Baseline Informatiebeveiliging Overheid (BIO)
In dit artikel
Wat is Baseline Informatiebeveiliging Overheid (BIO)?
De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging binnen de overheid, van ministeries tot en met gemeentes en waterschappen. In de BIO vind je veel richtlijnen terug die vergelijkbaar zijn met veelgebruikte algemene beveiligingsstandaarden zoals ISO 27001. De BIO is echter helemaal gericht op de specifieke eisen en omstandigheden bij overheidsinstellingen.
Wat zijn de voordelen van de Bio van de overheid?
Beveiligingsnormen zorgen ervoor dat organisaties hun informatiebeveiliging efficiënter en effectiever kan organiseren. Het is niet nodig om zelf het wiel opnieuw uit te vinden, zo’n norm geeft gestructureerd alle zaken waarmee je als organisatie rekening moet houden. Ook kun je partners, leveranciers en klanten eenvoudiger uitleggen hoe jouw informatiebeveiliging is opgezet.
Een algemene norm is ISO 27001 die wereldwijd veel wordt toegepast en waarvoor veel organisaties zich certificeren. Toch zijn er ook sectoren die een stap verder willen en een set met eigen sectorspecifieke richtlijnen hebben opgesteld. Zo werkt men binnen de gezondheidszorg met de NEN 751x norm, is er inmiddels ook een normenkader voor het onderwijs en is voor de overheid dus de BIO ontwikkeld. Ben je bij een overheidsinstelling als manager of professional verantwoordelijk voor de digitale beveiliging dan heb je met de BIO een set herkenbare richtlijnen die je direct kunt toepassen.
Extra handig is dat die BIO bruikbaar is voor álle overheidslagen. Tot 2020 waren er verschillende beveiligingsnormen voor specifieke bestuurslagen zoals gemeentes en rijksoverheid. Die normen waren allemaal net anders opgezet terwijl veel beveiligingsrisico’s en maatregelen natuurlijk wel degelijk vergelijkbaar waren. De BIO vervangt nu eerdere normen zoals de BIG, BIWA, IBI en BIR zorgt dat iedere overheidsorganisatie nu op dezelfde manier aan de slag gaat met de beveiligingsrisico’s.
Hoewel de BIO specifiek is bedoeld voor de overheid, is de norm wel afgeleid van de ISO 27001 en 27002 normen. Dat maakt niet alleen het ontwikkelen en onderhoud van de BIO relatief eenvoudig. Ook hebben veel bedrijven en experts van nature kennis van die ISO normen. Dat vergemakkelijkt de samenwerking met andere organisaties en mensen kunnen relatief snel aan de slag met de BIO.
Baseline Informatiebeveiliging Overheid (BIO) in het kort
Zoals aangegeven, vormen de ISO 27001 en27002 het uitgangspunt voor de BIO. Deze normen staan binnen de overheid ook op de zogenaamde ‘pas toe of leg uit’ lijst:
- ISO 27001 geeft richtlijnen voor het inrichten van een managementsysteem voor informatiebeveiliging. Naast de bestuurlijke/procesmatige aanpak voor je beveiliging bevat de norm een uitgebreide annex met geschikte beheer- en beveiligingsmaatregelen.
- ISO 27002 is vooral informatief en geeft extra toelichting bij die maatregelen om ze zo goed mogelijk te kunnen implementeren.
Belangrijk bij deze standaard – en dus ook voor de BIO – is dat het risico-gedreven werkt. Je moet niet simpelweg de complete lijst met maatregelen implementeren. Je moet als organisatie per proces eerst je beveiligingsrisico’s in kaart brengen want daaruit volgt welke maatregelen echt prioriteit hebben. Bovendien moet je die risico analyse regelmatig herhalen om zo nodig beveiligingsmaatregelen aan te passen of toe te voegen.
Na de risicoanalyse ga je dus vervolgens je informatiebeveiliging echt inrichten. De beschreven maatregelen variëren van bijvoorbeeld rolscheiding binnen organisaties tot de invulling van je wachtwoordbeleid; en van een aanpak van je dataclassificatie tot en met de opzet van je incidentmanagement.
Het zwaartepunt van de BIO bestaat dan ook uit de zogenaamde ‘Kader BIO’ met daarin 14 categorieën met per categorie een lijst met beheer- en beveiligingsmaatregelen.
Verschil BIO en ISO 27002
Maar waar zit dan verschil tussen die ISO 27001 / ISO 27002 en de BIO? Twee belangrijke verschillen zijn het risicomanagement en de detaillering van de maatregelen.
De BIO vereenvoudigt allereerst het risicomanagement. Binnen de overheid wordt per proces de informatiebeveiliging georganiseerd aan de hand van drie Basis Beveiligingsniveaus (BBN):
- Bij BBN 1 gaat het om het beschermen van de basale integriteit en beschikbaarheid van informatie.
- Bij BBN 2 gaat het om meer vertrouwelijke gegevens waarbij de impact van beveiligingsincidenten aanzienlijk hoger is.
- BBN 3 wordt toegepast in scenario’s waar de gevolgen van beveiligingsincidenten zeer ernstig kunnen zijn, zoals bij de verwerking van staatsgeheime informatie.
De BIO bevat sowieso een aantal verplichte overheidsmaatregelen maar aanvullend moet er voor ieder bedrijfsproces een zogeheten BBN-toets worden uitgevoerd. Uit die toets volgt een BBN niveau en dat bepaalt welke aanvullende beveiligingsmaatregelen nodig zijn. De risico inventarisatie en het bepalen welke maatregelen dan nodig zijn, is in de BIO veel structureler opgezet dan binnen de algemene ISO standaard.
Vervolgens wordt de BIO verder concreet ingevuld aan de hand van ISO 27002 maatregelen. De ISO 27002-standaard bestaat uit 114 beheersmaatregel en de BIO volgt dezelfde structuur. Waar nodig vult de BIO deze echter aan met gedetailleerde of aanvullende overheid-specifieke eisen. Een voorbeeld van zo’n maatregel die in de BIO specifieker is ingevuld:
- ISO 27002 beschrijft in control 9.3.1 over geheime authenticatie-informatie dat “Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.”. Die maatregel geldt voor alle BBN niveaus.
- De BIO voegt hier maatregel 9.3.1.1 aan toe die specifiek geldt in omstandigheden waar BBN2 of meer geldt: “Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordenkluis”
Kortom, in de ISO 27002 moet je soms nog zelf het beleid interpreteren en afhankelijk daarvan keuzes maken. De BIO maakt de maatregelen vaak een stuk concreter en met de BBN indeling is ook direct duidelijk wanneer een maatregel echt nodig is. Overigens komt er in 2024 een update van de BIO op basis van de nieuwste ISO 27002 versie.
HelloID vereenvoudigt BIO-naleving
Bij het inrichten van je BIO gebaseerde beveiligingsplannen zul je dus per overheidsproces met behulp van de BIO toets nagaan welke beheers- en beveiligingsmaatregel nodig zijn. Bij veel maatregelen is Identity en Access Management (IAM) tegenwoordig een belangrijk onderdeel. Zo wil je vandaag de dag op het niveau van individuele ambtenaren en hun specifieke functie automatisch kunnen bepalen welke toegangsrechten ze mogen krijgen. Ook wil je individuele toegangsverzoeken voor applicaties en data beter beheersen en stroomlijnen, en afhankelijk van iemands profiel en gebruikerscontext zo nodig Multi-Factor Authenticatie toepassen. Bovendien wil je alle individuele beheerhandelingen en inlogpogingen automatisch loggen voor bijvoorbeeld audit trails.
Daarom inventariseren veel beveiligingsprofessionals binnen de overheid of hun huidige IAM oplossingen de BIO maatregelen wel voldoende ondersteunen. Als hulpmiddel daarvoor heeft Tools4ever de whitepaper ‘BIO en de rol van Identity Management’ gemaakt. Daarin vind je een uitgebreide inleiding in de BIO baseline en gaan we dieper in op de rol van Identity Management in de informatiebeveiliging binnen overheidsorganisaties. Een handig gereedschap is de checklist ‘Bijdrage aan ISO 27001 en BIO compliancy’. Daarin wordt per beheersmaatregel beschreven óf IAM functionaliteit hiervoor nodig is en hoe een modern IAM oplossing de beveiligingseisen zo goed mogelijk kan ondersteunen. We beschrijven dit in de checklist aan de hand van ons eigen HelloID Identity-as-a-Service platform.
De Baseline Informatiebeveiliging Overheid (BIO) bevat richtlijnen voor de informatiebeveiliging binnen overheidsinstellingen. De richtlijn is afgeleid van ISO 27001 en 27002 en vervangt eerdere baselines die waren ontwikkeld voor specifieke overheidslagen (zoals rijksoverheid en gemeentes). Dankzij de BIO is er nu een gemeenschappelijke set aan beveiligingsmaatregelen.
Tot nu toe is BIO versie 1 (en meer precies versie 1.04zv van 17-06-2020) geldig. Deze is gerelateerd aan ISO/IEC 27002:2017. Wel is er inmiddels een handreiking ‘indeling BIO v1.0.4zv aan ISO/IEC 27002:2022’ beschikbaar. Daarin zijn de BIO-control en -overheidsmaatregelen omgenummerd naar meest recente ISO/IEC 27002 versie. Een compleet nieuwe BIO versie 2.0 staat gepland voor oktober 2024.
BBN staat voor Basis Beveiligingsniveau, een classificatie van beveiligingsrisico’s binnen de overheid. De BIO bevat een BBN-toets om voor een overheidsproces het juiste basisbeveiligingsniveau (BBN) te bepalen. Het BBN niveau (1, 2 of 3) bepaalt vervolgens welke maatregelen moeten worden geïmplementeerd. BBN2 is altijd het uitgangspunt. Blijkt dat voor een bepaald proces te zwaar is, dan voldoet BBN1. Worden er juist zeer vertrouwelijke gegevens verwerkt of veroorzaakt uitval van een systeem een enorme schade, dan kan men op BBN3 uitkomen.