Jawel, hij komt er aan: de Baseline Informatiebeveiliging Overheid (BIO). Naar verwachting zal deze in 2019 zijn intrede doen en vanaf 2020 gelden. De BIO vervangt de sectorale baselines, zoals de BIR, BIG, BIWA en IBI. Eerder schreef ik al een blog over de verhouding tussen de BIR2017 en de BIG/BIO. Onderdeel van de huidige BIR en straks ook de BIO is de Quickscan Information Security (QIS) en de BBN-toets. Maar wat houdt de QIS en BBN-toets precies in?

Uitvoering QIS

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. De Quickscan Information Security (QIS) helpt daarbij. Met de handreiking QIS kun je de BBN-toets (zoals beschreven in de BIR21017) voor het bepalen van dit niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen.
De quickscan bestaat uit 7 stappen die ik in deze blog graag met je doorneem.

Stap 1: bepaal de scope, context en rubricering

Deze stap wordt uitgevoerd door de procesbegeleider en de eigenaar van het proces en het informatiesysteem. Niet anders als bij andere processen is een goede voorbereiding en afstemming met de opdrachtgever en de te betrokken functionarissen belangrijk. Samen bepaal je de scope en context van het te beschermen informatiesysteem. Tevens wordt de door de eigenaar vastgestelde rubricering vastgelegd. De resultaten worden vervolgens naar de betrokken functionarissen verzonden.

Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen

Om de doelstellingen die je hebt gedefinieerd onder stap 1 te kunnen realiseren, is het noodzakelijk dat de bedrijfsprocessen goed functioneren. Daarom wordt bij stap 2 het belang van ieder proces geclassificeerd. Waarbij de classificatie de waarde aangeeft die de organisatie hecht aan het informatiesysteem ter ondersteu¬ning van het proces. Tevens wordt er getoetst of er externe eisen zijn vanuit andere organisaties/partners en/of wetgeving waar aan moet worden voldaan, zoals de AVG.

Stap 3: Bepaal het dreigingsprofiel

Het onderscheid in drie basis beveiligingsniveaus – kortaf dus: BBN’s – wordt gemaakt op basis van het dreigingsprofiel. In het dreigingsprofiel leg je vast óf en van welk soort bedrei-gingen het proces met ondersteunend informatiesysteem doelwit kan worden. Hierbij kan het van toegevoegde waarde zijn om ook inzicht te hebben in (beveiligings)incidenten die hebben plaatsgevonden in het verleden.

Stap 4: Bepaal betrouwbaarheidseisen

In deze stap wordt een inschatting gemaakt van de maximale schade die kan ontstaan op het gebied van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’. Dit wordt gedaan aan de hand van de schadescenario’s zoals beschreven in de BIR2017. Waarbij de waarde laag, midden of hoger dan midden kan worden toegekend. De resultaten van deze stap dienen weer als basis voor stap 5: het uitvoeren van de BBN toets.

Stap 5: Voer de BBN-toets uit

Aan de hand van de BBN-toets wordt het bijbehorende BBN gekozen. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (dus hoe meer maatregelen). Welke drie BBN’s er zijn lees je hier. Het BBN wordt bepaald aan de hand van een aantal afwegingen, namelijk:

• Is BBN2 voldoende?
  In de meeste gevallen is BBN2 van toepassing op een specifiek informatiesysteem. In sommige gevallen is BB2 onvoldoen¬de, in dat geval is BBN3 van toepassing.
• Is BBN2 te zwaar?
  Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade. Denk aan politieke of diplomatieke schade, financiële schade of reputatie- en imagoschade. Is hier geen sprake van? Dan is BBN1 van toepassing.
• Bepaal extra vereisten voor beschikbaarheid en/of integriteit
  Op basis van het gekozen BBN kunnen eventuele aanvullende controls en/of zwaardere maatregelen worden overwogen. In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Stap 6: Bepaal passendheid van gekozen BBN

In deze stap wordt per proces en/of informatiesysteem de passendheid van het gekozen BBN bepaald, door na te gaan welke extra (of juist minder) schade kan ontstaan of welke schade waarschijnlijk niet aan de orde zal zijn voor de bij dit BBN behorende niveaus van ‘Beschikbaarheid’ en ‘Integriteit’.

Stap 7: Stel resultaten vast

Tot slot worden de resultaten van de Quickscan vastgesteld door de eigenaar van het proces en/of het informatiesysteem. Deze resultaten kunnen vervolgens worden gebruikt binnen de organisatie om, indien nodig, aanvullende controls en maatregelen vast te stellen.

Aan de slag!

Ik hoop je met bovenstaande samenvatting een beeld te hebben gegeven van wat de
Quickscan inhoudt. De gehele handreiking met daarin alle stappen uitgebreid beschreven vind je hier. Heeft jouw gemeente de Quickscan al uitgevoerd?