Categorie: informatiebeveiliging (blog)

De impact van de nieuwe ISO27002 op de BIO

De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens de NEN-ISO/IEC 27002-standaard uit 2017 en beschrijft de invulling van deze ISO-standaard voor de overheid. Dit jaar staat de introductie van de nieuwe versie van de ISO 27002 gepland. Welke impact heeft dat op de inhoud en samenstelling van de huidige BIO? En wat betekent dit voor gemeenten?

De ISO 27002

De Internationale Organisatie voor Standaardisatie (ISO) is een organisatie die normen, vooral op het vlak van beveiliging, in de breedste zin ontwikkelt: van volksgezondheid tot aan informatiebeveiliging. De ISO 27002-standaard is een best practice van beveiligingsmaatregelen om informatiebeveiligingsrisico’s te reduceren. De ISO 27002 is een nadere uitwerking van de ISO 27001 annex A en kan organisaties ondersteunen gedurende de implementatie van een Information Security Management System (ISMS). De ISO 27002 norm is voor het laatst inhoudelijk aangepast in 2013 en in 2018 is opnieuw besloten tot herziening.

Impact op de huidige BIO

Dit heeft vanzelfsprekend impact op de huidige BIO, die is gebaseerd op de ISO 27002. De ISO controls zijn namelijk letterlijk in de BIO overgenomen. Om te achterhalen wat voor impact de ISO 27002 wijzigen hebben op de huidige BIO en de implementatie daarvan, heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) het adviesbureau Verdonck Klooster & Associates (VKA) gevraagd een onderzoek uit te voeren. Conclusie is dat er voldoende draagvlak is de huidige BIO aan te passen aan de nieuwe ISO 27002. Zodra de nieuwe versie wordt gepubliceerd door de NEN-organisatie zal de aanpassing van de BIO worden opgepakt. Wijzigingen in de ISO27002 kunnen in sommige gevallen leiden tot het splitsen of samenvoegen van overheidsmaatregelen of in een incidenteel geval tot het laten vervallen daarvan. Het beoogde beveiligingsniveau zal echter niet veranderen door de komst van de nieuwe ISO-versie.

Verschillen

Wat gaat er veranderen? Uit het onderzoek van VKA blijkt dat er een aantal wijzigingen is uitgevoerd op structuur en inhoud. Hieronder de belangrijkste ISO 27002 wijzigingen:

  1. Thema’s

Met de komst van de ISO 27002 wijzigingen is er een grote verandering doorgevoerd in de indeling: de beheersmaatregelen worden straks verdeeld in vier groepen in plaats van 14. Elk met een eigen thema:

  • Mensen, bijvoorbeeld werken op afstand.
  • Fysieke objecten, bijvoorbeeld toegang tot de serverruimte.
  • Technologie, bijvoorbeeld testen.
  • Organisatie, bijvoorbeeld een inventaris van informatie en bijbehorende middelen.

2. Aantal controls

Een belangrijke wijziging is dat het aantal beheersmaatregelen teruggaat van 110 naar 96, waarvan 24 door samenvoeging van oude controls. Inhoudelijk is bij de samenvoeging niets geschrapt. In die 96 controls zijn er 13 nieuwe controls toegevoegd.

3. Attributen

De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van kenmerken, ook wel ‘attributen’ genoemd. Hiermee kunnen controls geordend en beoordeeld worden. Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals de vijf NIST-functies.

Risicomanagement als startpunt

De BIO gaat uit van risicomanagement als integraal startpunt voor de implementatie van maatregelen. De controls zullen dus altijd op basis van een risicoafweging vertaald moeten worden naar concrete maatregelen. In de praktijk zien we echter twee benaderingen bij overheidsorganisaties:

  1. Een ‘compliance based’ benadering, waarbij de focus gelegd wordt op de implementatie van overheidsmaatregelen. Als de overheidsmaatregelen niet of zeer beperkt wijzigen bij de nieuwe BIO-versie, zullen deze organisaties weinig impact van de nieuwe versie ondervinden.
  2. Een ‘risicogebaseerde’ benadering, waarbij de focus ligt op de analyse van bedreigingen en risico’s en vervolgens op het toepassen van de controls. Bij implementatie van de nieuwe BIO-versie zullen deze organisaties afhankelijk van de bedreigingen en risico’s de nieuwe controls waar nodig inpassen.

Kortom, er zijn nogal wat verplichte overheidsmaatregelen waarmee je de vraag kan stellen of “de invoering van controls altijd gebaseerd is op een risicoafweging.” Naar mijn smaak is de andere benadering (compliance based) de dominante. Toch blijven we halsstarrig stellen dat de BIO-implementatie risicogebaseerd is.

Impact op gemeenten

Wanneer de wijzigingen worden doorgevoerd in een aangepaste BIO, heeft dit impact op gemeenten en op organisaties waarmee de gemeenten samenwerkt, zoals leveranciers. Om te bepalen wat die impact is, heeft VKA gesproken met VNG, als woordvoerder van de gemeenten. Dit betekent wel dat alle Nederlandse gemeenten nu vertegenwoordigd zijn door twee personen. Ik persoonlijk vind dat mager… Enfin, volgens de VNG varieert de werklast voor aanpassing en de doorlooptijd van de BIO per gemeente. Hoe verder de gemeente is met de invoering van de BIO, hoe kleiner de werklast zal zijn. De impact voor gemeenten ‘op papier’ is nul, stelt men. De implementatie van de BIO is immers een continu proces. Al zou je ook kunnen zeggen dat je op een gegeven moment van implementeren door kan naar beheren en dat daarmee de BIO-implementatie géén continue proces is. Wel een láng proces. Lees hier meer over in mijn eerdere blog ‘Met de BIO bezig blijven; hoe lang?’.

Impact op contracten en certificeringstrajecten

Het aanpassen van de BIO aan de NEN-ISO-27002 heeft ook impact op reeds afgesloten dan wel af te sluiten contracten en ISO-27001 certificeringstrajecten. Voor de gemeenten betreft dit de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) en de Gemeentelijke ICT Kwaliteitsnormen. In de Gemeentelijke ICT-kwaliteitsnormen is in paragraaf 4.3 opgenomen dat ‘de ICT-prestatie de functionele en technische mogelijkheden dient te hebben zodat de opdrachtgever kan voldoen aan de BIO’. Afhankelijk van de aard van de ICT-prestatie kan een gewijzigde BIO grote impact hebben op dergelijke contracten door de inzichten die de nieuwe BIO kan bieden op de specifieke terreinen van de nieuwe controls. Maar het is belangrijk om hier te noemen dat art. 25(1) jo. 25(2) GIBIT de mogelijkheid biedt om een andere norm voor informatiebeveiliging overeen te komen dan de BIO.

Dus ben je als gemeente met je leveranciers overeengekomen dat bijvoorbeeld een ISO27001 certificaat volstaat? Dan veroorzaakt de gewijzigde BIO geen problemen. Het certificaat blijft namelijk geldig voor een termijn van drie jaar, ook na wijziging van de norm. Na de ‘transitieperiode’ zullen zij, om een certificering te behouden, uiterlijk drie jaar na invoering van de nieuwe ISO een hercertificering volgens de nieuwe ISO27001 moeten halen. Hiermee blijven zij ook compliant aan een gewijzigde BIO. Kortom, de impact van een gewijzigde BIO op nieuwe contracten kan dan ook als minimaal beschouwd worden.

Doorlooptijd

Maar voordat we zover zijn, dient eerst een traject ingezet te worden om de wijzigingen door te voeren in de BIO. Deze eerste stap wordt uitgevoerd door de Werkgroep BIO en bekrachtigd in het Kern IBO. De start van dit traject vindt plaats na publicatie van de nieuwe ISO 27002, naar verwachting maart 2022. Het Kern IBO heeft aangegeven dat de inhoudelijke aanpassingen van maatregelen pas bij de geplande evaluatie van de BIO aan de orde zijn. Deze staat gepland voor 2023, maar gaat naar verwachting (eerder) parallel lopen aan de ontwikkeling BIO 2.0.

Op het moment dat gemeenten de aanpassingen in beeld hebben, moet er een keuze gemaakt worden hoe deze maatregelen in te voeren in de organisatie. Dat kan op twee manieren:

  1. Als apart project. De wijzigingen worden dan als totaalpakket ingepland en uitgerold in de organisatie.
  2. Als onderdeel van de reguliere onderhoudscyclus. De wijzigingen worden dan als deelpakketten behandeld in de verschillende (vaak meerjarige) onderhoudscycli die de gemeente hanteert voor het aanpassen van processen, informatiesystemen en infrastructuur.

Ondersteunende kennisproducten

Zowel de Informatiebeveiligingsdienst (IBD) als het Centrum Informatiebeveiliging en Privacybescherming (CIP) bieden ondersteunende kennisproducten aan ten behoeve van de implementatie van de BIO. De IBD geeft aan dat een nieuwe ISO 27002 weinig impact zal hebben op deze ondersteunende producten. Het onderhoud van de producten is volgens de IBD immers onderdeel van de normale procesgang. Echter, in tegenstelling tot de IBD, geeft het CIP aan dat de nieuwe ISO 27002 wél grote impact heeft op de ondersteunende producten van het CIP, aangezien deze allemaal aangepast dienen te worden doordat de nieuwe ISO 27002 verschilt op structuur. Kortom, daar is nog werk aan de winkel.

Meer informatie?

Ben je benieuwd naar alle onderzoeksresultaten, lees dan hier het hele rapport ‘Onderzoek Impact 2021 versie ISO27002 op de BIO’ of bekijk de webinar van het CIP hierover. Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  


Applicatiebeheer in relatie tot de BIO

De implementatie van de BIO is niet alleen specifiek de verantwoording van de CISO. Het is een samenspel van diverse specialisten uit verschillende vakgebieden, waaronder ook applicatiebeheer. Applicatiebeheer is (de naam zegt het al) verantwoordelijk voor het beheer van alle applicaties binnen de gemeente. Maar hoe weet je als applicatiebeheerder of je volgens de BIO-kaders werkt?

Lees verder

Zó hack je een stad!

Elke organisatie is te hacken. Dagelijks sta je als gemeente bloot aan digitale risico’s, waarbij cybercriminelen gaten proberen te ontdekken in de beveiliging. Om de gemeentelijke digitale weerbaarheid te toetsen en vergroten, organiseert gemeente Den Haag in samenwerking met Cybersprint daarom sinds 2017 het jaarlijkse hack-evenement: Hâck The Hague. Met de e-guide ‘Zo hack je een stad’ kan iedere gemeente nu een eigen variant organiseren.

Lees verder

Techblog: DNS h(ij)acking

Gewoon omdat het kan hebben we deze week een techblog voor je gereed. Misschien de eerste van een heuse serie, maar dat gaan we zien. DNS staat voor Domain Name Server. In deze blog leggen we uit wat de DNS doet en hoe (en waarom) hackers proberen de DNS te hacken. Ook zonder technische achtergrondkennis te lezen. Althans, daar streven we naar.

Lees verder

Wat te doen bij een beveiligingsincident?

Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening in gevaar brengen. Je kunt daarom maar beter goed voorbereid zijn. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident plaatsvindt? En hoe kun je de gevolgen beheersen? Dit en meer leg je vast in een Incident Response Plan. Hoe je dat doet lees je in deze blog.

Lees verder

Risicomanagement en bewustwording; lege containers?

Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?

Lees verder

Waar gaat de Wet digitale overheid over?

Onze maatschappij digitaliseert steeds verder. Zeker sinds corona regelen we nog meer zaken online dan we al deden. Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Het is de bedoeling dat deze nieuwe wet gaat zorgen voor betere bescherming rond digitalisering, maar ook voor betere toegankelijkheid. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Lees verder

Beleid voor informatiebeveiliging in bredere context

Als CISO zal je eens per drie of vier jaar een nieuw of geactualiseerd informatiebeveiligingsbeleid schrijven en laten vaststellen door het college. Grote kans dat je daarbij uitgaat van een format van de Informatiebeveiligingsdienst. Waar dat format, wat mij betreft, niet echt in uitblinkt is het koppelen van informatiebeveiliging beleidsuitgangspunten voor een gemeente aan lokale, regionale en/of landelijke beleidsuitgangspunten en uitvoeringsagenda’s. In deze blog doe ik een poging alsnog deze inbedding aan te rijken. Het is een lange blog waaruit  je naar hartenlust kunt kopiëren/plakken.

Lees verder

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering binnen de overheid gaat razendsnel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee als het gaat om de informatiebeveiliging van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. De BIO benoemt een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke basisprocessen dit zijn lees je in deze blog.

Lees verder

Met de BIO bezig blijven: hoe lang?

Ja, met de Baseline Informatiebeveiliging Overheid (BIO) ben je nog wel even bezig. Net zoals je daarvoor al de nodige jaren bezig kon zijn met haar voorlopers, waaronder de Baseline Informatiebeveiliging Gemeenten. Zo gingen gemeenten van BIG naar BIO. Cynisch bezien kan je jaren blijven stellen dat je bezig bent met de implementatie, mits het normenkader steeds maar wijzigt. Oude wijn in nieuwe zakken is ons niet vreemd. Vandaag echter nauwelijks cynisme, maar een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.

Voor de liefhebber heb ik verwijzingen opgenomen naar 25 blogs die ik door de jaren heen schreef over de genoemde onderwerpen. Hopelijk zie je aanleiding (online) verder te lezen!

Lees verder