diff --git a/docs/ontwerp/index.md b/docs/ontwerp/index.md index 409a693..6336a29 100644 --- a/docs/ontwerp/index.md +++ b/docs/ontwerp/index.md @@ -26,41 +26,44 @@ Voor informatiesystemen die bestand moeten zijn tegen geavanceerde dreigingen va De BIO2 wordt wettelijk verplicht via de NIS2 (Network and Information Security directive) implementatie in de Cyberbeveiligingswet. De BIO2 stelt de volgende verplichtingen: -* NEN-ISO/IEC __27001 moet worden toegepast__ op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem. -* In lijn met de NEN-EN-ISO 27001 moeten organisaties de volgende processen toepassen: bepalen scope en context van het informatiebeveiligingsmanagementsysteem (ISMS), het tonen van leiderschap en betrokkenheid door het topmanagement, het beoordelen en behandelen van risico’s door middel van risicoanalyses, het vaststellen van beveiligingsdoelstellingen, het toewijzen van de benodigde middelen, het verhogen van bewustzijn en training, het uitvoeren van operationele controles, het monitoren en evalueren van de ISMS-prestaties, het beheren van beveiligingsincidenten en het continu verbeteren van het ISMS. -* In lijn met de NEN-EN-ISO 27001 moeten organisaties op basis van de __27002 beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid__ om zo te kunnen transparant aan te geven welke beheersmaatregelen wel of niet van toepassing zijn voor de organisatie. -* NEN-ISO/IEC __27002 moet worden toegepast__ op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 kunnen, waar nodig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen zoals de __NEN 7510 en CSIR__. +- NEN-ISO/IEC __27001 moet worden toegepast__ op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem. -* Bij het toepassen van beheersmaatregelen moeten de __verplichte overheidsspecifieke maatregelen en richtlijnen__ uit de BIO2 worden gehanteerd. + * In lijn met de NEN-EN-ISO 27001 moeten organisaties de volgende processen toepassen: bepalen scope en context van het informatiebeveiligingsmanagementsysteem (__ISMS__), het tonen van leiderschap en betrokkenheid door het topmanagement, het beoordelen en behandelen van risico’s door middel van risicoanalyses, het vaststellen van beveiligingsdoelstellingen, het toewijzen van de benodigde middelen, het verhogen van bewustzijn en training, het uitvoeren van operationele controles, het monitoren en evalueren van de ISMS-prestaties, het beheren van beveiligingsincidenten en het continu verbeteren van het ISMS. + + * In lijn met de NEN-EN-ISO 27001 moeten organisaties op basis van de __27002 beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid__ om zo te kunnen transparant aan te geven welke beheersmaatregelen wel of niet van toepassing zijn voor de organisatie. + +- NEN-ISO/IEC __27002 moet worden toegepast__ op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 kunnen, waar nodig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen zoals de __NEN 7510 en CSIR__. + +- Bij het toepassen van beheersmaatregelen moeten de __verplichte overheidsspecifieke maatregelen en richtlijnen__ uit de BIO2 worden gehanteerd. ## Vervallen verplichtingen Met de invoer van de BIO2 komen er ook verplichtingen te vervallen: -* __Basisbeveiligingsniveau (BBN)__: In de BIO2 worden de basisbeveiligingsniveaus (BBN’s) losgelaten. Uit de [evaluatie](https://www.rijksoverheid.nl/documenten/rapporten/2022/11/17/evaluatie-baseline-informatieveiligheid-overheid) van de BIO blijkt dat het toepassen van de BBN’s in de hand werkt dat de focus op het classificeren van de individuele systemen op BBN kwam te liggen en daardoor minder op algemeen risicomanagement en de specifieke risico’s voor informatiesystemen. Een managementsysteem met risicobeoordeling is in lijn met doelen uit de NEN-EN-ISO 27001 en de NIS2. +- __Basisbeveiligingsniveau (BBN)__: In de BIO2 worden de basisbeveiligingsniveaus (BBN’s) losgelaten. Uit de [evaluatie](https://www.rijksoverheid.nl/documenten/rapporten/2022/11/17/evaluatie-baseline-informatieveiligheid-overheid) van de BIO blijkt dat het toepassen van de BBN’s in de hand werkt dat de focus op het classificeren van de individuele systemen op BBN kwam te liggen en daardoor minder op algemeen risicomanagement en de specifieke risico’s voor informatiesystemen. Een managementsysteem met risicobeoordeling is in lijn met doelen uit de NEN-EN-ISO 27001 en de NIS2. -* __Wet- en regelgeving als specifiek doel__: Uit de evaluatie van de BIO blijkt voldoen aan wet- en regelgeving als zelfstandig doel voor onduidelijkheid zorgt bij de doelgroep. De BIO2 dekt niet, alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers. Deze expliciete doelstelling komt daarom niet terug in de BIO2. Verwacht mag worden dat in lijn met risicomanagement een organisatie zelf haar context met de daarin van toepassing zijnde wet- en regelgeving analyseert. Wel wordt, waar relevant, een verwijzing opgenomen naar wet- en regelgeving als die geldt voor de gehele overheid, bijvoorbeeld bij Wdo artikel 3 of een verwijzing naar een standaard uit de Lijst open standaarden van Forum Standaardisatie. +- __Wet- en regelgeving als specifiek doel__: Uit de evaluatie van de BIO blijkt voldoen aan wet- en regelgeving als zelfstandig doel voor onduidelijkheid zorgt bij de doelgroep. De BIO2 dekt niet, alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers. Deze expliciete doelstelling komt daarom niet terug in de BIO2. Verwacht mag worden dat in lijn met risicomanagement een organisatie zelf haar context met de daarin van toepassing zijnde wet- en regelgeving analyseert. Wel wordt, waar relevant, een verwijzing opgenomen naar wet- en regelgeving als die geldt voor de gehele overheid, bijvoorbeeld bij Wdo artikel 3 of een verwijzing naar een standaard uit de Lijst open standaarden van Forum Standaardisatie. ## Elementen BIO2 Het conceptontwerp van de BIO2 omvat, conform de [Harmonized Structure](https://www.nen.nl/managementsystemen/high-level-structure-hls), de volgende elementen): -* BIO2 inleiding (vergelijkbaar met aan [inleiding NEN 7510](https://www.webtoolmanagementsystemen.nl/nl/ViewDocumentSection/7d63d3f5-2acf-47cd-9789-587b5fdb3136/7d63d3f5-2acf-47cd-9789-587b5fdb3136/e8aa6485-ca28-4f41-bcc2-1e746bc6aaa2#e8aa6485-ca28-4f41-bcc2-1e746bc6aaa2)): De BIO bevat een inleiding waarin de context voor informatiebeveiliging voor de overheid wordt toegelicht. Deze context bepaalt hoe het managementsysteem en de beheersmaatregelen moeten worden ingericht. In de inleiding wordt daarom de context geschetst voor de gehele overheid. Dit is vergelijkbaar met de inleiding van de NEN 7510 waar de context voor een zorgorganisatie en zorginformatie wordt geschetst. +- __BIO2 inleiding__ (vergelijkbaar met aan [inleiding NEN 7510](https://www.webtoolmanagementsystemen.nl/nl/ViewDocumentSection/7d63d3f5-2acf-47cd-9789-587b5fdb3136/7d63d3f5-2acf-47cd-9789-587b5fdb3136/e8aa6485-ca28-4f41-bcc2-1e746bc6aaa2#e8aa6485-ca28-4f41-bcc2-1e746bc6aaa2)): De BIO bevat een inleiding waarin de context voor informatiebeveiliging voor de overheid wordt toegelicht. Deze context bepaalt hoe het managementsysteem en de beheersmaatregelen moeten worden ingericht. In de inleiding wordt daarom de context geschetst voor de gehele overheid. Dit is vergelijkbaar met de inleiding van de NEN 7510 waar de context voor een zorgorganisatie en zorginformatie wordt geschetst. Voorbeelden van onderwerpen in de inleiding zijn ISMS, risicomanagement, inrichting van de governance (besturing), relatie tot informatie/beheer/ bedrijfscontinuïteit, soorten overheidsinformatie, aanvullend normen overheidslagen, dreigingen, kwetsbaarheden, en wet- en regelgeving. -* Eisen 27001: Verwijzing naar de eisen uit de NEN-EN-ISO 27001, waarbij het volgen van de 27001 verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. +- __Eisen 27001__: Verwijzing naar de eisen uit de NEN-EN-ISO 27001, waarbij het volgen van de 27001 verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. -* Beheersmaatregelen: Verwijzing naar de beheersmaatregelen en implementatierichtlijnen uit de NEN-EN-ISO 27002, waarin het selecteren en toepassen van de beheersmaatregelen verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. Een organisatie kan er voor kiezen de normen NEN 7510 en/of CSIR te gebruiken met een gelijkwaardig beveiligingsniveau als beschreven in de ISO 27002. +- __Beheersmaatregelen__: Verwijzing naar de beheersmaatregelen en implementatierichtlijnen uit de NEN-EN-ISO 27002, waarin het selecteren en toepassen van de beheersmaatregelen verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. Een organisatie kan er voor kiezen de normen NEN 7510 en/of CSIR te gebruiken met een gelijkwaardig beveiligingsniveau als beschreven in de ISO 27002. -* Verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen__: De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen definiëren de verplichte maatregelen en richtlijnen die nodig zijn voor de overheid om aan de beheersdoelstelling te voldoen. Dit volgt uit de context die geldt voor de overheid. De BIO volgt de structuur van de 27002 en richt zich daarmee op organisatorische, menselijke, fysieke en technische maatregelen. +- __Verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen__: De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen definiëren de verplichte maatregelen en richtlijnen die nodig zijn voor de overheid om aan de beheersdoelstelling te voldoen. Dit volgt uit de context die geldt voor de overheid. De BIO volgt de structuur van de 27002 en richt zich daarmee op organisatorische, menselijke, fysieke en technische maatregelen. De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen zijn aanvullend op de NEN-EN-ISO 27002 en dus geen dubbeling ten opzichte van bestaande 27002 maatregelen. De overheidsspecifieke maatregelen en richtlijnen moeten verplicht worden toegepast. -* De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen van de BIO moeten een toegevoegde waarde hebben voor de overheid als aanvulling op de bestaande maatregelen en implementatierichtlijnen uit de 27002. Een maatregelen of implementatierichtlijn uit de BIO moet meerwaarde leveren op een of meerdere onderstaande categorieën (dit mag overlappen): +- De __overheidsspecifieke beheersmaatregelen en implementatierichtlijnen__ van de BIO moeten een toegevoegde waarde hebben voor de overheid als aanvulling op de bestaande maatregelen en implementatierichtlijnen uit de 27002. Een maatregelen of implementatierichtlijn uit de BIO moet meerwaarde leveren op een of meerdere onderstaande categorieën (dit mag overlappen): -* Basishygiëne: basismaatregelen die passen bij een standaard goede informatiebeveiliging. De hygiënemaatregelen zullen minimaal van het niveau van de cyberhygiëne maatregelen uit de NIS2 volgen. + * __Basishygiëne__: basismaatregelen die passen bij een standaard goede informatiebeveiliging. De hygiënemaatregelen zullen minimaal van het niveau van de cyberhygiëne maatregelen uit de NIS2 volgen. -* Ketenrisico’s: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden (en andere organisaties), en waarbij gezamenlijk handelen door de overheid nodig is. Een voorbeeld: het Nationaal Detectie Netwerk. + * __Ketenrisico’s__: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden (en andere organisaties), en waarbij gezamenlijk handelen door de overheid nodig is. Een voorbeeld: het Nationaal Detectie Netwerk. -* Overheidsrisico’s: mitigeren van universele informatiebeveiligsrisico’s die gelden voor de gehele overheid. Een voorbeeld: periodieke herziening beleid. + * __Overheidsrisico’s__: mitigeren van universele informatiebeveiligsrisico’s die gelden voor de gehele overheid. Een voorbeeld: periodieke herziening beleid. [^1]: Definitie informatiesystemen: “een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie”. [^2]: Zie ook beschrijving onder kop “Basisniveau”