Kennisproducten ter ondersteuning implementatie BIO; wanneer gebruik je wat?


Sinds 2020 geldt de Baseline Informatiebeveiliging Overheid (BIO) als norm voor alle overheden. Om gemeenten bij de implementatie hiervan te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen, zoals een Baselinetoets en handreiking Dataclassificatie. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In deze blog zet ik er enkele voor je onder elkaar.

Implementatie BIO

De implementatie van de BIO is een gemeentebrede activiteit, waarbij de lijnmanager en/of proceseigenaar verantwoordelijk is en de CISO adviseert. Om de CISO en de proceseigenaar te ondersteunen bij de implementatie, heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) diverse operationele kennisproducten ontwikkeld. Superhandig! Maar als minder ervaren CISO kun je ook eenvoudig de weg kwijtraken in dit woud van (Excel)bestanden en maatregelen. Daarom zet ik in deze blog een aantal kennisproducten onder elkaar en beschrijf ik met name de onderlinge samenhang. Het gaat om de volgende producten:

  1. De Baselinetoets BBN BIO – De BIO onderscheidt drie basisbeveiligingniveaus (BBN), namelijk BBN1, BBN2 en BBN3. Dit product is bedoeld voor de proceseigenaar om te beoordelen welk BBN passend is voor het te beschermen proces of informatiesysteem en dus gevolgd dient te worden óf om als proceseigenaar te gebruiken voorafgaand een de start van een project of een nieuw informatiesysteem. Overigens gaat BBN3 er niet komen en spreken we inmiddels over BBN2+.
  2. Maatregelenset BBN2+ – Voor het merendeel van de systemen voor de processen is BBN2 voldoende (vergelijkbaar aan BIG). Maar het kan voorkomen dat een proces of systeem een hoger beschermingsniveau nodig heeft dan BBN2. Deze set aan maatregelen is opgesteld om informatie boven BBN2 adequaat en passend te beschermen en kan in plaats van een diepgaande risicoanalyse gebruikt worden.
  3. Handreiking dataclassificatie BIO – Dit product beschrijft een good practice voor (data)classificaties. De handreiking biedt daarnaast ook handvatten om een classificatiesysteem te ontwikkelen of te verbeteren en deze te implementeren. Eerder schreef ik al eens over dataclassificatie en evenals mijn collega hier.
  4. Eenvoudig hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen – Dit product is opgesteld om CISO’s, FG’s en PO’s bij gemeenten op een handige manier te ondersteunen bij het classificeren en beoordelen van nieuwe processen en applicaties. Zoals de naam al stelt is het minder diepgaand dan een risicoanalyse.
  5. Diepgaande risicolanalyse methode gemeenten – Dit product dient als instrument om risicoanalyses uit te voeren, indien de uitkomst van de baselinetoets als resultaat geeft dat BBN2 ontoereikend is. Deze diepgaande risicoanalyse wordt dus gebruikt in combinatie met de baselinetoets.

Wanneer gebruik je welk product?

De vraag is nu natuurlijk wanneer je welke stap doet en welke producten je daarbij kunnen ondersteunen. Dus wanneer voer ik de Baselinetoets BBN BIO (1) uit of gebruik ik de handreiking Dataclassificatie BIO (3)? Moet ik misschien ook een diepgaande risicoanalyse (5) uitvoeren? Of is dat juist niet meer nodig als ik al een dataclassificatie heb uitgevoerd? Je wilt geen dingen dubbel doen als dat niet nodig is, toch? En wat is eigenlijk het verschil tussen de Maatregelenset BBN2+ (2) en het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen (4)?

Je ziet, de implementatie en ondersteunende kennisproducten kunnen een hoop vragen oproepen. Om je op weg te helpen, deel ik daarom graag mijn visie als het gaat om bovengenoemde producten.

Baselinetoets

De Baselinetoets BBN BIO (1) heb je nodig om het juiste BBN te bepalen. Vaak zal het BBN2 zijn. Soms is norm BBN2 teveel en is BBN1 afdoende, maar het kan ook zijn dat BBN2 niet volstaat en dan moet je aanvullende maatregelen treffen. Indien dit laatste het geval is dan kunnen deze worden verkregen uit een vooraf bepaalde lijst met maatregelen bovenop de baseline, of door een aanvullende diepgaande risicoanalyse.

Welke optie je kiest hangt met name af van of je kiest voor ‘gemak’, een iets uitgebreidere mogelijkheid of ‘the full package’. Indien je voor gemak kiest, biedt de Maatregelenset BBN2+ (2) voldoende meerwaarde. Is gemak ongepast of ga je liever voor een iets uitgebreidere mogelijkheid, dan kun je kiezen voor het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen (4). En als dat niet genoeg is en je alles wilt inzetten (‘better be safe than sorry’) dan kun je kiezen voor de diepgaande risicoanalyse (5).

Maatregelenset BBN2+

Kies je voor de Maatregelenset BBN2+, dan kies je voor gemak. Uiteraard alleen indien de specifieke context dat toelaat. De IBD heeft samen met gemeenten een set aan maatregelen opgesteld die passend is om informatie boven BBN2 naar behoren te beschermen. Deze set kan in plaats van een diepgaande risicoanalyse gebruikt worden. Er geldt een aanpak op basis van een eigen risico-inschatting en geen verplichting. De set kan vrijelijk gebruikt worden om (geheel of gedeeltelijk) te implementeren. Ook is de maatregelenset te gebruiken bij afspraken binnen ketens en met leveranciers.

Dataclassificatie

De handreiking Dataclassificatie BIO is qua aanpak vergelijkbaar met de Baselinetoets BBN BIO (1). Het verschil is alleen dat de handreiking Dataclassificatie als ‘object’ informatie heeft en daarmee ‘buttom up’ gericht is, terwijl de Baselinetoets BBN BIO als ‘object’ een systeem of proces heeft (waarbinnen zich uiteraard weer informatie bevindt) maar daarmee dus ‘top down’ gericht is. Kortom, dit product gebruik je dus voor het object informatie zonder ‘context’ in een proces/systeem, terwijl je de baselinetoets (hetzij indirect) gebruikt voor het object informatie mét ‘context’ in een proces/systeem. Lees ook deze blog.

Eenvoudig hulpmiddel voor bepalen maatregelen

Indien er uit de baselinetoets is gebleken dat meer maatregelen nodig zijn en je de Maatregelenset BBN2+ niet voldoende vindt, kun je kiezen om het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen te gebruiken. De BBN’s dienen als maatstaf voor de maximale schade en potentiele impact voor de organisatie die kan ontstaan bij bedreigingen en gebeurtenissen van buitenaf.

Maar indien er in een proces of applicatie persoonsgegevens worden verwerkt, kunnen diezelfde gebeurtenissen ook tot schade voor betrokkenen leiden. In dit product is daarom, naast het classificeren van de schade voor de organisatie, een concept-methode toegevoegd voor het classificeren van schade voor betrokkenen. Op basis van de uitkomst kan gekeken worden of er nog een aanvullende risicoanalyse moet worden uitgevoerd.

Diepgaande risicoanalyse

Tot slot de diepgaande risicoanalyse voor gemeenten. Indien uit de baselinetoets als resultaat is gekomen dat er aanvullende maatregelen nodig zijn bovenop BBN2, dan kun je ervoor kiezen een aanvullende diepgaande risicoanalyse te doen. Dit geldt ook als één aspect van de BIV buiten het geselecteerde BBN valt, dan moet voor dat aspect een diepgaande risicoanalyse uitgevoerd worden. Het product van de IBD beschrijft o.a. hoe je de diepgaande risicoanalyse uitvoert. Als uit de baselinetoets ook privacyaspecten zijn gekomen, moet er naast een risicoanalyse ook een Data Protection Impact Assessment (DPIA) uitgevoerd worden.

Meer informatie?

Ik hoop je met deze blog meer inzicht te hebben gegeven in de IBD kennisproducten en hoe ze je kunnen helpen bij de implementatie van de BIO binnen jouw gemeente.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Ont-Googlen en terughoudendheid met de cloud

Welke keuzes maak je zelf als het gaat om producten en diensten van de tech-giganten? In hoeverre weeg jij zelf informatiebeveiliging en privacy mee? Vandaag een blog met de persoonlijke reis van Renco.

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …