Wanneer gebruik je BBN2+?


De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?

De basisbeveiligingniveaus
Een Basis Beveiligings Niveau (BBN) is een verzameling van een minimale set van passende maatregelen om een bepaald belang te beschermen. Binnen de BIO kennen we drie (oorspronkelijke) BBN’s met bijbehorende beveiligingseisen, namelijk BBN1, BBN2, BBN3 en aanvullend voor gemeenten is er ook nog BBN2+.

  • BBN1 is het minimale niveau waar alle informatiesystemen aan moeten voldoen op basis van de geldende wet- en regelgeving en algemene beveiligingsprincipes.
  • BBN2 is het uitgangspunt voor alle informatiesystemen. Dit BBN is van toepassing op het moment dat er vertrouwelijke informatie wordt verwerkt, mogelijke incidenten kunnen leiden tot bestuurlijke commotie, er onzekerheid bestaat of ook alle informatie van derden open is en de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.
  • BBN3 richt zich op de bescherming van Departementaal Vertrouwelijk gecategoriseerde informatie, waarbij weerstand geboden moet worden tegen een statelijke dreiging/actoren. BBN3 wordt binnen gemeenten eigenlijk niet toegepast, of je moet als gemeente bijv. met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) samenwerken.
  • BBN2+ is in het leven geroepen omdat het voor gemeenten soms noodzakelijk is om aanvullende maatregelen te nemen boven BBN2. Het is dus een passende set van maatregelen bovenop BBN2.

Bovenstaande BBN’s zijn verder uitgewerkt langs de bekende lijnen van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Elke BBN bestaat uit een aantal controls, verplichte maatregelen en een verantwoordings- en toezichtsregime. Binnen de BIO kun je bij elke overheidsmaatregel zien of het hier gaat om BBN1 of 2. Binnen de formele BIO is (nog) geen sprake van een BBN2+ classificatie, je zult hier dus ook geen verplichte overheidsmaatregelen van vinden.

Hoe hoger het bedrijfsbelang, hoe hoger het BBN-niveau en hoe hoger de potentiële impact (en dus vaak meer maatregelen te implementeren). Elk niveau bouwt voort op het vorige niveau. Daarbij vult BBN2 de controls van BBN1 aan. Voor alle gemeenten geldt dat de meeste systemen binnen het primaire proces moeten voldoen aan BBN2. Aan de hand van dit niveau weet je als gemeente dus precies welke overheidsmaatregelen daarbij horen. De maatregelen van BBN1 zijn van toepassing voor alle gemeentelijke systemen.

Bepalen BBN
Om te bepalen op welk (basis)niveau het informatiesysteem zich bevindt, moet je de Baselinetoets BBN BIO uitvoeren. Met deze toets kan de proceseigenaar vaststellen welk BBN passend is voor zijn/haar informatiesysteem wat binnen de afdeling wordt gebruik. Uit de toets komt als resultaat een set aan beveiligingsmaatregelen die geïmplementeerd moeten worden. Let wel op dat de proceseigenaar hier verantwoordelijk voor is, dus niet een projectleider, CISO of functioneel beheerder. Met de baselinetoets BBN wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het behapbaar en efficiënt. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat uit de toets blijkt dat een systeem een hoger beschermingsniveau nodig heeft dan BBN2. BBN2 hoort namelijk bij de BIV-classificatie Beveiliging: midden, Vertrouwelijkheid: midden en Integriteit: midden. Maar wat als je op Vertrouwelijkheid hoger scoort? In dat geval moet je aanvullende maatregelen nemen om de informatie goed te kunnen beschermen.

Maatregelenset BBN2+

Als dit laatste het geval is dan moest je voorheen een diepgaande risicoanalyse uitvoeren. Maar omdat we als gemeenten veel hetzelfde doen, was het handiger om een gezamenlijke baseline te ontwikkelen die we bovenop de BBN2 kunnen gebruiken. Daarom is er vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) een normenset bedacht passend binnen de BIO. Deze set aan maatregelen is opgesteld in samenwerking met gemeenten en dient ter inspiratie waar je aan kunt denken als je extra maatregelen moet implementeren. De maatregelen die erin staan zijn dus niet verplicht en ook niet uitputtend. Je kunt als gemeente altijd zelf aanvullende maatregelen bedenken die passen bij de situatie. Er geldt namelijk een aanpak op basis van een eigen risico-inschatting. Ook is de set met maatregelen te gebruiken bij afspraken binnen ketens en met leveranciers. Kortom, met deze set kunnen gemeenten veel tijd én geld besparen.

Ondersteunende hulpmiddelen
Tot slot, alser uit de baselinetoets blijkt dat er meer beveiligingsmaatregelen nodig zijn, maar je de maatregelenset BBN2+ van de IBD niet voldoende vindt, kun je er zelfs voor kiezen om aanvullend het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen van de IBD te gebruiken. De BBN’s zijn namelijk bedoeld als maatstaf voor de maximale schade en potentiele impact bij incidenten voor de gemeente zelf. Maar als er in een informatiesysteem persoonsgegevens worden verwerkt, kunnen diezelfde incidenten ook tot schade voor betrokkenen leiden. In dit product is daarom, naast het classificeren van de schade voor de gemeente, een concept-methode toegevoegd voor het classificeren van schade voor betrokkenen. Op basis van de uitkomst kan je kijken of er nog een aanvullende risicoanalyse nodig is.

Meer informatie?
Wil je meer weten over maatregelenset BBN2+, bekijk dan ook de webinar van de IBD hierover.

Heb je na het lezen van deze blog vragen of hulp nodig bij dit onderwerp? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.