal niet de moeite waard om als Rijksdienst de nieuwe BIR te implementeren, zul je misschien denken. Dit is gelukkig niet waar, de BIR2017 is er niet voor niets. De BIO gaat namelijk de structuur van de BIR2017 volgen. Het is daarom voor gemeenten nu al interessant om de (inhoudelijke) ontwikkelingen omtrent de BIR2017 te volgen. Ga er dus ook vooral mee aan de slag! Om je een handje te helpen, verschijnen er de komende periode diverse blogs over onder andere de SIVA . Dit is een methodiek voor de ontwikkeling van auditrefentiekaders met behulp van de middelen structuur, inhoud, vorm en analysevolgorde en over het BIO-stelsel, dat bestaat uit de lagen beleids-, uitvoerings- en controldomein.

Kortom, er gaat veel veranderen op het gebied van baselines binnen de informatiebeveiliging. Mijn tips; blijf alles omtrent de BIR2017 en de BIO nauwgezet volgen en houd onze blogs in de gaten voor meer informatie over de SIVA methodiek. Zo gaan we samen een informatieveilig jaar tegemoet!