Heeft u vragen en/of opmerkingen over deze pagina, mailto:postbusear@rijksoverheid.nl


De EAR wordt opgevolgd door de RORA (RijksOverheid Referentie Architectuur), hier vindt u meer informatie over de RORA.

BIR-Baseline Informatiebeveiliging Rijksdienst: verschil tussen versies

k (Installed/upgraded by SmartCore)
 
(10 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{Element
+
{{#Element:
 
|Elementtype=Bron
 
|Elementtype=Bron
|ID=BIR-Baseline Infomatiebeveiliging Rijksdienst TNK
+
|ID=Baseline Infomatiebeveiliging Rijksdienst
|Beschrijving=De Baseline informatiebeveiliging 2012 biedt een tactisch normenkader (TNK) voor de beveiliging van de informatiehuishouding van het Rijk. Dit maakt het mogelijk om veilig samen te werken en onderling gegevens uit te wisselen. De BIR:2012 zorgt voor één heldere set afspraken zodat een bedrijfsonderdeel weet dat de gegevens die verstuurd worden naar een ander onderdeel van de rijksdienst op het juiste beveiligingsniveau (vertrouwelijkheid, integriteit en beschikbaarheid) worden behandeld.
+
|Beschrijving kort=Tactisch normenkader voor inrichting en toepassing van informatiebeveiliging.
|Toelichting=De BIR bevat afspraken over een basisniveau beveiliging voor de organisatorische en technische informatiehuishouding op departementaal en interdepartementaal niveau. De afspraken betreffen:
+
|Beschrijving=Deze baseline geeft invulling aan artikel 3 lid d van het Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 ([[Voorschrift Informatiebeveiliging Rijksdienst (VIR)|VIR:2007]]). De BIR geldt voor de rijksdienst (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen). De BIR heeft daarmee hetzelfde bereik als het VIR:2007.
*Beschikbaarheid - een minimale set van normen wordt opgesteld als basis voor afspraken over beschikbaarheid tussen systeemeigenaar en leverancier.
 
*Integriteit - onderscheiden naar procesafhankelijk en proces onafhankelijk:
 
**voor de proces onafhankelijke integriteit, betreffende datacommunicatie en opslag, wordt een minimale set van normen opgesteld als basis voor nadere afspraken per dienst en/of applicatie.
 
**de procesafhankelijke integriteit, betreffende informatie in applicaties, is situatieafhankelijk en afhankelijk van de eisen van een specifiek proces.
 
*Vertrouwelijkheid - maatregelen nodig voor niveaus Departementaal Vertrouwelijk en WBP risicoklasse 2.
 
  
 +
===BIR2017===
 +
In de ICBR van 28 november 2017 is versie 2017 van de BIR vastgesteld. De BIR2017 vervangt de BIR:2012 en is per 1 januari 2018 van kracht voor alle nieuwe informatiesystemen. De ministeries moeten uiterlijk per 1-1-2019 inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen. Voor de informatiesystemen die de transitie nog niet hebben ondergaan, blijft de BIR:2012 van toepassing.
  
Bij de rijksdienst wordt veel samengewerkt in ketens. Voorlopig bestrijkt de BIR:2012 alleen de direct onder de ministeries ressorterende diensten. Door optimale aansluiting bij standaarden ISO 27001 en ISO 27002 wordt maximale aansluiting bij ketenpartners bereikt. De ketenpartners worden uitgenodigd de toevoegingen van de BIR:2012 op ISO 27002 te implementeren.
+
De BIR2017 is evenals de BIR:2012 een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). Daarnaast concretiseert de BIR2017 een aantal normen tot verplichte operationele afspraken (rijksmaatregelen). Daardoor kunnen de bedrijfsonderdelen van de Rijksdienst erop vertrouwen dat gegevens die zij uitwisselen op een eenduidig minimumniveau zijn beveiligd. Verder wordt het ingewikkelde proces van risicomanagement met de BIR2017 vereenvoudigd doordat op basis van de generieke schades en dreigingen voor de Rijksoverheid standaard basisbeveiligingsniveaus (BBN’s) zijn gedefinieerd met bijbehorende beveiligingseisen.
 +
 
 +
In de loop van 2018 wordt gewerkt aan producten die de implementatie van de BIR2017 ondersteunen. Zodra beschikbaar zullen ook deze worden verspreid. Voorlopig toont deze pagina zowel de informatie over BIR2017 als over BIR:2012.
 +
 
 +
===BIR2012===
 +
De BIR is geheel gestructureerd volgens NEN/ISO 27001, bijlage A en NEN/ISO 27002. De overheid is verplicht om aan ISO 27001 en ISO 27002 te voldoen. De BIR beschrijft de invulling van NEN/ISO27001 en NEN/ISO 27002 voor de rijksoverheid. In de BIR zijn deze specifieke rijksnormen gemerkt met een [R]. NEN/ISO 27001 en NEN/ISO27002 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN/ISO 27001). Die documenten geven dus de details voor de toepassing, die niet in de BIR zijn beschreven en die nodig blijven voor een goede implementatie van de BIR.
 +
 
 +
De BIR:2012 zorgt voor één heldere set afspraken, zodat een bedrijfsonderdeel weet dat de gegevens die verstuurd worden naar een ander onderdeel van de rijksdienst op het juiste beveiligingsniveau (vertrouwelijkheid, integriteit en beschikbaarheid) worden behandeld.
 +
 
 +
In de BIR:2012 staan de minimale eisen die gesteld worden aan de informatiebeveiliging van de IT‐infrastructuur van de rijksdienst. Het document geldt daarmee ook als aansluitvoorwaarde voor de basis IT‐infrastructuur van departementen die aangesloten zijn op de generieke basis IT‐infrastructuur van de rijksdienst.
 +
|Toelichting====Concrete normen===
 +
*Voor 1-1-2019 moeten Ministeries inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen naar het kader BIR2017.
 +
*Voor de informatiesystemen die de transitie naar BIR2017 nog niet hebben ondergaan, blijft het tactische normenkader BIR:2012 (comply or explain) van toepassing.
 +
*Het toetsen vindt plaats aan de hand van de In Control Verklaring (ICV).
 +
*De procedure voor afgifte van een ICV op de BIR door SSO’s is op 18 december 2014 vastgesteld in ICCIO.
 
|Publicatiedatum=2012/12/01
 
|Publicatiedatum=2012/12/01
 
|Organisatie=BZK
 
|Organisatie=BZK
 
|Type Bron=Beleidskader
 
|Type Bron=Beleidskader
 
|Status=Vastgesteld
 
|Status=Vastgesteld
|Vertrouwelijk=Nee
+
|Vertrouwelijk=Ja, Nee
|Externe informatie (t)=[http://portal.rp.rijksweb.nl/irj/portal/?NavigationTarget=HLPFS://cisrijksportaal/ciskerntaken/cisrijksbreed/cisorganisatieenbedrijfsvoering/cisinformatiesering/cisbeleidskaders_inofmratisering/cisinformatiebeveiliging_24/cisbaseline_informatiebeveiliging_rijksdienst___tactisch_normenkader__tnk_ Documentatie op Rijksweb]
+
|Externe informatie (t)=<strong>BIR2017</strong>
 +
*De BIR2017 is beschikbaar via het Rijksportaal
 +
*[[Media:BIR2017-FAQs.pdf | Veel gestelde vragen over BIR2017]]
 +
*[[Media:BIR2017-transitieplan.pdf | BIR2017 transitieplan - Van BIR:2012 naar BIR2017]]
 +
*[[Media:Quickscan BIR2017 versie 1.pdf | BIR2017 Quickscan]]
 +
<br>
 +
<strong>BIR:2012</strong>
 +
*De BIR2012 is beschikbaar via het Rijksportaal
 +
*[[Media:04. B QuickScan BIR 20140121 v10-1-.pdf | BIR2012 Quick Scan]]
 +
*[[Media:BIR Operationele Handreiking v1 0.pdf | BIR Operationele handreiking]]
 +
*[[Media:04. A BIR explainprocedure 1.0 voor ICCIO-1-.pdf | BIR Comply or Explain procedure]]
 +
|Informatiseringsdomein=Informatiebeveiliging
 
|Paginanaam=Baseline Informatiebeveiliging Rijksdienst (BIR)
 
|Paginanaam=Baseline Informatiebeveiliging Rijksdienst (BIR)
}}<!-- Page revision date: 2016-11-05T14:27:49Z -->
+
}}
 +
<!-- Page revision date: 2018-06-06T07:20:57Z -->

Huidige versie van 24 jun 2019 om 14:07

 
Icoon Beleidsbron.png
Een bron betreft voor EAR een document, boek, internetpagina of anderszins met vastgestelde en/of algemeen geaccepteerde informatie die de EAR toepast.

Eigenschappen

IDBaseline Infomatiebeveiliging Rijksdienst
Beschrijving kortTactisch normenkader voor inrichting en toepassing van informatiebeveiliging.
BeschrijvingDeze baseline geeft invulling aan artikel 3 lid d van het Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR:2007). De BIR geldt voor de rijksdienst (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen). De BIR heeft daarmee hetzelfde bereik als het VIR:2007.

BIR2017

In de ICBR van 28 november 2017 is versie 2017 van de BIR vastgesteld. De BIR2017 vervangt de BIR:2012 en is per 1 januari 2018 van kracht voor alle nieuwe informatiesystemen. De ministeries moeten uiterlijk per 1-1-2019 inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen. Voor de informatiesystemen die de transitie nog niet hebben ondergaan, blijft de BIR:2012 van toepassing.

De BIR2017 is evenals de BIR:2012 een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). Daarnaast concretiseert de BIR2017 een aantal normen tot verplichte operationele afspraken (rijksmaatregelen). Daardoor kunnen de bedrijfsonderdelen van de Rijksdienst erop vertrouwen dat gegevens die zij uitwisselen op een eenduidig minimumniveau zijn beveiligd. Verder wordt het ingewikkelde proces van risicomanagement met de BIR2017 vereenvoudigd doordat op basis van de generieke schades en dreigingen voor de Rijksoverheid standaard basisbeveiligingsniveaus (BBN’s) zijn gedefinieerd met bijbehorende beveiligingseisen.

In de loop van 2018 wordt gewerkt aan producten die de implementatie van de BIR2017 ondersteunen. Zodra beschikbaar zullen ook deze worden verspreid. Voorlopig toont deze pagina zowel de informatie over BIR2017 als over BIR:2012.

BIR2012

De BIR is geheel gestructureerd volgens NEN/ISO 27001, bijlage A en NEN/ISO 27002. De overheid is verplicht om aan ISO 27001 en ISO 27002 te voldoen. De BIR beschrijft de invulling van NEN/ISO27001 en NEN/ISO 27002 voor de rijksoverheid. In de BIR zijn deze specifieke rijksnormen gemerkt met een [R]. NEN/ISO 27001 en NEN/ISO27002 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN/ISO 27001). Die documenten geven dus de details voor de toepassing, die niet in de BIR zijn beschreven en die nodig blijven voor een goede implementatie van de BIR.

De BIR:2012 zorgt voor één heldere set afspraken, zodat een bedrijfsonderdeel weet dat de gegevens die verstuurd worden naar een ander onderdeel van de rijksdienst op het juiste beveiligingsniveau (vertrouwelijkheid, integriteit en beschikbaarheid) worden behandeld.

In de BIR:2012 staan de minimale eisen die gesteld worden aan de informatiebeveiliging van de IT‐infrastructuur van de rijksdienst. Het document geldt daarmee ook als aansluitvoorwaarde voor de basis IT‐infrastructuur van departementen die aangesloten zijn op de generieke basis IT‐infrastructuur van de rijksdienst.
Toelichting===Concrete normen===
  • Voor 1-1-2019 moeten Ministeries inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen naar het kader BIR2017.
  • Voor de informatiesystemen die de transitie naar BIR2017 nog niet hebben ondergaan, blijft het tactische normenkader BIR:2012 (comply or explain) van toepassing.
  • Het toetsen vindt plaats aan de hand van de In Control Verklaring (ICV).
  • De procedure voor afgifte van een ICV op de BIR door SSO’s is op 18 december 2014 vastgesteld in ICCIO.
Publicatiedatum2012/12/01
OrganisatieBZK
Type BronBeleidskader
StatusVastgesteld
VertrouwelijkJa, Nee
Externe informatie (t)BIR2017
  • De BIR2017 is beschikbaar via het Rijksportaal
  • Veel gestelde vragen over BIR2017
  • BIR2017 transitieplan - Van BIR:2012 naar BIR2017
  • BIR2017 Quickscan

  • BIR:2012

    InformatiseringsdomeinInformatiebeveiliging

    Afgeleide relaties

    VertrekpuntRelatieEindpunt


    Deze pagina is voor het laatst bewerkt op 24 jun 2019 om 14:07.