Quickscan Information Security (QIS); de 7 stappen


Jawel, hij komt er aan: de Baseline Informatiebeveiliging Overheid (BIO). Naar verwachting zal deze in 2019 zijn intrede doen en vanaf 2020 gelden. De BIO vervangt de sectorale baselines, zoals de BIR, BIG, BIWA en IBI. Eerder schreef ik al een blog over de verhouding tussen de BIR2017 en de BIG/BIO. Onderdeel van de huidige BIR en straks ook de BIO is de Quickscan Information Security (QIS) en de BBN-toets. Maar wat houdt de QIS en BBN-toets precies in?

Uitvoering QIS

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. De Quickscan Information Security (QIS) helpt daarbij. Met de handreiking QIS kun je de BBN-toets (zoals beschreven in de BIR21017) voor het bepalen van dit niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen.
De quickscan bestaat uit 7 stappen die ik in deze blog graag met je doorneem.

Stap 1: bepaal de scope, context en rubricering

Deze stap wordt uitgevoerd door de procesbegeleider en de eigenaar van het proces en het informatiesysteem. Niet anders als bij andere processen is een goede voorbereiding en afstemming met de opdrachtgever en de te betrokken functionarissen belangrijk. Samen bepaal je de scope en context van het te beschermen informatiesysteem. Tevens wordt de door de eigenaar vastgestelde rubricering vastgelegd. De resultaten worden vervolgens naar de betrokken functionarissen verzonden.

Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen

Om de doelstellingen die je hebt gedefinieerd onder stap 1 te kunnen realiseren, is het noodzakelijk dat de bedrijfsprocessen goed functioneren. Daarom wordt bij stap 2 het belang van ieder proces geclassificeerd. Waarbij de classificatie de waarde aangeeft die de organisatie hecht aan het informatiesysteem ter ondersteu¬ning van het proces. Tevens wordt er getoetst of er externe eisen zijn vanuit andere organisaties/partners en/of wetgeving waar aan moet worden voldaan, zoals de AVG.

Stap 3: Bepaal het dreigingsprofiel

Het onderscheid in drie basis beveiligingsniveaus – kortaf dus: BBN’s – wordt gemaakt op basis van het dreigingsprofiel. In het dreigingsprofiel leg je vast óf en van welk soort bedrei-gingen het proces met ondersteunend informatiesysteem doelwit kan worden. Hierbij kan het van toegevoegde waarde zijn om ook inzicht te hebben in (beveiligings)incidenten die hebben plaatsgevonden in het verleden.

Stap 4: Bepaal betrouwbaarheidseisen

In deze stap wordt een inschatting gemaakt van de maximale schade die kan ontstaan op het gebied van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’. Dit wordt gedaan aan de hand van de schadescenario’s zoals beschreven in de BIR2017. Waarbij de waarde laag, midden of hoger dan midden kan worden toegekend. De resultaten van deze stap dienen weer als basis voor stap 5: het uitvoeren van de BBN toets.

Stap 5: Voer de BBN-toets uit

Aan de hand van de BBN-toets wordt het bijbehorende BBN gekozen. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (dus hoe meer maatregelen). Welke drie BBN’s er zijn lees je hier. Het BBN wordt bepaald aan de hand van een aantal afwegingen, namelijk:

  • Is BBN2 voldoende?
    In de meeste gevallen is BBN2 van toepassing op een specifiek informatiesysteem. In sommige gevallen is BB2 onvoldoen¬de, in dat geval is BBN3 van toepassing.
  • Is BBN2 te zwaar?
    Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade. Denk aan politieke of diplomatieke schade, financiële schade of reputatie- en imagoschade. Is hier geen sprake van? Dan is BBN1 van toepassing.
  • Bepaal extra vereisten voor beschikbaarheid en/of integriteit
    Op basis van het gekozen BBN kunnen eventuele aanvullende controls en/of zwaardere maatregelen worden overwogen. In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Stap 6: Bepaal passendheid van gekozen BBN

In deze stap wordt per proces en/of informatiesysteem de passendheid van het gekozen BBN bepaald, door na te gaan welke extra (of juist minder) schade kan ontstaan of welke schade waarschijnlijk niet aan de orde zal zijn voor de bij dit BBN behorende niveaus van ‘Beschikbaarheid’ en ‘Integriteit’.

Stap 7: Stel resultaten vast

Tot slot worden de resultaten van de Quickscan vastgesteld door de eigenaar van het proces en/of het informatiesysteem. Deze resultaten kunnen vervolgens worden gebruikt binnen de organisatie om, indien nodig, aanvullende controls en maatregelen vast te stellen.

Aan de slag!

Ik hoop je met bovenstaande samenvatting een beeld te hebben gegeven van wat de
Quickscan inhoudt. De gehele handreiking met daarin alle stappen uitgebreid beschreven vind je hier. Heeft jouw gemeente de Quickscan al uitgevoerd?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog