Logo Rijksoverheid, link naar hoofdpagina

EAR Online

Melding

Heeft u vragen en/of opmerkingen over deze pagina, mailto:postbusear@rijksoverheid.nl

Overzicht Baseline Informatiebeveiliging Rijksdienst (BIR 2012)

deze figuur geeft op strategisch, tactisch en operationeel niveau de documenten weer op het gebied van informatiebeveiliging. De documenten worden op deze pagina besproken.
Informatiebeveiliging

Inhoud

Wat is het?

Informatiebeveiliging is het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Belang van informatiebeveiliging

Informatiebeveiliging levert een bijdrage aan de kwaliteit van de informatievoorziening en is daarmee geen doel op zich. Het blijft een verantwoordelijkheid van het lijnmanagement om ook met het gebruik van nieuwe technologie in control te zijn op het gebied van inrichting en beveiliging van informatie. Kennis op het gebied van hanteerbare kaders, best practices, risicomanagement en begrijpelijk rapporteren wordt centraal gefaciliteerd en ontwikkeld. In de bijgaande figuur worden op strategisch, tactisch en operationeel niveau de documenten op het gebied van informatiebeveiliging weergegeven die op deze pagina nader worden toegelicht.

Visie Informatiebeveiliging Rijksdienst

Informatiebeveiliging is voor de gehele informatisering - voor alle informatiseringdomeinen - van groot belang. Daarom wordt daar op deze plek ruim aandacht aan gegeven. In de ICCIO* van 1 maart 2011 is de Visie Informatiebeveiliging Rijksdienst vastgesteld. Deze visie behandelt achtereenvolgens de ontwikkelingen die als achtergrond hebben gediend voor de visie, een uitwerking van de gewenste situatie en geeft een aanzet tot de focuspunten die richting moeten geven aan deze visie. Beide laatste paragrafen bevatten feitelijk uitgangspunten en principes die voor de informatiebeveiliging van de Rijksdienst richtinggevend zijn.

(*: ICCIO is de voorganger van het CIO-Beraad)

Wet- en regelgeving

Er bestaat een aantal voor de Rijksdienst (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen) geldende regelingen die het proces van informatiebeveiliging bepalen en ondersteunen.

Uitgangspunten bij al deze regelingen zijn:

  • Risicomanagement volgens de PDCA cyclus.
  • Eigen verantwoordelijkheid van de lijnmanager

De regelingen zijn:

  • het Beveiligingsvoorschrift Rijksdienst 2013 (BVR2013) is van toepassing op de integrale beveiliging van de Rijksdienst en geeft weer op welke wijze de verantwoordelijkheden voor de integrale beveiliging zijn verdeeld.
  • het Voorschrift Informatiebeveiliging Rijksdienst 2007 (afgekort VIR2007). Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.
  • het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie 2013 (VIR-BI 2013) geeft in aanvulling op het VIR regels voor de beveiliging van bijzondere informatie - meer vertrouwelijke informatie en staatsgeheimen - bij de rijksdienst.
  • De Baseline Informatiebeveiliging Rijksdienst biedt één normenkader voor de beveiliging van de informatiehuishouding van de Rijksdienst. Om informatie-uitwisseling tussen organisaties binnen de Rijksdienst te vereenvoudigen, is er deze set rijksbrede beveiligingsnormen. Deze is in de plaats getreden van vijf interdepartementale normenkaders (voor DWR, Haagse Ring, Mobiele informatiedragers, Rijksweb en Departementaal vertrouwelijke webdiensten) en een groot aantal bestaande normenkaders bij ministeries en uitvoeringsorganisaties.

Baseline Informatiebeveiliging Rijksdienst (BIR) een tactisch normenkader

Om preventief en curatief een betrouwbare werking van de ICT-infrastructuren te borgen is het noodzakelijk om onder meer de informatiebeveiliging goed te regelen. Ieder ministerie had dat voor zichzelf al wel geregeld d.m.v. een baseline. Door de toename van gegevensuitwisseling tussen ministeries, ontstond behoefte aan een rijksbrede baseline, de Baseline Informatiebeveiliging Rijksdienst.

In de ICBR van 28 november 2017 is versie 2017 van de BIR vastgesteld. De BIR2017 vervangt de BIR:2012 en is per 1 januari 2018 van kracht voor alle nieuwe informatiesystemen. De ministeries moeten uiterlijk per 1-1-2019 inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen. Voor de informatiesystemen die de transitie nog niet hebben ondergaan, blijft de BIR:2012 van toepassing.

De BIR2017 is evenals de BIR:2012 een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). Daarnaast concretiseert de BIR2017 een aantal normen tot verplichte operationele afspraken (rijksmaatregelen). Daardoor kunnen de bedrijfsonderdelen van de Rijksdienst erop vertrouwen dat gegevens die zij uitwisselen op een eenduidig minimumniveau zijn beveiligd. Verder wordt het ingewikkelde proces van risicomanagement met de BIR2017 vereenvoudigd doordat op basis van de generieke schades en dreigingen voor de Rijksoverheid standaard basisbeveiligingsniveaus (BBN’s) zijn gedefinieerd met bijbehorende beveiligingseisen.

Meer informatie over BIR vindt u in het overzicht Formele IV-kaders (menu Bibliotheek).

Handreikingen voor toepassing van de BIR:2012

Om de BIR:2012 te kunnen uitvoeren zijn diverse handreikingen beschikbaar. In december 2013 is de op het Tactisch Normenkader (TNK) afgestemde Operationele Handreiking Informatiebeveiliging beschikbaar gekomen. Deze handreiking bevat een operationalisering van maatregelen die in de BIR TNK worden genoemd. De handreiking is een levend document en zal gelijk met de BIR worden onderhouden en aangepast. Naast de Operationele handreiking zijn er ook nog een QuickScan BIR en een comply or explain procedure als handreiking beschikbaar. De BIR Quick Scan is bedoeld als instrument om te bepalen of de risico’s voor een proces met ondersteunende systemen voldoende door de BIR worden afgedekt. De BIR comply or explainprocedure omvat zowel een explainprocedure voor de departementen (specifieke voorzieningen) als een explainprocedure voor Shared Service Organisaties (generieke of gemeenschappelijke voorzieningen). Van belang in het kader van privacy is dat sinds 1 september 2013 binnen de Rijksdienst standaard een privacy impact assessment (PIA) moet worden uitgevoerd bij de ontwikkeling van nieuwe wetgeving en van nieuw beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien. Het instrument (vragenlijst en gebruiksinstructies) dat daarvoor is ontwikkeld is opgenomen in het Integraal Afwegingskader voor Beleid en Wetgeving en het Handboek Portfolio management. De bedoeling ervan is als hulpmiddel te fungeren om privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen.

In de loop van 2018 zullen nieuwe handreikingen beschikbaar komen gericht op BIR2017.

Principes

NORA en MARIJ

De NORA en MARIJ bevatten de nodige principes op het terrein van informatiebeveiliging. Deze betreffen: De NORA principes betreffen

De MARIJ/EAR principes betreffen

Visie Informatiebeveiliging Rijksdienst

Ook de Visie Informatiebeveiliging Rijksdienst (2011) bevat een 8-tal principes. Deze principes betreffen


Standaarden

Standaarden die van belang zijn op het terrein van informatiebeveiliging betreffen

De voor de overheid verplichte standaarden ISO27001/ISO27002 met aanvullingen zijn opgenomen in de BIR. De BIR TNK is voor de rijksoverheid verplicht (comply or explain). De BIR:2012 TNK is tevens de rijksimplementatie van de informatiebeveiliging standaarden NEN-ISO/IEC 27001en NEN-ISO/IEC 27002, die op de Pas Toe of Leg Uit lijst Open Standaarden van het College Standaardisatie staat. Derhalve is de BIR:2012 TNK ook opgenomen in het Rijksregister I-standaarden.

EAR Online