Baseline Informatiebeveiliging Overheid: voor een veilige digitale overheid

(Februari, 2020)

 

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één ezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.

Voorheen hadden alle bestuurslagen nog een eigen baseline, de BIR (Rijk), BIG (gemeenten), IBI (provincies) en BIWA (waterschappen). Deze baselines waren (met uitzondering van de BIR2017) voor een groot deel nog gebaseerd op de ISO-normering uit 2005 en liepen achter op de actuele ISO uit 2013 (NEN-ISO 27002). Om de informatie-beveiliging optimaal te professionaliseren was er behoefte aan een eenduidige en herken-bare basis voor de gehele overheid. Voor een veilige digitale overheid.

Wat is de BIO?
De BIO is een doorontwikkeling, ofwel een ‘update’, van de BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO.

Security, betrouwbaarheid, informatieveiligheid en TMX
De BIO is dus een basisnorm die structuur biedt aan overheidsinstanties in het risico gestuurd inpassen van applicaties voor gebruik door gemeenten en derden. Dit inpassen geldt zowel voor lokaal toegepaste software als software dat uitbesteed is en als Cloudapplicatie beschikbaar wordt gesteld, zoals de TMX-Net Pro hoofdpost. De inzet van de BIO is met name het borgen van een hoog niveau aan security, betrouwbaarheid en informatieveiligheid.

Te denken valt hier ook aan andere voorzieningen die in TMX worden toegepast of beschikbaar zijn:

  • Simkaart communicatie via een niet-openbare APN
  • Two factor authentication (2FA)
  • Eigen protocol die onder andere voorziet in Firmware over the Air (FOTA)
  • Hosting Tier3 datacenter (gecertificeerd conform ISO27001)
  • Security by Design

Met name het uitwisselen van gegevens met applicaties van derden moet veilig gebeuren en dat zeker wanneer het om persoonsgegevens gaat.

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:

  • Het aantal maatregelen is verminderd met ca. 60%
  • Er is meer aandacht voor risicomanagement en daar wordt vervolgens het gewenste veiligheidsniveau op gebaseerd
  • Er zijn drie standaard beveiligingsniveaus gedefinieerd (BNN’s)
  • Een GAP-analyse is vereist, die invulling geeft aan het basisbeveiligingsniveau van het specifieke informatiesysteem
  • Het aanstellen van een eindverantwoordelijke, zoals een Chief Security Officer

Voor de invoering van de BIO hebben alle gemeentes een risicoafweging gemaakt waarbij een inschatting is gemaakt van mogelijke schade als informatiesystemen tijdelijk niet beschikbaar zijn. Ontstaat er bijvoorbeeld gevaar of schade? Kan een gemaal zelfstandig nog goed functioneren? Zorgt de regeling in bijvoorbeeld het LMX400 onderstation voor voldoende zekerheid? Binnen deze risicoafweging wordt ook nagegaan hoe voorkomen kan worden dat informatie niet integer is. En wat het risico is als informatie in verkeerde handen terecht komt. Kan een gemaal dan gestart of gestopt worden op afstand door de rechtmatige gebruiker en met welk risico? Op basis van onder meer deze afwegingen is een minimaal pakket aan beveiligingseisen beschikbaar voor het implementeren in de betreffende systemen.

Wilt u meer informatie van TMX en de eisen binnen de BIO in uw organisatie, dan informeren wij u graag verder. U kunt hiervoor contact opnemen met onze afdeling Sales via telefoon 078 6100 300 of stuur een email aan sales@tmx.nl