Van BIG naar BIO; wat zijn de verschillen?

Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

De BIO

Net als bij de BIG helpt de Baseline Informatiebeveiliging Overheid (BIO) het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO is van toepassing op alle overheidslagen er moet er voor zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid verbeterd worden. Op deze manier kunnen gegevens op een veilige manier gedeeld worden binnen de diverse overheidslagen.

Waar de huidige baselines nog gebaseerd zijn op de oude NEN/ISO 27002:2005 norm is de BIO gebaseerd op de huidige, nieuwe ISO 27002:2013 norm. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Daarnaast hoeft niet elke overheidslaag het wiel opnieuw uit te vinden en afzonderlijk voor zichzelf een baseline op te stellen en bij te houden. Win-winsituatie dus!

Verschillen

Wat gaat er veranderen voor gemeenten? De BIO verschilt in een aantal opzichten van de huidige BIG. Ik zet de belangrijkste en de in de praktijk meest merkbare verschillen op een rij:

  • Drie basisbeveiligingniveaus (BBN) – Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. Hoe hoger het niveau, hoe hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, biedt de BIO een BNN-toets. Zie ook mijn eerdere blog over BBN waarin ik hier uitgebreider op inga.

  • Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN. Dit begint met een baselinetoets, de Quickscan Information Security (QIS) . De QIS houdt rekening met de 3 BBN’s. Aan de hand van de QIS kun je vervolgens de BBN-toets voor het bepalen van het niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen. Hiermee wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het hanteerbaar en efficiënt.

  • Minder maatregelen – De ISO 27002:2013 norm bestaat uit 114 controls, ofwel beheersmaatregelen. De BIO volgt deze opbouw en heeft deze controls letterlijk overgenomen. Dit betekent dat er bijna 60% minder maatregelen zijn dan binnen de BIG het geval was.

  • Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen omdat deze voortvloeien uit wet- en regelgeving. De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. Deze maatregelen vormen de basis voor een betrouwbare en professionele informatievoorziening en zijn daarom allemaal en altijd verplicht voor elke overheidslaag, indien van toepassing.

  • Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen aan een eindverantwoordelijke. In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat binnen de overheid elk onderdeel anders georganiseerd is, onderscheidt de BIO drie (hoofd)rollen: de secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Uiteraard zijn er in de praktijk meer rollen betrokken bij informatiebeveiliging, denk aan de toezichthouder en medewerkers, maar het gaat hier om de verantwoordelijke voor de uitvoering van de maatregel.

  • Nieuwe inrichting ENSIA – Met de komst van de BIO zal tevens de wens om het aantal toetsen te reduceren en om te zetten naar een Single Audit vervult worden. Hier wordt bij gemeenten al invulling aangegeven vanuit ENSIA. Dit wordt nu vanuit de BIG aangevlogen en zal dus compleet opnieuw moeten worden ingericht op basis van de BIO.

  • Gewijzigd ondersteuningsaanbod operationele producten – Tot slot is de aanpak van de BIO anders dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van operationele producten van de IBD. Deze zullen moeten worden omgezet naar operationele BIO-producten voor gemeenten.

Bereid je tijdig voor

De verwachting is dat de BIO met ingang van 1 januari 2019 het nieuwe normenkader wordt voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Waarbij 2019 een overgangsjaar zal zijn en er pas vanaf 2020 echt volgens de BIO gewerkt gaat worden. Besluitvorming hierover moet echter nog plaatsvinden, dus het kan ook nog anders (later) worden.

Om je als CISO voor te bereiden op de komst van de BIO is het belangrijkste advies om het proces van risicomanagement op de rails te krijgen met de proceseigenaren. De eerste vraag is dan: waar ligt het eigenaarschap per informatiesysteem? Bereid je tijdig voor op de BIO en richt het proces van risicomanagement goed in om straks ook daadwerkelijk volgens de BIO te kunnen gaan werken. Een goed begin is ook hier het halve werk…

Wat is een Business Impact Analyse, en hoe voer je deze uit?
Het BSN verwerken onder de AVG; wat mag wel en niet?

Copyright © 2014-2018 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap