Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

BIO-Aanpak

Kees Hintzbergen, Senior adviseur IB IBD

Waar gaan we het over hebben

• Het goede nieuws!

• Uitgangpunten

• Waarom

• Wat is de BIO

• BIO toepassing

• BIO – Wat is BBN

• Beveiligingsniveau’s

• Onderhoud van de BIO

• Hoe dan? Hoe gaan we verder als gemeente

• Aanpak Baselinetoets

• Aanpak GAP-analyse

Het goede nieuws!

• We blijven doen wat we al deden

• Minimale impact

• Volledig ondersteund met producten en ondersteuning van de IBD

• Keuze mogelijkheid

Uitgangspunten

• Hanteerbaar en efficiënt

• Risicomanagement is en blijft uitgangspunt

• De rol bepaalt wijze van verantwoording

• Belang bepaalt diepgang verantwoording

• Veilige samenwerking in ketens en bij gegevensuitwisseling

• Transitie

› VNG > BIO = verbindende standaard per 1-1-20201

BIO uitgangspunten

1De BIO is verbindend verklaard voor alle gemeenten door het bestuur van VNG op voordracht van het college van dienstverleningszaken van VNG per 1-1-

2020. De BIO is daarnaast aangenomen in het OBDO waarmee het een standaard is geworden voor de hele overheid.

BIO Waarom ook alweer?

• Urgentie op politieke niveau

• Reguliere bijstelling (evaluatie)

• Nieuwe ISO 27002:2013

• Operationele verbeteringen

• Gezamenlijke ontwikkeling

• Gedeelde taal, samenwerken in ketens

• Allemaal hetzelfde, basisnorm

• In de pas lopen met de NEN/ISO en de markt!

53 mei 2018 | IBX

Wat is de BIO?

6

Specifieke maatregelen, tekstblokken of verwijzingen per overheidslaag

2017ISO 27002:2017 = Pas toe of leg-uit norm

BIO = ISO Controls + verplichte overheidsmaatregelen + risico-basedmaatregelen voor niet uitgewerkte controls (zijn de meeste maatregelen)

Addendum

Overheids

maatregelen

Relevante en passende maatregelen per BBN

BIO en toepassing

Algemene

Practices

overheden

Thema-uitwerking

NORA/ISOR

Verbindingsdocument

BIO Verplichtend

Ondersteunend

Verbinding norm met toepassing

2-pager per praktijkthema. (12+ thema’s)

Objecten-bibliotheek.

11 Themauitwerkingenmet SIVA methodiek

Bestaande algemeen bruikbare Practices uit het veld (bijv. BIG-OP-producten)

BIO spelregels specifiek

• BBN2 is het standaardniveau

• De baselinetoets bepaalt het feitelijke BBN

• Controls (en onderliggende maatregelen) in een BBN zijn altijd verplicht

• Controls kunnen de status NVT krijgen (vereist onderbouwing door proceseigenaar)

• Op basis van risicoafweging moeten maatregelen bepaald worden die de doelstelling van de control afdekken. Implementatierichtlijnen uit de ISO27002 kunnen als inspiratie dienen

• Controls (en onderliggende maatregelen) bouwen voort op het onderliggende BBN

• De proces- of systeem eigenaar moet gemaakte keuzes vastleggen om uiteindelijk te kunnen verantwoorden waarom hij controls NVT gemaakt heeft.

BasisBeveiligingsNiveaus (BBN)

9

Niveau

BBN 1 Minimale beveiligingsniveau voor alle overheidssystemen

BBN 2 Uitgangspunt voor alle informatiesystemen

Vertrouwelijke informatie (max DepV, privacygevoelige, commercieel vertrouwelijk,

informatie in het kader van beleidsvorming)

Incidenten leiden tot bestuurlijke commotie

Onzekerheid of informatie van derden open is

Veiligheid van andere systemen wordt beïnvloed

BBN 3 BBN2 + weerstand tegen statelijke actoren of vergelijkbare

dreigers nodig (o.b.v. vertrouwelijkheid)

Wordt nog nader uitgewerkt; op basis van VIR-BI en andere relevante regelgeving

aangevuld met het NAVO-verdrag voor beveiliging van informatie

• BBN1• Wat mag minimaal verwacht worden?

→ BBN2• Valt de maatregel onder goed

huisvaderschap?• BBN3

• Gerubriceerde informatie (DepV) & weerstand geavanceerde dreigingen

B=L – I=L – V=L

B=M – I=M – V=M

B=M – I=M – V=H

Schaal: Laag, Midden, Hoog

BasisbeveiligingsniveausBeschikbaarheid, Integriteit en Vertrouwelijkheid

10

BasisBeveiligingsNiveaus (BBN)11

Controls & overheids-maatregelen

12

Controls, overheidsmaatregelen en handreikingen

13

BBN3

Kader voor weerbaarheid van DepVtegen statelijke actoren, 1e tranche

Basis NATO Restricted

BBN3

BBN2

BBN1

✔

✔

✔

Implementatierichtlijn

6.1.4 Contact met speciale belangengroepen

Beheersmaatregel

Er behoren passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora

en professionele gemeenten te worden onderhouden.

Implementatierichtlijn

Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om:

• kennis te verbeteren over ‘best practices’ en op de hoogte te blijven van relevante beveiligingsinformatie;

• ervoor te zorgen dat de kennis van informatiebeveiliging actueel en volledig is;

• vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met

aanvallen en kwetsbaarheden;

• toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;

• informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te

wisselen;

• geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie

• hoofdstuk 16).

De Implementatierichtlijn is onderdeel van de ISO 27002:27002 en bevat aanwijzingen, aandachtspunten en overige informatie om bij een control passende maatregelen te bedenken. Implementatierichtlijnen geven richting en maken een control concreet.

Onderhoudsproces

• Elk half jaar:wijzigingen en aanvullingen R-maatregelen en handreikingen ter vergroting praktische toepasbaarheid

• Jaarlijks:gehele evaluatie en zo nodig bijstelling

• Input gemeenten via IBD

• Eerste ervaringen

BIO vanuit ketenpartners

• De BIO legt verantwoordelijkheden daar waar ze thuishoren

• De BIO sluit aan bij de ISO27002 > gemakkelijker communiceren

• De BIO als enabeler voor zakendoen en opdrachtgeverschap

• De BIO voor het werken in ketens > minimale set

• De BIO als 1 norm voor alle overheden

• De BIO bespaart kosten

Hoe dan? Hoe gaan we verder als gemeente?De stappen:

1. (begin eventueel met een hoog over GAP analyse (BIG <-> BIO) om vast te stellen waar je staat)

2. Bepaal de bedrijfsprocessen en zet deze op volgorde van belangrijkheid

3. Zoek de verantwoordelijke voor het te onderzoeken bedrijfsproces

4. Laat deze verantwoordelijke de baselinetoets uitvoeren

5. Laat de verantwoordelijke een diepgaande risicoanalyse uitvoeren bij afwijkende betrouwbaarheidseisen

6. Voer een data protection impact assessment (DPIA) uit als dat verplicht is en deze nog niet eerder uitgevoerd was

7. Zoek in de BIO de controls en verplichte maatregelen bij het geselecteerde BBN om de gevonden risico’s adequaat te beheersen

8. Noteer de controls die niet van toepassing zijn, onderbouw waarom deze niet van toepassing zijn en bewaar het verslag van de analyse

9. Cluster de controls en te treffen maatregelen naar soort en verdeel ze indien nodig onder andere uitvoerders binnen de gemeente

10. Zoek aansluiting bij het organisatorische ISMS en neem daar de maatregelen en uitvoerders op ter monitoring, gebruik zo mogelijk een GRC / ISMS tool

11. Voer over de eigen controls en maatregelen een GAP-analyse uit om vast te stellen wat nog gedaan moet worden

12. Bewaak de voortgang van de implementatie (risicomanagement).

Baselinetoets

• Stap 1: Beantwoord algemene vragen, bepaal scope, het proces, de keten, de externe eisen, wet- en regelgeving en de eigenaar

• Stap 2: Vul vragen in over beschikbaarheid

• Stap 3: Vul vragen in over integriteit

• Stap 4: Vul vragen in over vertrouwelijkheid

• Stap 5: Vul vragen in over privacy

• Stap 6: De spreadsheet geeft in het tabblad resultaat de score weer en hieruit kan worden afgeleid wat de vervolgstappen zijn.

• Stap 7: Stel resultaten vast

• LET OP: het BBN niveau wordt bepaald door de Vertrouwelijkheid ✔

✔

✔✔

DPIA

In de baselinetoets zitten verschillende privacy gerelateerde vragen:1. 16 Vragen van de AP over verwerkingen waarvoor een DPIA verplicht is.

2. 10 vragen over het soort verwerking van de AP over de persoonsgegevens om alsnog te bepalen of een DPIA noodzakelijk is.

Als de uitkomst van deze toets “ja” is dan moet een DPIA worden uitgevoerd

Voor bestaande verwerkingen is er niet de plicht om dit te doen, maar het mag wel:

1. Doe dit in ieder geval bij grote wijzigingen

2. En bij nieuwe processen / systemen

De IBD is bezig met een DPIA tool, verwacht Q2-2019

OEFENING Baselinetoets

Spreadsheet GAP

De spreadsheet geeft de GAP-analyse weer, die bestaat uit 3 tabbladen, te weten:Vragenlijst : de inhoud van de BIO met vragen.Resultaat : een sheet met grafieken als resultaat van de vragenlijst.Aantekeningen: ruimte voor eigen aantekeningen

Toelichting kolommen

24

•Totaal 137 analyse vragen

• 72 BIG gerelateerde controls = GAP = selectie met BIG nr

• 65 nieuwe BIO controls = 0-meting = selectie ‘nieuw in BIO’.

•Onderscheid tussen van toepassing op de centrale organisatie of primaire processen

• 52 generieke controls

• 85 controls voor lijnmanagers/(eind)verantwoordelijken bij ondersteunende processen

Aanpak GAP analyse

Van BIG naar BIO

26

27

Voorbeelden GAP analyse vraag van BIG naar BIO

BIO BIGGAP analyse vraag

Resultaat

28

Oefening GAP-analyse

29

Risico, wat is dat?

•Een risico is een gekwantificeerde dreiging berekend op basis van de kans en het gevolg ofwel de impact.

Figuur 5-1 Risicokwadranten

Risicomanagement definitie (uit BVR)

Het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

Risicomanagement Proces

•Het proces van risicomanagement bestaat in veel modellen uit zes stappen:

1. Bepaal doelstelling: wat wil de gemeente bereiken.

2. Identificeer risico’s: een dreiging is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling.

3. Identificeer mogelijke impact: Een risico is een dreiging waaraan een kans en gevolg toegevoegd zijn.

4. Beoordeel de risico’s: Een gemeente moet van tevoren bepalen hoeveel risico gelopen mag worden, door het maken van een risicoprofiel en de risicobereidheid uit te werken en de belangrijkste risico’s te prioriteren.

5. Beheers risico’s: Dit kan op vier manieren:

• Vermijden: alle mogelijke beheersmaatregelen treffen om het risico’s te vermijden

• Verminderen: beheersmaatregelen selecteren die de kans en/of impact verkleind, maar waarbij een restrisico overblijft

• Overdragen/verzekeren: het risico wordt overdragen aan een andere partij (denk aan een brandverzekering)

• Accepteren: het (rest)risico wordt geaccepteerd en er worden hiervoor geen beheersmaatregelen getroffen

6. Monitoring: Gedurende het hele proces volgen van risico’s (meten, controleren en rapporteren) en de werking van maatregelen door deze maatregelen ook te koppelen aan het incidentmanagement proces.

Risk management ISO 27005

Rol van de CISO

• In de BIO zijn de verantwoordelijkheden per control vastgelegd, wat in de BIO niet staat is wie nu voor de invoering van de BIO verantwoordelijk is

1. Het college is verantwoordelijk voor de BIO invoering binnen de gemeente.

2. De proces eigenaar is verantwoordelijk voor de invoering van de BIO voor zijn/haar processen

3. De CISO is verantwoordelijk voor het ISMS, de ondersteuning van de proceseigenaren en verantwoordelijk voor de rapportage naar het college

Leg alles vast!

• In ieder geval moet bij de proceseigenaar het volgende aanwezig zijn:

• Het verslag van de uitgevoerde baselinetoets.

• Het verslag van de geselecteerde BBN, de controls en uitgewerkte maatregelen.

• Eventueel resultaat van een uitgevoerde diepgaande risicoanalyse.

• Eventueel resultaat van een uitgevoerde DPIA.

• Opname van controls, maatregelen en actiehouders in het ISMS.

• Ontbrekende controls en maatregelen in een (systeem)informatiebeveiligingsplan.

Wat nog meer?

• De IBD is momenteel druk met een aantal activiteiten rondom de BIO

• Omzetten BIG-OP producten naar de BIO

• Opleveren BIO proof beleid

• Voorbereiden regiobijeenkomsten rondom de BIO

• Aanpassen ENSIA

•En daarnaast onder andere:

• Verhogen digitale weerbaarheid

• De IBD zelf runnen

• Team privacy opnemen

• Hoe kan de CISO zich beter wapenen:

• Opleiding

• Workshops / regiobijeenkomsten van de IBD bezoeken

• Vragen stellen aan de IBD en collega’s

• Oefenen met RA en DPIA

Vragen?

Nassaulaan 122514 JS Den Haag

CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)CERT 24x7: Piketnummer (instructies via voicemail)

info@IBDGemeenten.nl / incident@IBDGemeenten.nl