Quickscan Information Security (QIS); de 7 stappen


Jawel, hij komt er aan: de Baseline Informatiebeveiliging Overheid (BIO). Naar verwachting zal deze in 2019 zijn intrede doen en vanaf 2020 gelden. De BIO vervangt de sectorale baselines, zoals de BIR, BIG, BIWA en IBI. Eerder schreef ik al een blog over de verhouding tussen de BIR2017 en de BIG/BIO. Onderdeel van de huidige BIR en straks ook de BIO is de Quickscan Information Security (QIS) en de BBN-toets. Maar wat houdt de QIS en BBN-toets precies in?

Uitvoering QIS

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. De Quickscan Information Security (QIS) helpt daarbij. Met de handreiking QIS kun je de BBN-toets (zoals beschreven in de BIR21017) voor het bepalen van dit niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen.
De quickscan bestaat uit 7 stappen die ik in deze blog graag met je doorneem.

Stap 1: bepaal de scope, context en rubricering

Deze stap wordt uitgevoerd door de procesbegeleider en de eigenaar van het proces en het informatiesysteem. Niet anders als bij andere processen is een goede voorbereiding en afstemming met de opdrachtgever en de te betrokken functionarissen belangrijk. Samen bepaal je de scope en context van het te beschermen informatiesysteem. Tevens wordt de door de eigenaar vastgestelde rubricering vastgelegd. De resultaten worden vervolgens naar de betrokken functionarissen verzonden.

Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen

Om de doelstellingen die je hebt gedefinieerd onder stap 1 te kunnen realiseren, is het noodzakelijk dat de bedrijfsprocessen goed functioneren. Daarom wordt bij stap 2 het belang van ieder proces geclassificeerd. Waarbij de classificatie de waarde aangeeft die de organisatie hecht aan het informatiesysteem ter ondersteu¬ning van het proces. Tevens wordt er getoetst of er externe eisen zijn vanuit andere organisaties/partners en/of wetgeving waar aan moet worden voldaan, zoals de AVG.

Stap 3: Bepaal het dreigingsprofiel

Het onderscheid in drie basis beveiligingsniveaus – kortaf dus: BBN’s – wordt gemaakt op basis van het dreigingsprofiel. In het dreigingsprofiel leg je vast óf en van welk soort bedrei-gingen het proces met ondersteunend informatiesysteem doelwit kan worden. Hierbij kan het van toegevoegde waarde zijn om ook inzicht te hebben in (beveiligings)incidenten die hebben plaatsgevonden in het verleden.

Stap 4: Bepaal betrouwbaarheidseisen

In deze stap wordt een inschatting gemaakt van de maximale schade die kan ontstaan op het gebied van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’. Dit wordt gedaan aan de hand van de schadescenario’s zoals beschreven in de BIR2017. Waarbij de waarde laag, midden of hoger dan midden kan worden toegekend. De resultaten van deze stap dienen weer als basis voor stap 5: het uitvoeren van de BBN toets.

Stap 5: Voer de BBN-toets uit

Aan de hand van de BBN-toets wordt het bijbehorende BBN gekozen. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (dus hoe meer maatregelen). Welke drie BBN’s er zijn lees je hier. Het BBN wordt bepaald aan de hand van een aantal afwegingen, namelijk:

  • Is BBN2 voldoende?
    In de meeste gevallen is BBN2 van toepassing op een specifiek informatiesysteem. In sommige gevallen is BB2 onvoldoen¬de, in dat geval is BBN3 van toepassing.
  • Is BBN2 te zwaar?
    Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade. Denk aan politieke of diplomatieke schade, financiële schade of reputatie- en imagoschade. Is hier geen sprake van? Dan is BBN1 van toepassing.
  • Bepaal extra vereisten voor beschikbaarheid en/of integriteit
    Op basis van het gekozen BBN kunnen eventuele aanvullende controls en/of zwaardere maatregelen worden overwogen. In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Stap 6: Bepaal passendheid van gekozen BBN

In deze stap wordt per proces en/of informatiesysteem de passendheid van het gekozen BBN bepaald, door na te gaan welke extra (of juist minder) schade kan ontstaan of welke schade waarschijnlijk niet aan de orde zal zijn voor de bij dit BBN behorende niveaus van ‘Beschikbaarheid’ en ‘Integriteit’.

Stap 7: Stel resultaten vast

Tot slot worden de resultaten van de Quickscan vastgesteld door de eigenaar van het proces en/of het informatiesysteem. Deze resultaten kunnen vervolgens worden gebruikt binnen de organisatie om, indien nodig, aanvullende controls en maatregelen vast te stellen.

Aan de slag!

Ik hoop je met bovenstaande samenvatting een beeld te hebben gegeven van wat de
Quickscan inhoudt. De gehele handreiking met daarin alle stappen uitgebreid beschreven vind je hier. Heeft jouw gemeente de Quickscan al uitgevoerd?

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).