Kennisproducten ter ondersteuning implementatie BIO
Wanneer gebruik je wat?
Sinds 2020 geldt de Baseline Informatiebeveiliging Overheid (BIO) als norm voor alle overheden. Om gemeenten bij de implementatie hiervan te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen, zoals een Baselinetoets en handreiking Dataclassificatie. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In deze blog zet ik er enkele voor je onder elkaar.
Implementatie BIO
De implementatie van de BIO is een gemeentebrede activiteit, waarbij de lijnmanager en/of proceseigenaar verantwoordelijk is en de CISO adviseert. Om de CISO en de proceseigenaar te ondersteunen bij de implementatie, heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) diverse operationele kennisproducten ontwikkeld. Superhandig! Maar als minder ervaren CISO kun je ook eenvoudig de weg kwijtraken in dit woud van (Excel)bestanden en maatregelen. Daarom zet ik in deze blog een aantal kennisproducten onder elkaar en beschrijf ik met name de onderlinge samenhang.
Vijf producten op rij
- De Baselinetoets BBN BIO – De BIO onderscheidt drie basisbeveiligingniveaus (BBN), namelijk BBN1, BBN2 en BBN3. Dit product is bedoeld voor de proceseigenaar om te beoordelen welk BBN passend is voor het te beschermen proces of informatiesysteem en dus gevolgd dient te worden óf om als proceseigenaar te gebruiken voorafgaand een de start van een project of een nieuw informatiesysteem. Overigens gaat BBN3 er niet komen en spreken we inmiddels over BBN2+.
- Maatregelenset BBN2+ – Voor het merendeel van de systemen voor de processen is BBN2 voldoende (vergelijkbaar aan BIG). Maar het kan voorkomen dat een proces of systeem een hoger beschermingsniveau nodig heeft dan BBN2. Deze set aan maatregelen is opgesteld om informatie boven BBN2 adequaat en passend te beschermen en kan in plaats van een diepgaande risicoanalyse gebruikt worden.
- Handreiking dataclassificatie BIO – Dit product beschrijft een good practice voor (data)classificaties. De handreiking biedt daarnaast ook handvatten om een classificatiesysteem te ontwikkelen of te verbeteren en deze te implementeren. Eerder schreef ik al eens over dataclassificatie.
- Eenvoudig hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen – Dit product is opgesteld om CISO’s, FG’s en PO’s bij gemeenten op een handige manier te ondersteunen bij het classificeren en beoordelen van nieuwe processen en applicaties. Zoals de naam al stelt is het minder diepgaand dan een risicoanalyse.
- Diepgaande risicolanalyse methode gemeenten – Dit product dient als instrument om risicoanalyses uit te voeren, indien de uitkomst van de baselinetoets als resultaat geeft dat BBN2 ontoereikend is. Deze diepgaande risicoanalyse wordt dus gebruikt in combinatie met de baselinetoets.
Wanneer gebruik je welk product?
De vraag is nu natuurlijk wanneer je welke stap doet en welke producten je daarbij kunnen ondersteunen. Dus wanneer voer ik de Baselinetoets BBN BIO (1) uit of gebruik ik de handreiking Dataclassificatie BIO (3)? Moet ik misschien ook een diepgaande risicoanalyse (5) uitvoeren? Of is dat juist niet meer nodig als ik al een dataclassificatie heb uitgevoerd? Je wilt geen dingen dubbel doen als dat niet nodig is, toch? En wat is eigenlijk het verschil tussen de Maatregelenset BBN2+ (2) en het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen (4)?
Je ziet, de implementatie en ondersteunende kennisproducten kunnen een hoop vragen oproepen. Om je op weg te helpen, deel ik daarom graag mijn visie als het gaat om bovengenoemde producten.
Baselinetoets
Voor het bepalen van de eisen die een proces stelt aan de BIV
De Baselinetoets BBN BIO (1) heb je nodig om het juiste BBN te bepalen. Vaak zal het BBN2 zijn. Soms is norm BBN2 teveel en is BBN1 afdoende, maar het kan ook zijn dat BBN2 niet volstaat en dan moet je aanvullende maatregelen treffen. Indien dit laatste het geval is dan kunnen deze worden verkregen uit een vooraf bepaalde lijst met maatregelen bovenop de baseline, of door een aanvullende diepgaande risicoanalyse.
Welke optie je kiest hangt met name af van of je kiest voor ‘gemak’, een iets uitgebreidere mogelijkheid of ‘the full package’. Indien je voor gemak kiest, biedt de Maatregelenset BBN2+ (2) voldoende meerwaarde. Is gemak ongepast of ga je liever voor een iets uitgebreidere mogelijkheid, dan kun je kiezen voor het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen (4). En als dat niet genoeg is en je alles wilt inzetten (‘better be safe than sorry’) dan kun je kiezen voor de diepgaande risicoanalyse (5).
Maatregelenset BBN2+
In plaats van de diepgaande risicoanalyse
Kies je voor de Maatregelenset BBN2+, dan kies je voor gemak. Uiteraard alleen indien de specifieke context dat toelaat. De IBD heeft samen met gemeenten een set aan maatregelen opgesteld die passend is om informatie boven BBN2 naar behoren te beschermen. Deze set kan in plaats van een diepgaande risicoanalyse gebruikt worden. Er geldt een aanpak op basis van een eigen risico-inschatting en geen verplichting. De set kan vrijelijk gebruikt worden om (geheel of gedeeltelijk) te implementeren. Ook is de maatregelenset te gebruiken bij afspraken binnen ketens en met leveranciers.
Dataclassificatie
De bottom-up benadering
De handreiking Dataclassificatie BIO is qua aanpak vergelijkbaar met de Baselinetoets BBN BIO (1). Het verschil is alleen dat de handreiking Dataclassificatie als ‘object’ informatie heeft en daarmee ‘buttom up’ gericht is, terwijl de Baselinetoets BBN BIO als ‘object’ een systeem of proces heeft (waarbinnen zich uiteraard weer informatie bevindt) maar daarmee dus ‘top down’ gericht is. Kortom, dit product gebruik je dus voor het object informatie zonder ‘context’ in een proces/systeem, terwijl je de baselinetoets (hetzij indirect) gebruikt voor het object informatie mét ‘context’ in een proces/systeem.
Eenvoudig hulpmiddel voor bepalen maatregelen
Ziet specifiek op de schade voor betrokkenen
Indien er uit de baselinetoets is gebleken dat meer maatregelen nodig zijn en je de Maatregelenset BBN2+ niet voldoende vindt, kun je kiezen om het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen te gebruiken. De BBN’s dienen als maatstaf voor de maximale schade en potentiele impact voor de organisatie die kan ontstaan bij bedreigingen en gebeurtenissen van buitenaf.
Maar indien er in een proces of applicatie persoonsgegevens worden verwerkt, kunnen diezelfde gebeurtenissen ook tot schade voor betrokkenen leiden. In dit product is daarom, naast het classificeren van de schade voor de organisatie, een concept-methode toegevoegd voor het classificeren van schade voor betrokkenen. Op basis van de uitkomst kan gekeken worden of er nog een aanvullende risicoanalyse moet worden uitgevoerd.
Diepgaande risicoanalyse
Tot slot de diepgaande risicoanalyse voor gemeenten. Indien uit de baselinetoets als resultaat is gekomen dat er aanvullende maatregelen nodig zijn bovenop BBN2, dan kun je ervoor kiezen een aanvullende diepgaande risicoanalyse te doen. Dit geldt ook als één aspect van de BIV buiten het geselecteerde BBN valt, dan moet voor dat aspect een diepgaande risicoanalyse uitgevoerd worden. Het product van de IBD beschrijft o.a. hoe je de diepgaande risicoanalyse uitvoert. Als uit de baselinetoets ook privacyaspecten zijn gekomen, moet er naast een risicoanalyse ook een Data Protection Impact Assessment (DPIA) uitgevoerd worden.
Ik hoop je met deze blog meer inzicht te hebben gegeven in de IBD kennisproducten en hoe ze je kunnen helpen bij de implementatie van de BIO binnen jouw gemeente.
