De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?

De basisbeveiligingniveaus
Een Basis Beveiligings Niveau (BBN) is een verzameling van een minimale set van passende maatregelen om een bepaald belang te beschermen. Binnen de BIO kennen we drie (oorspronkelijke) BBN’s met bijbehorende beveiligingseisen, namelijk BBN1, BBN2, BBN3 en aanvullend voor gemeenten is er ook nog BBN2+.

• BBN1 is het minimale niveau waar alle informatiesystemen aan moeten voldoen op basis van de geldende wet- en regelgeving en algemene beveiligingsprincipes.

• BBN2 is het uitgangspunt voor alle informatiesystemen. Dit BBN is van toepassing op het moment dat er vertrouwelijke informatie wordt verwerkt, mogelijke incidenten kunnen leiden tot bestuurlijke commotie, er onzekerheid bestaat of ook alle informatie van derden open is en de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.
• BBN3 richt zich op de bescherming van Departementaal Vertrouwelijk gecategoriseerde informatie, waarbij weerstand geboden moet worden tegen een statelijke dreiging/actoren. BBN3 wordt binnen gemeenten eigenlijk niet toegepast, of je moet als gemeente bijv. met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) samenwerken.
• BBN2+ is in het leven geroepen omdat het voor gemeenten soms noodzakelijk is om aanvullende maatregelen te nemen boven BBN2. Het is dus een passende set van maatregelen bovenop BBN2.

Bovenstaande BBN’s zijn verder uitgewerkt langs de bekende lijnen van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Elke BBN bestaat uit een aantal controls, verplichte maatregelen en een verantwoordings- en toezichtsregime. Binnen de BIO kun je bij elke overheidsmaatregel zien of het hier gaat om BBN1 of 2. Binnen de formele BIO is (nog) geen sprake van een BBN2+ classificatie, je zult hier dus ook geen verplichte overheidsmaatregelen van vinden.

Hoe hoger het bedrijfsbelang, hoe hoger het BBN-niveau en hoe hoger de potentiële impact (en dus vaak meer maatregelen te implementeren). Elk niveau bouwt voort op het vorige niveau. Daarbij vult BBN2 de controls van BBN1 aan. Voor alle gemeenten geldt dat de meeste systemen binnen het primaire proces moeten voldoen aan BBN2. Aan de hand van dit niveau weet je als gemeente dus precies welke overheidsmaatregelen daarbij horen. De maatregelen van BBN1 zijn van toepassing voor alle gemeentelijke systemen.

Bepalen BBN
Om te bepalen op welk (basis)niveau het informatiesysteem zich bevindt, moet je de Baselinetoets BBN BIO uitvoeren. Met deze toets kan de proceseigenaar vaststellen welk BBN passend is voor zijn/haar informatiesysteem wat binnen de afdeling wordt gebruik. Uit de toets komt als resultaat een set aan beveiligingsmaatregelen die geïmplementeerd moeten worden. Let wel op dat de proceseigenaar hier verantwoordelijk voor is, dus niet een projectleider, CISO of functioneel beheerder. Met de baselinetoets BBN wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het behapbaar en efficiënt. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat uit de toets blijkt dat een systeem een hoger beschermingsniveau nodig heeft dan BBN2. BBN2 hoort namelijk bij de BIV-classificatie Beveiliging: midden, Vertrouwelijkheid: midden en Integriteit: midden. Maar wat als je op Vertrouwelijkheid hoger scoort? In dat geval moet je aanvullende maatregelen nemen om de informatie goed te kunnen beschermen.

Maatregelenset BBN2+

Als dit laatste het geval is dan moest je voorheen een diepgaande risicoanalyse uitvoeren. Maar omdat we als gemeenten veel hetzelfde doen, was het handiger om een gezamenlijke baseline te ontwikkelen die we bovenop de BBN2 kunnen gebruiken. Daarom is er vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) een normenset bedacht passend binnen de BIO. Deze set aan maatregelen is opgesteld in samenwerking met gemeenten en dient ter inspiratie waar je aan kunt denken als je extra maatregelen moet implementeren. De maatregelen die erin staan zijn dus niet verplicht en ook niet uitputtend. Je kunt als gemeente altijd zelf aanvullende maatregelen bedenken die passen bij de situatie. Er geldt namelijk een aanpak op basis van een eigen risico-inschatting. Ook is de set met maatregelen te gebruiken bij afspraken binnen ketens en met leveranciers. Kortom, met deze set kunnen gemeenten veel tijd én geld besparen.

Ondersteunende hulpmiddelen
Tot slot, alser uit de baselinetoets blijkt dat er meer beveiligingsmaatregelen nodig zijn, maar je de maatregelenset BBN2+ van de IBD niet voldoende vindt, kun je er zelfs voor kiezen om aanvullend het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen van de IBD te gebruiken. De BBN’s zijn namelijk bedoeld als maatstaf voor de maximale schade en potentiele impact bij incidenten voor de gemeente zelf. Maar als er in een informatiesysteem persoonsgegevens worden verwerkt, kunnen diezelfde incidenten ook tot schade voor betrokkenen leiden. In dit product is daarom, naast het classificeren van de schade voor de gemeente, een concept-methode toegevoegd voor het classificeren van schade voor betrokkenen. Op basis van de uitkomst kan je kijken of er nog een aanvullende risicoanalyse nodig is.

Meer informatie?
Wil je meer weten over maatregelenset BBN2+, bekijk dan ook de webinar van de IBD hierover.

Heb je na het lezen van deze blog vragen of hulp nodig bij dit onderwerp? Laat ons dit dan weten en neem contact met ons op.