image

Van Huffelen wil Baseline Informatiebeveiliging Overheid wettelijk verplichten

donderdag 29 september 2022, 16:50 door Redactie, 18 reacties

De Baseline Informatiebeveiliging Overheid (BIO) moet de verplichte wettelijke basis voor informatieveiligheid bij de overheid worden, zo heeft staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer laten weten. De BIO bevat allerlei maatregelen om systemen te beveiligen en bijvoorbeeld malware of andere aanvallen te voorkomen.

Als het gaat om bescherming tegen malware betreft het zaken als het beperken van het downloaden van bestanden, het voorlichten van gebruikers, het scannen van computers en updaten van antivirussoftware. Ook worden er handreikingen gedaan voor back-up en recovery, zoals maximale dataverlies en hersteltijd, die respectievelijk op 28 uur en 16 werkuren zijn gesteld.

Andere onderwerpen in de BIO zijn logging en monitoring, beheer van technische kwetsbaarheden, audits van informatiesystemen, netwerkbeveiliging, het veilig uitwisselen van informatie, beveiligingseisen voor systemen, omgang met leveranciers en informatiebeveiligingsincidenten, veiligheid van telewerken en het gebruik van mobiele apparatuur, screening van personeel en compliance.

Vorig jaar werd al bekend dat het ministerie van Binnenlandse Zaken aan de slag zou gaan om de BIO als juridisch uitgangspunt te hanteren voor informatieveiligheid bij de overheid. Dit zou de lastendruk bij overheden moeten verminderen. Vandaag laat Van Huffelen weten dat ze wettelijke basis voor informatieveiligheid bij de overheid wil gaan regelen via een zorgplicht waar nadere regels aan zijn te stellen, zoals de BIO.

"Door het wettelijk verplichten van de BIO is de vrijblijvendheid voorbij. Vanuit de Rijksoverheid worden aan medeoverheden vanuit verschillende bronnen informatiebeveiligingseisen gesteld. Door op één plaats een algemene zorgplicht voor informatieveiligheid bij de overheid te regelen, bereik ik ook een vereenvoudiging van regels binnen de overheid", aldus de staatssecretaris. Hierdoor zou de focus meer komen te liggen op het feitelijk beveiligen in plaats van "administratief beveiligen".

Verder zal er toezicht plaatsvinden op de naleving van de wettelijk verplichte informatieveiligheid bij de overheid. Het gaat dan niet alleen om de naleving van algemene regels, zoals de BIO, maar ook op specifieke regels die vanuit vakdepartementen, aanvullend op de BIO worden gesteld. "Het toezicht moet proportioneel zijn, dus veel aandacht voor de zorgvuldigheid bij het beveiligen van vitale processen en andere ‘kroonjuwelen’", stelt Van Huffelen.

Image

Reacties (18)
29-09-2022, 17:14 door Anoniem
Nou, dan kunnen ze daarna gewoon hun handjes in de lucht steken wanneer het fout gaat (niet 'als', want DAT het fout gaat is zeker, alleen nog niet wanneer), want 'men' voldoet dan aan vanalles.
29-09-2022, 18:23 door Anoniem
Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.

De naam alleen al Baseline Informatiebeveiliging Overheid slaat nergens op. Een baseline is de situatie waar je van af meet niet naar waar je toe werkt of wel een moment opname.. Althans als je het hebt over Baseline in IT. Maar iemand heeft vast weer een salespitch gewonnen tijdens een nutteloze vergadering. Want anders hadden ze het wel Normenkader Informatiebeveiliging Overheid genoemd want dat is het een normenkader geen baseline.

En dit klinkt voor sommige mischien als nitpicking maar een systeem, standaard, kader staat en valt bij het correct gebruik van de terminologie door de responsibles.
29-09-2022, 20:28 door Anoniem
Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.
Ik weet uit ervaring dat dit nooit gebeurt in de ambtelijke scene. Die komen inderdaad met eigen plannetjes aanzetten, om dan later op te merken dat het niet heeft gewerkt. De belastingbetaler draait dan volledig op voor de (miljoenen)schade.
29-09-2022, 21:08 door Anoniem
Ik heb de BIO en zijn voorgangers wel eens doorgenomen, maar inhoudelijk meer dan het vervangen van medewerker door ambtenaar en het toevoegen van de VOG heb ik nog niet kunnen waarnemen.

Door het proces van de BIO, loopt de overheid altijd achter op de ontwikkelingen (lees ISO standaarden) in de markt, want er moet altijd een vertaling gemaakt worden van de nieuwste ISO naar de BIO.

Oproep, stop met de BIO en baseer je op de ISO.
30-09-2022, 04:31 door Anoniem
Door Anoniem: Ik heb de BIO en zijn voorgangers wel eens doorgenomen, maar inhoudelijk meer dan het vervangen van medewerker door ambtenaar en het toevoegen van de VOG heb ik nog niet kunnen waarnemen.

Door het proces van de BIO, loopt de overheid altijd achter op de ontwikkelingen (lees ISO standaarden) in de markt, want er moet altijd een vertaling gemaakt worden van de nieuwste ISO naar de BIO.

Oproep, stop met de BIO en baseer je op de ISO.

De BIO is gewoon een ISO in een ander jasje. En dat is maar beter ook, dat wiel hoef niet opnieuw uitgevonden te worden.
30-09-2022, 06:19 door Anoniem
15 jaar geleden was dat allemaal net nieuw bij de semioverheidsdienst waar ik werkte. Toen waren we al op basis van ISO 27001 27002 begonnen (met name omdat we al ISO certified waren). Dat had aardige overlap met deze regels.

Het grootste probleem was dat allemaal redelijk abstract is. Hoe je het technisch en/of organisatorisch afdekt was de grootste puzzel. Het helpt ook niet als iedere regio zijn eigen plan trekt. Daarna werd alles gefuseerd dus dat zal wel geholpen hebben.

Nu speel ik offensief :-)
30-09-2022, 07:35 door Anoniem
Waarom moet de overheid weer hun eigen oplossingen bedenken terwijl ze anderen wel gewoon ISO en NEN normen verplichten te gebruiken. Allemaal weg gegooid belasting geld gebruik gewoon de ISO.
30-09-2022, 08:39 door Anoniem
Reaguurders... weet je echt waar je het over hebt? Persoonlijk vind ik (zelfs als niet-ambtenaar) het geen slecht idee om een standaard af te dwingen over de gehele overheid (en daar zitten dan ook de provincies, waterschappen en gemeentes in).. Dat voorkomt wildgroei tussen de overheden en is duidelijk voor ketenpartners en leveranciers.

Als je de BIO nou even beter bekijkt dan zie je dat die geheel gebaseerd is op ISO27001 (met de 27002 maatregelen). De BIO is zelfs breder en explicieter, omdat er bij de Controls meer expliciete invulling staat (en deze zijn ook nog eens minder vrijblijvend dan in ISO27001-land)
En verder bouwt BIO een gelaagde structuur in beveiligingsniveaus in om onderscheid te maken in de verschillende levels van vertrouwelijkheid (BBN1 laag t/m 3 Hoog) Dat is niet persé slecht, geeft mogelijkheden minder dure middelen in te zetten voor level 1 gegevens.. en deze beveiliging loopt prima in lijn met wat we ook al binnen de NAVO voor data bescherming verplichtingen hebben.

Er is geen enkel systeem van Informatie Beveiliging dat 100% waterdicht is, alleen al omdat er door mensen gewerkt wordt. Maar BIO/ISO geeft je wel de meeste kans dat je op een goede maneir aan de beveiliging denkt en relevante maatregelen treft die passen bij risicoprofiel en je organisatie. In dit geval is de overheid ook met deze verplichting echt niet slecht bezig! En het kan altijd beter.. en de grap is.. de methodes om te verbeteren zitten juist ook al in de BIO (want in ISO27001). Alle problemen

De BIO bestaat al 'n aantal jaar en is nu toe aan versie 2 (bijgewerkt en gelijk getrokken met de inhoud van nieuwste ISO27001:2022 die binnenkort uitkomt.)

Lees je eerst even beetje in voordat je huilie-huilie doet over de Overheid en IT.. ze komen van ver, maar gaan wel de goede kant op!

DUDE
30-09-2022, 08:42 door Anoniem
Door Anoniem: Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.
Door Anoniem: Oproep, stop met de BIO en baseer je op de ISO.

ISO is veel te abstract voor het gebruik door "de overheid". Elk deel van de overheid (rijk, provincie, gemeente, etc.) moet dan zelf de juiste maatregelen gaan lopen afleiden. Daarnaast kan een overheidsorganisatie met ISO gewoon zijn risk appetite op heel hoog zetten en zie hier: compliant met ISO maar 0 gegevensbeveiliging.

Ik vind het goed dat de rijksoverheid 1x de vertaling van abstracte standaards naar concrete maatregelen doorvoert en deze dan aan alle overheidsorganisaties als verplichting oplegd. En zeg nou zelf, hoe vaak worden ISO etc. standaards geupdate? Dat valt echt reuze mee.
30-09-2022, 09:01 door Anoniem
Door Anoniem: Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.

De BIO is de ISO 27001, met ingeperkte keuzevrijheid.

Door Anoniem: De naam alleen al Baseline Informatiebeveiliging Overheid slaat nergens op. Een baseline is de situatie waar je van af meet niet naar waar je toe werkt of wel een moment opname.. Althans als je het hebt over Baseline in IT. Maar iemand heeft vast weer een salespitch gewonnen tijdens een nutteloze vergadering. Want anders hadden ze het wel Normenkader Informatiebeveiliging Overheid genoemd want dat is het een normenkader geen baseline.
Aan het opstellen van de BIO is geen betaalde commerciële partij te pas gekomen.
De ISO komt op een aantal punten tekort om als normenkader dienst te doen. De BIO heeft hetzelfde tekort.

Door Anoniem:En dit klinkt voor sommige mischien als nitpicking maar een systeem, standaard, kader staat en valt bij het correct gebruik van de terminologie door de responsibles.
Inderdaad. ISO 27001 is een standaard, geen norm.
30-09-2022, 09:44 door Anoniem
Als in de gezegde:
If you pay peanuts, you'll get monkey's
Als je pinda's betaalt, krijg je apen
(voor een dubbeltje op de eerste rang willen zitten)

Stel ik voor:
Als een digibeet de IT-normen bepaalt, krijg je gaitekaas
30-09-2022, 12:30 door Anoniem
Wat al door 2 eerdere reageerders genoemd is:
- de BIO is de ISO27001/2 met expliciete toevoegingen voor de overheid
- als de overheid daar aan zou voldoen, zouden er veel minder incidenten zijn. Sterker nog, als alle bedrijven in Nederland aan de BIO zouden voldoen zou geheel Nederland een stuk veiliger ziijn

Dus alle opmerkingen als "zelf iets bedenken", "digibeet die IT-normen bepaalt" (in combinatie met aapjes en pinda's?) zeggen meer over de kennis van de reageerder.
30-09-2022, 12:41 door Anoniem
Door Anoniem: Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.

De naam alleen al Baseline Informatiebeveiliging Overheid slaat nergens op. Een baseline is de situatie waar je van af meet niet naar waar je toe werkt of wel een moment opname.. Althans als je het hebt over Baseline in IT. Maar iemand heeft vast weer een salespitch gewonnen tijdens een nutteloze vergadering. Want anders hadden ze het wel Normenkader Informatiebeveiliging Overheid genoemd want dat is het een normenkader geen baseline.

En dit klinkt voor sommige mischien als nitpicking maar een systeem, standaard, kader staat en valt bij het correct gebruik van de terminologie door de responsibles.

de term "Baseline" wordt in IT inderdaad regelmatig gebruikt als de start van een verbetertraject, de referentie (reference is een synoniem van baseline): Wat is nu de Baseline (referentie), en als we over een jaar meten wat is dan de verbetering.

Maar Baseline wordt ook regelmatig gebruikt als Basisniveau bij het vergelijken van meerdere omgevingen, waarbij gesteld wordt: deze Baseline is het minimumniveau waar iedereen aan moet voldoen. Ook hier is het de referentie waartegen men waardeerd.

Dus een Baseline als "de referentie waaraan iedereen minimaal moet voldoen" is niet ongebruikelijk.

Beide gebruiken zijn een invulling van de definitie
Baseline: A standard measure or perceived common level of performance at a given point in time, against which design objectives and/or performance targets may be set against to achieve improved design outcomes or performance standards.

(bron: https://encyclopedia2.thefreedictionary.com/baseline
30-09-2022, 12:50 door Anoniem
Wel makkelijk, zo zonder enige kennis van zaken uit de losse heup schieten. Een hoop commentaren hier zijn van mensen die echt geen idee hebben waar de BIO over gaat. De meeste mensen kennen de BIO alleen vanaf hoofdstuk 5 en hebben verzaakt eens goed door hoofdstuk 1 t/m 4 te lezen en te begrijpen wat daar staat. Wat ik verder opmerk is dat enkele van jullie ook niet weten wat het verschil is tussen de ISO 27001 en de ISO 27002.

Een norm is niets meer dan een verzameling van afspraken, wetgeving en interne regelgeving. Een standaard is eigenlijk ook gewoon een norm, hetzij vaak algemeen van aard. Dus het verschil tussen de BIO en de ISO is: de ISO is een algemene standaard/norm en de BIO is een specifieke overheidsnorm.

Ik ben juist heel blij met de BIO omdat het mij specifiek richting geeft en als baseline is het een goede basis voor het in control komen op informatiebeveiliging op basis van de ISO 27002. Daarnaast zorgt de BIO ervoor dat ik andere BIO gebruikers impliciet kan vertrouwen en daardoor makkelijker kan samenwerken. De BIO schrijft ook voor dat ik wel zelf moet blijven nadenken en op basis van een risicoafweging mogelijk extra input kan halen uit de implementatie aanwijzingen uit de ISO 27002. Als laatste: je moet natuurlijk wel blijven nadenken als je BIO-overheidsmaatregelen gaat implementeren, je zult soms een vertaalslag moeten maken naar je eigen praktijk.

Het enige wat je mager zou kunnen noemen is de verbinding naar de ISO 27001 (het ISMS of risicomanagement systeem), maar dat komt voornamelijk omdat de overheid werkt vanuit wetgeving en als zodanig zo ook georganiseerd is.
30-09-2022, 14:40 door [Account Verwijderd]
Voor de reaguurders en beste stuurlui aan wal:

De gemeenten in Nederland werken al met de BIG (Baseline Informatiebeveiliging Gemeenten)
De corporaties (verhuurders) werken al met de BIC (Baseline Informatiebeveiliging Corporaties)

Al die BIx -en zijn gewoon vertalingen van ISO normen met, meestal, nog extra regels.
02-10-2022, 11:32 door Anoniem
Door Anoniem: Als ze daar nou eens zouden kappen met het schrijven van eigen bedachte opzetjes en gewoon de betreffende NEN en ISO's zouden volgen en eenvan de vele standaards als het om informatieverwerking gaat was dit allemaal niet nodig.
Misschien moet je eens de moeite doen ergens naar te kijken voor je er een oordeel over hebt. Uit de BIO:
De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid. Met klem vermeldt zij dat de BIO deze normen niet vervangt.

In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.
De BIO zelf maakt dus volkomen duidelijk dat de NEN- en ISO-normen gevolgd moeten worden, precies wat jij wilt.

Wel voegt de BIO een invulling van toe van wat er vereist is. Je kan hierboven in de illustratie bij het artikel een voorbeeld zien van waar het over gaat: de norm is heel globaal, de invulling die de BIO toevoegt is al een stuk concreter.
03-10-2022, 13:52 door Anoniem
Op NoraOnline (https://www.noraonline.nl/wiki/BIO_(Baseline_Informatiebeveiliging_Overheid)( lees ik: "De Baseline Informatiebeveiliging Overheid is per 1 januari 2019 verplicht en vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, BIR en IBI."

Wat betekent hier 'verplicht' en voor wie?
04-10-2022, 14:42 door PJW9779
Och, Van Huffelen doet het best slim.
Alles wat sinds BIOS-1 (1984) bedacht is aan adviezen en richtlijnen is bij de doelgroep systematisch genegeerd, in de prullenbak verdwenen of 'niet begrepen'. Vooral dat laatste leidde tot veel seminars en werkgroepen, met naslagwerk en lunch, waarna alles bij hetzelfde bleef.

Nu wordt hetgeen richtlijn was gewoon een verplichting, evt. met aanwijzing.
Het enige dat nog ontbreekt is de 'accountablity' van verantwoordelijk bestuurders. Maar daarover wordt internationaal al nagedacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.