De BIO. BIO-logisch?
De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging. De BIO staat namelijk voor Baseline Informatiebeveiliging Overheid en is in werking sinds 1 januari 2020. Maar wat houdt de BIO eigenlijk in? Wat zijn de voordelen en de verplichtingen met het werken met de BIO?
De basis van de BIO (en alle andere baselines)
In Nederland, of eigenlijk in West-Europa zijn alle raamwerken in informatiebeveiliging gebaseerd op de NEN-ISO/IEC27000-serie. Daarvan zijn de ISO27001 en ISO27002 de bekendste. De ISO27001 is het managementraamwerk. De PDCA en wat je moet doen om te zorgen dat ‘doen aan security’ niet blijft hangen in de vorm van een project. En dus niet volwassener wordt. De ISO27002 is een heldere en uitgebreide lijst met normen, maatregelen en implementatierichtlijnen, georganiseerd in overzichtelijke domeinen. De ISO wordt, zoals gebruikelijk periodiek geüpdatet. De laatste update was van 2013, die daarvoor van 2005. Je wilt natuurlijk wel met je tijd meegaan! volgende overheidsinstanties dienen te voldoen aan de BIO:
- Rijksoverheid
- Provinciale overheid
- Gemeenten
- Waterschappen
Meerdere normenkaders in het Nederlandse informatiebeveiligingslandschap.
Bij de Nederlandse overheden en in verschillende sectoren werden en worden raamwerken gebruikt die afgeleid zijn van de hierboven genoemde ISO. In de zorg de NEN7510, bij woningcorporaties de BIC. En bij de overheid had iedere bestuurslaag haar eigen baseline: gemeenten de BIG, waterschappen de BIWA, Provincies de IBI en de Rijksoverheid de BIR. De BIR was gebaseerd op de ISO-update van 2013, maar de andere baselines waren nog gebaseerd op de versie uit 2005. Dit zorgde voor verwarring en werkte buitengewoon onhandig. Plus dat de wereld er nu natuurlijk heel anders uit ziet! Ook bleek er een grote behoefte om één baseline voor de gehele overheid te hebben: het stimuleert herkenbaarheid en eenduidigheid.
Evolutie
Daarom werd het tijd voor een update. De BIO vervangt zowel de BIR, de BIWA, de IBI als de BIG. Wel is de BIO gebaseerd op de BIG; het is een evolutie. Maar wat wil men bereiken met de BIO? Met het invoeren van de BIO beoogt men de beveiliging van informatiesystemen bij alle overheidsonderdelen te verbeteren. Alle overheidsinstanties kunnen hiermee aantonen dat de informatie die wordt verstuurd of ontvangen, voldoen aan passende wet- en regelgeving en daarmee goed beveiligd zijn. De BIG was meer ingestoken vanuit het treffen van maatregelen; de BIO legt meer nadruk op risicomanagement. Wat ons betreft een goede ontwikkeling. In onze dagelijkse praktijk zien wij gelukkig meer en meer aandacht voor de aansluiting tussen informatiebeveiliging en risicomanagement. En daarmee wordt impliciet ook erkend dat security een business risk is.
De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:
- Meer risicomanagement;
- Minder maatregelen (bijna 60% minder);
- Maatregelen zijn altijd verplicht;
- 3 Basis Beveiliging Niveaus (BBN1 t/m BBN3);
- Een baselinetoets die rekening houdt met die 3 niveaus;
- Selectie van ontbrekende maatregelen vooraf;
- Toewijzing van maatregelen op eindverantwoordelijke.
De keuze om 3 BBN’s te faciliteren is een goed idee. Dat zorgt ervoor dat de BIO bruikbaar is in verschillende types organisaties met verschillende risicoprofielen. Al met al een aantal flinke wijzigingen. Ook de aanpak van de BIO is nadrukkelijk anders dan met de BIG. Daarnaast is de verplichte herinrichting van de ENSIA een aanzienlijke wijziging. De omschakeling naar de BIO is behoorlijk wat werk, maar goed te doen. En de omschakeling geeft ook kansen om de gehele aanpak van informatiebeveiliging nog eens goed tegen het licht te houden.
Implementatie van de BIO
Voor een juiste implementatie van de BIO dient men de ISO27002 met alle controls toe te passen (of uit te leggen). Dit heet ook wel “comply or explain” (“pas toe of leg uit”). Het normenkader van de ISO27001 en 2 bestaat uit 114 maatregelen welke eenvoudig en overzichtelijk in te richten zijn binnen de organisatie. Veel van deze maatregelen zullen ook al geïmplementeerd zijn binnen de bestaande processen. Echter is het nodig om te komen tot het inzicht dat en waar deze maatregelen worden uitgevoerd.
Ook biedt de invoering van de BIO de kans om alle “lessons learned” ein-de-lijk eens op te pakken en te verwerken in een nieuwe aanpak. En dan het liefst meteen in goede software, die zowel de Security Officer als de Privacy Officer ondersteunt.
Even sparren? Bel gerust.