Baseline Informatiebeveiliging Overheid (BIO)

De Baseline Informatiebeveiliging Overheid (BIO) is een baseline voor overheidsorganisaties waarin een basisniveau voor informatiebeveiliging wordt gesteld. Het doel van de BIO is om de beveiliging van informatie(systemen) bij alle bestuursorganen van de overheid te bevorderen. Hiermee beoogt de BIO een vertrouwen te creëren dat alle onderdelen van de overheid onderling uitgewisselde gegevens in lijn zijn met de wet- en regelgeving en dus correct beveiligd zijn. Het basisniveau geeft een ondergrens aan, waarbij alle maatregelen uit de baseline moeten worden geïmplementeerd om aan deze ondergrens te voldoen.

Ontstaan van de BIO

De BIO komt voort uit een aantal sectorale baselines, waaraan specifieke bestuurslagen van de overheid zich moesten houden. Zo bestond er een Baseline voor het Rijk (Baseline Informatiebeveiliging Rijk), een baseline voor provincies (Interprovinciale Baseline Informatiebeveiliging), een baseline voor gemeenten (Baseline Informatiebeveiliging Gemeenten) en een baseline voor Waterschappen (Baseline Informatiebeveiliging Waterschappen). Voorheen had iedere overheidslaag dus een eigen baseline, maar met de BIO is een begin gemaakt aan een centrale baseline voor de gehele overheid. Door een centrale baseline kunnen verschillende keten van overheden en andere partijen betere afstemming vinden en betere aansluiting bij internationale regelgeving.

Structuur van de BIO

De BIO is opgedeeld in drie delen. Het eerste deel beschrijft het uitgangspunt van de overheid omtrent informatiebeveiligingskaders de structuur van het document, de basis beveiligingsniveaus (BBN) en verantwoording van de BIO in overheidsorganisaties. In dit deel van de BIO is het voor organisaties voornamelijk van belang om de basisbeveiligingsniveaus te begrijpen. Het eerste basisbeveiligingsniveaus (BBN1) beschrijft wat er minimaal verwacht wordt van overheidssystemen op het gebied van informatiebeveiliging. Echter neemt de BIO BBN1 niet als uitgangspunt, maar BBN2. BBN2 vormt een aanvulling op BBN1. Zo moet nog steeds worden voldaan aan de BBN1, maar zal in het geval van BBN2 nog aanvullende maatregelen genomen moeten worden. Deze BBN2 is aan de orde als:

  • Er vertrouwelijke informatie wordt verwerkt;
  • Mogelijke incidenten leiden tot bestuurlijke commotie;
  • De veiligheid van andere systemen afhankelijk is van de veiligheid van het eigensysteem.

BBN3 gaat nog een stap verder en is aan de orde als:

  • Verlies van informatie een grote impact heeft, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op BBN3;
  • Informatie met een rubricering (niet zijnde BBN2) wordt geleverd door derden;
  • Aansluiting op een infrastructuur BBN3 is vereist om informatie te kunnen verwerken op deze infrastructuur (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen).

Het tweede deel van de BIO beschrijft hoe een BBN-toets kan plaatsvinden. Deze toets is bedoeld om het juiste basisbeveligingsniveau (BBN) te bepalen en wordt voor ieder bedrijfsproces uitgevoerd. In de BIO wordt BBN2 als uitgangssituaties gebruikt en daarom is de eerste stap om te bestuderen of BBN2 voldoende is. Na het bepalen van de BBN wordt bestudeerd welke controls moeten worden doorlopen en per control wordt bepaald welke aanvullende maatregelen nodig zijn. De BIO houdt de nummering van de ISO 27002 aan om het zo overzichtelijk mogelijk te houden voor overheidsorganisaties en andere betrokken partijen die hiermee te maken hebben.

Het derde en laatste deel is een addendum, waarin alle eisen genoemd worden die specifiek en verplichtend zijn voor een bepaalde overheidslaag. Tevens worden hierin andere aanvullingen gemaakt die elders in de BIO niet goed paste. Dit deel geldt dus voor de meeste overheidsorganisaties niet.

Toekomst van de BIO

In de toekomst moet er worden nagedacht over de hoe de BIO in de praktijk wordt gebruikt en functioneert. De BIO moet namelijk geen doel op zichzelf worden. De BIO vormt een middel om het doel van een veilige omgang met informatie bij alle bestuursorganen van de overheid te bewerkstelligen. Wanneer organisaties een risico-analyse uitvoeren en hieruit blijkt dat bepaalde aspecten uit de BIO niet noodzakelijk zijn voor deze organisatie, moet er ook de mogelijkheid blijven om deze niet na te streven. In de huidige praktijk kan het voorkomen dat organisaties bezig zijn met risicomanagement en concrete maatregelen hiervoor nemen, maar nog steeds worden afgestraft omdat zij niet alle maatregelen uit de BIO volgen.

;