Van BIG naar BIO; wat zijn de verschillen?


Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

De BIO

Net als bij de BIG helpt de Baseline Informatiebeveiliging Overheid (BIO) het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO is van toepassing op alle overheidslagen er moet er voor zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid verbeterd worden. Op deze manier kunnen gegevens op een veilige manier gedeeld worden binnen de diverse overheidslagen.

Waar de huidige baselines nog gebaseerd zijn op de oude NEN/ISO 27002:2005 norm is de BIO gebaseerd op de huidige, nieuwe ISO 27002:2013 norm. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Daarnaast hoeft niet elke overheidslaag het wiel opnieuw uit te vinden en afzonderlijk voor zichzelf een baseline op te stellen en bij te houden. Win-winsituatie dus!

Verschillen

Wat gaat er veranderen voor gemeenten? De BIO verschilt in een aantal opzichten van de huidige BIG. Ik zet de belangrijkste en de in de praktijk meest merkbare verschillen op een rij:

  • Drie basisbeveiligingniveaus (BBN) – Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. Hoe hoger het niveau, hoe hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, biedt de BIO een BNN-toets. Zie ook mijn eerdere blog over BBN waarin ik hier uitgebreider op inga.
  • Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN. Dit begint met een baselinetoets, de Quickscan Information Security (QIS) . De QIS houdt rekening met de 3 BBN’s. Aan de hand van de QIS kun je vervolgens de BBN-toets voor het bepalen van het niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen. Hiermee wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het hanteerbaar en efficiënt.
  • Minder maatregelen – De ISO 27002:2013 norm bestaat uit 114 controls, ofwel beheersmaatregelen. De BIO volgt deze opbouw en heeft deze controls letterlijk overgenomen. Dit betekent dat er bijna 60% minder maatregelen zijn dan binnen de BIG het geval was.
  • Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen omdat deze voortvloeien uit wet- en regelgeving. De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. Deze maatregelen vormen de basis voor een betrouwbare en professionele informatievoorziening en zijn daarom allemaal en altijd verplicht voor elke overheidslaag, indien van toepassing.
  • Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen aan een eindverantwoordelijke. In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat binnen de overheid elk onderdeel anders georganiseerd is, onderscheidt de BIO drie (hoofd)rollen: de secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Uiteraard zijn er in de praktijk meer rollen betrokken bij informatiebeveiliging, denk aan de toezichthouder en medewerkers, maar het gaat hier om de verantwoordelijke voor de uitvoering van de maatregel.
  • Nieuwe inrichting ENSIA – Met de komst van de BIO zal tevens de wens om het aantal toetsen te reduceren en om te zetten naar een Single Audit vervult worden. Hier wordt bij gemeenten al invulling aangegeven vanuit ENSIA. Dit wordt nu vanuit de BIG aangevlogen en zal dus compleet opnieuw moeten worden ingericht op basis van de BIO.
  • Gewijzigd ondersteuningsaanbod operationele producten – Tot slot is de aanpak van de BIO anders dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van operationele producten van de IBD. Deze zullen moeten worden omgezet naar operationele BIO-producten voor gemeenten.

Bereid je tijdig voor

De verwachting is dat de BIO met ingang van 1 januari 2019 het nieuwe normenkader wordt voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Waarbij 2019 een overgangsjaar zal zijn en er pas vanaf 2020 echt volgens de BIO gewerkt gaat worden. Besluitvorming hierover moet echter nog plaatsvinden, dus het kan ook nog anders (later) worden.

Om je als CISO voor te bereiden op de komst van de BIO is het belangrijkste advies om het proces van risicomanagement op de rails te krijgen met de proceseigenaren. De eerste vraag is dan: waar ligt het eigenaarschap per informatiesysteem? Bereid je tijdig voor op de BIO en richt het proces van risicomanagement goed in om straks ook daadwerkelijk volgens de BIO te kunnen gaan werken. Een goed begin is ook hier het halve werk…

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.