Van BIG naar BIO; wat zijn de verschillen?


Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

De BIO

Net als bij de BIG helpt de Baseline Informatiebeveiliging Overheid (BIO) het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO is van toepassing op alle overheidslagen er moet er voor zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid verbeterd worden. Op deze manier kunnen gegevens op een veilige manier gedeeld worden binnen de diverse overheidslagen.

Waar de huidige baselines nog gebaseerd zijn op de oude NEN/ISO 27002:2005 norm is de BIO gebaseerd op de huidige, nieuwe ISO 27002:2013 norm. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Daarnaast hoeft niet elke overheidslaag het wiel opnieuw uit te vinden en afzonderlijk voor zichzelf een baseline op te stellen en bij te houden. Win-winsituatie dus!

Verschillen

Wat gaat er veranderen voor gemeenten? De BIO verschilt in een aantal opzichten van de huidige BIG. Ik zet de belangrijkste en de in de praktijk meest merkbare verschillen op een rij:

  • Drie basisbeveiligingniveaus (BBN) – Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. Hoe hoger het niveau, hoe hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, biedt de BIO een BNN-toets. Zie ook mijn eerdere blog over BBN waarin ik hier uitgebreider op inga.

  • Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN. Dit begint met een baselinetoets, de Quickscan Information Security (QIS) . De QIS houdt rekening met de 3 BBN’s. Aan de hand van de QIS kun je vervolgens de BBN-toets voor het bepalen van het niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen. Hiermee wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het hanteerbaar en efficiënt.

  • Minder maatregelen – De ISO 27002:2013 norm bestaat uit 114 controls, ofwel beheersmaatregelen. De BIO volgt deze opbouw en heeft deze controls letterlijk overgenomen. Dit betekent dat er bijna 60% minder maatregelen zijn dan binnen de BIG het geval was.

  • Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen omdat deze voortvloeien uit wet- en regelgeving. De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. Deze maatregelen vormen de basis voor een betrouwbare en professionele informatievoorziening en zijn daarom allemaal en altijd verplicht voor elke overheidslaag, indien van toepassing.

  • Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen aan een eindverantwoordelijke. In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat binnen de overheid elk onderdeel anders georganiseerd is, onderscheidt de BIO drie (hoofd)rollen: de secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Uiteraard zijn er in de praktijk meer rollen betrokken bij informatiebeveiliging, denk aan de toezichthouder en medewerkers, maar het gaat hier om de verantwoordelijke voor de uitvoering van de maatregel.

  • Nieuwe inrichting ENSIA – Met de komst van de BIO zal tevens de wens om het aantal toetsen te reduceren en om te zetten naar een Single Audit vervult worden. Hier wordt bij gemeenten al invulling aangegeven vanuit ENSIA. Dit wordt nu vanuit de BIG aangevlogen en zal dus compleet opnieuw moeten worden ingericht op basis van de BIO.

  • Gewijzigd ondersteuningsaanbod operationele producten – Tot slot is de aanpak van de BIO anders dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van operationele producten van de IBD. Deze zullen moeten worden omgezet naar operationele BIO-producten voor gemeenten.

Bereid je tijdig voor

De verwachting is dat de BIO met ingang van 1 januari 2019 het nieuwe normenkader wordt voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Waarbij 2019 een overgangsjaar zal zijn en er pas vanaf 2020 echt volgens de BIO gewerkt gaat worden. Besluitvorming hierover moet echter nog plaatsvinden, dus het kan ook nog anders (later) worden.

Om je als CISO voor te bereiden op de komst van de BIO is het belangrijkste advies om het proces van risicomanagement op de rails te krijgen met de proceseigenaren. De eerste vraag is dan: waar ligt het eigenaarschap per informatiesysteem? Bereid je tijdig voor op de BIO en richt het proces van risicomanagement goed in om straks ook daadwerkelijk volgens de BIO te kunnen gaan werken. Een goed begin is ook hier het halve werk…

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.