Inzicht in het nieuwe normenkader Baseline Informatiebeveiliging Overheid, BIO 2019

De normenkaders BIG (Gemeente), BIR (Rijk), BIWA (Waterschap) en IBI (Provincie) zijn sinds 2019 samengesmolten tot de Baseline Informatiebeveiliging Overheid, BIO. In dit artikel gaan we in op de belangrijkste veranderingen in relatie tot de eerdere BIR / BIG normenkaders en welke positieve of negatieve gevolgen dit kan hebben voor uw organisatie. Het normenkader van de Baseline Informatiebeveiliging Overheid is mede opgesteld om de overheid in staat te stellen te voldoen aan de verantwoordelijkheden betreft de bescherming van persoonsgegevens en de te treffen beveiligingsmaatregelen. Het jaar 2019 zal als overgangsjaar fungeren. Vanaf 2020 dienen alle lagen van de overheid te voldoen aan de normen uit dit nieuwe BIO normenkader.

Integraal inzicht
Het belangrijkste voordeel van de Baseline Informatiebeveiliging Overheid, BIO is integraliteit en uniformiteit. Waar nu verschillende normenkaders bestaan voor bijvoorbeeld een gemeente, het rijk, waterschappen en provincies komt er nu één overkoepelend uniform normenkader. Dit maakt het mogelijk om van elkaar te leren, te benchmarken en een verbetert integraal inzicht te verkrijgen. Echter, bevat de BIO een hoofdstuk “addendum”. Daarbinnen is per overheidsonderdeel (waterschap, gemeente, rijk en provincie) aandacht voor specifieke normen. Dit laatste is dan ook iets om rekening mee te houden bij het uitrollen van de BIO.

60% minder maatregelen!?
Op de website van de informatiebeveiligingsdienst (IBD) valt te lezen dat er “bijna” 60% minder maatregelen zijn opgenomen in de BIO. Wanneer we een vergelijking maken met de BIG inclusief de niet verplichte maatregelen lijkt dat te kloppen. Maar bij de vergelijking met alleen de verplichte BIG maatregelen blijft het aantal bijna gelijk. “Bijna 60% minder maatregelen” is dan ook te relatief en wellicht bedoeld om de acceptatie van het nieuwe normenkader te vergroten.

Makkelijker benchmarken met de ISO 27002
De nieuwe BIO volgt de nummering en indeling van het ISO27002 normenkader. Dit maakt het makkelijker om vergelijkingen te trekken met organisaties uit andere sectoren, bijvoorbeeld leveranciers, die vaak de ISO 27002 hanteren. Dit was ook al verwerkt in de BIR (2017). De nieuwe BIO heeft grotendeels dezelfde hoofdstukken en deelonderwerpen als de BIR (2017). Pas bij de controlepunten vinden we minimale verschillen op inhoud en nummering t.o.v. van de BIR (2017).

Normen soms multi-interpretabel
Om een “toekomst proof” normenkader op te zetten valt er in de BIO te lezen: “De BIO is zoveel als mogelijk op één abstractieniveau beschreven, waarbij wijzigingen en ontwikkelingen een zo klein mogelijke impact hebben op de maatregelen”. De keerzijde hiervan is dat in de praktijk normen soms multi-interpretabel zijn of onduidelijk in detail en daarmee uitdagend om eenduidig te beantwoorden. Dit is niets nieuws onder de zon aangezien in voorgaande normenkaders de normen ook vaak “wollig” waren omschreven.

BBN 1,2 of 3?
Wat verder opvalt zijn de Basis Beveiliging Niveaus (BBN’s). De BBN’s deden hun intrede al in de BIR (2017) en met de introductie van de BIO worden ze binnenkort ook toegepast bij gemeenten. Informatiesystemen kunnen aan de hand van QuickScans vooraf worden gescoord op een BBN van 1, 2 of 3. Afhankelijk van de BBN-score van een informatiesysteem dienen bepaalde normen wel of niet getoetst te worden. Bijvoorbeeld voor een informatiesysteem met een BBN van 1 (laag) zijn bepaalde normen in het normenkader niet verplicht om te toetsen. Opvallend detail: er zijn geen normen opgenomen in de BIO met een BBN-score van 3 (hoog).

De impact op uw organisatie?
We kunnen stellen dat de BIO veel overeenkomsten heeft met de BIR (2017). Een doorontwikkeling van de BIR (2017) naar de BIO zal daarmee een geringe impact hebben op de organisatie. Daarentegen zal de uitrol van de BIO bij gemeentes, die op dit moment toetsen aan de BIG, een grotere stap zijn. De BIO bevat ten opzichte van de BIG een andere indeling, aangepaste hoofdstukken en nieuwe onderwerpen, ISO 27002 normen, BBN’s en QuickScans. Indien de BIG nog niet is geïmplementeerd is deze stap naar de BIO vanzelfsprekend nog uitdagender.

Samen met u gaan we opzoek naar de juiste aanpak
Stel het BIO normenkader staat en u bent klaar om deze uit te rollen in de organisatie. Welke rollen en functies gaan de toetsing uitvoeren? Hoe verkrijgt u grip en inzicht? Weet u of alle normen getoetst worden en hoe vaak? Welke normen gelden voor systemen en welke kunnen eenmalig op organisatieniveau worden getoetst? Hoe kunnen we de vragen decentraal beleggen en toch integraal inzicht houden? Hoe sluiten we de BIO aan op de ENSIA?

Door onze ervaring met diverse implementaties van de BIG, BIR en de BIO normenkaders met behulp van ons Key Control Dashboard bij verschillende organisaties (waaronder rijksoverheden, provincies en gemeenten). Kennen wij de complexiteit en uitdagingen omtrent de uitrol van deze normenkaders. Wij helpen u graag bij de uitdagingen op het gebied van informatiebeveiliging en privacy, het BIO normenkader en de beantwoording van bovenstaande vragen. Mocht u vragen hebben, neem dan gerust contact met ons op.

Stef de Graaf werkt als Senior Consultant bij het Key Control Dashboard. Als Project Manager is hij verantwoordelijk geweest voor de implementatie van IT-oplossingen bij financials, zorg- en overheidsorganisaties.