Staatscourant van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriekDatum ondertekening
Ministerie van Binnenlandse Zaken en KoninkrijksrelatiesStaatscourant 2019, 26526Circulaires

Toepassen van de Baseline Informatiebeveiliging Overheid in het digitale verkeer met het Rijk

16 april 2019

2019-0000184156

Directoraat-Generaal OverheidsOrganisatie

Geacht college, geacht bestuur,

Met deze circulaire informeer ik u over het normenkader inzake informatiebeveiliging.

De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De BIO is:

  • een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid;

  • een afgeleide van de huidige BIR2017, die al in werking is voor het Rijk;

  • een concretisering van een aantal normen tot verplichte overheidsmaatregelen.

Iedere overheidslaag heeft besloten de bestaande eigen baseline informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR20171.

Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen.

Achtergrond

Cybersecurity heeft verscherpte aandacht vanuit de Tweede Kamer. In de Nederlandse Cybersecurity Agenda van de minister J&V is opgenomen dat (citaat) “het verder uniformeren en harmoniseren van normenkaders op informatiebeveiliging, waaronder de totstandkoming en implementatie van een Baseline Informatiebeveiliging Overheid (BIO) onder verantwoordelijkheid van BZK verder vorm krijgt”.

De BIO is het gezamenlijke product van en is afgestemd met Rijk, provincies, gemeenten en waterschappen. Een interbestuurlijke werkgroep Normatiek, waarin alle bestuurslagen vertegenwoordigd zijn, heeft de BIO de afgelopen jaren ontwikkeld en per mei 2018 afgerond na consultatie bij professionele gemeenschappen in de verschillende overheidslagen.

Ondersteuning

Implementatie van de BIO is en blijft de eigen verantwoordelijkheid van overheidsorganisaties. Om hen daarbij te ondersteunen heeft het Ministerie van BZK een ondersteuningsprogramma ingericht bij het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) om overheidsorganisaties te ondersteunen bij het implementeren van de BIO in hun organisatie. Dit programma is afgestemd met alle bestuurslagen en is aanvullend op wat bestuurslagen zelf al ondernemen om de implementatie vorm te geven.

Het ondersteuningsprogramma geeft een impuls aan implementatie van de BIO. Het is gericht op een nadere verankering van de BIO (en daarmee informatieveiligheid) door ondersteunen van beheer en onderhoud, inhoudelijke verdieping op informatieveiligheid, ontwikkeling van hulpinstrumenten, het vergroten van bewustzijn (gerichtheid op veiligheid door toepassen van de baseline) en het bevorderen van kennis en kunde onder de betrokkenen. Het ondersteuningsprogramma loopt in 2019 en 2020.

Overheidsorganisaties die gebruik willen maken van het ondersteuningsprogramma kunnen terecht op https://www.bio-overheid.nl. Ik moedig u aan om van de diensten van het ondersteuningsprogramma gebruik te maken.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops

BIO

Versie 1

De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens NEN-ISO/IEC 27001:2017, bijlage A en NEN-ISO/IEC 27002:2017. Het Forum Standaardisatie heeft deze normen opgenomen in de ‘pas toe-of-leg uit’- lijst met verplichte standaarden voor de publieke sector, volgens het comply or explain principe. Dit betekent dat de overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen.

 

De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid. Met klem vermeldt zij dat de BIO deze normen niet vervangt.

In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.

Het gebruik van de NEN-ISO/IEC normen 27001 en 27002 in de BIO is auteursrechtelijk beschermd.

 

Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van het Nederlands Normalisatie Instituut. Voor meer informatie over de NEN en het gebruik van hun producten zie: www.nen.nl

Wijzigingshistorie:

Versie

Datum

Opmerkingen

0.1

11-6-2017

Aanpassingen van BIR 2017 versie 0.6

0.2

11-7-2017

Omschrijven naar ISO 27001 aanpak (hoofdstuk 4), samenvoegen hoofdstuk 3 en 4, ISO 27001 aanpak in hoofdstuk 4, tekstuele aanpassing controls (must/should)

0.3

 

Verschillende opmerkingen verwerkt

0.4

10-10-2017

Diverse opmerkingen verwerkt van leden, splitsen baseline in 2 delen, analoog aan de BIR2017

0.5

20-10-2017

Hoofdstuk 4 toegevoegd in deel 2 om ISMS te borgen als control / maatregel

0.6

20-02-2018

Verder aanscherping als gevolg van review commentaar, maken apart addendum voor specifieke Rijks zaken

0.7

02-05-2018

Aanpassing als gevolg van commentaar BZK, 3 delen samengevoegd, alignment met de BIR2017 bewerkstelligd, totale herziening BIO, ISMS-deel als gevolg van commentaar laten vervallen

0.8

21-05-2018

Verdere aanpassingen als gevolg van commentaar en opmerkingen door gemeenten, waterschappen en provincies

0.9

25-05-2018

Verdere aanpassingen als gevolg van commentaar en verspreiding concept onder leden werkgroep Normatiek

1.0

01-06-2018

Laatste wijzigingen en commentaar NCSC en BZK verwerkt

1.01

11-10-2018

Wijzigingen uit de community, opmerkingen Forum Standaardisatie en kleine typo’s aangepast, copyright NEN toegevoegd

1.02

01-11-2018

Aanwijzing NEN, jaartal ISO veranderd van 2013 naar 2017, inhoudelijk geen wijzigingen, de 2017 versie is ontstaan als gevolg van een Europees besluit.

1.03

13-03-2019

Aangepaste passage over gebruik van de NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Deze passage en de wijzigingshistorie verplaatst van pagina 4 naar pagina 2.

Voorwoord

Informatiebeveiliging vormt een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid. Het beveiligen van informatie is echter geen eenmalige zaak, maar een proces waarbij steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Het doorlopen van dit proces is een verantwoordelijkheid van het lijnmanagement. Om te voorkomen dat informatie en informatiesystemen te licht of te zwaar worden beveiligd, vormt risicomanagement een belangrijk onderdeel in dit proces.

De eerste stap in het beveiligingsproces is het maken van een risicoafweging. Daarbij wordt een inschatting gemaakt van mogelijke schade als informatiesystemen (tijdelijk) niet beschikbaar zijn, de informatie niet integer is en/of deze informatie in verkeerde handen valt. Ook wordt een inschatting gemaakt van de dreigingen waartegen beschermd moet worden. De inschatting van mogelijke schade en dreigingen leidt tot beveiligingseisen om het risico te beperken. Om deze eisen af te dekken worden passende maatregelen getroffen of wordt het (rest)risico geaccepteerd.

De Baseline Informatiebeveiliging Overheid (BIO) helpt het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. Het ingewikkelde proces van risicomanagement wordt met de BIO vereenvoudigd. In de BIO zijn namelijk op basis van de generieke schades en dreigingen voor de overheid standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN; de BIO biedt daarvoor een zogenaamde BBN-toets.

In de BIO staat per BBN beschreven aan welke controls uit de ISO 27002 (Code voor Informatiebeveiliging) moet worden voldaan. Bij alle controls dient, op basis van een individuele risicoafweging, bepaald te worden hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Daarbij zijn de controls, waar van toepassing, gedeeltelijk uitgewerkt in verplichte, concrete overheidsmaatregelen. De controls zijn toebedeeld aan rollen, waarmee de verdeling over verantwoordelijken makkelijker is. Zo kan ook de dienstenleverancier die de expertise heeft, bepalen met welke concrete maatregelen hij de control in vult.

Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls. Deze verantwoording is onderdeel van de bestuurlijke verantwoording over de beveiliging van informatiesystemen. De wijze en mate van detail van de verantwoording hangt af van het BBN. Des te hoger het BBN, des te meer detail nodig is in verband met de hogere potentiële impact. Dienstenleveranciers leggen verantwoording af aan hun (gedeelde) opdrachtgever en er wordt verantwoording afgelegd aan de ketenpartners met wie afspraken over de beveiliging van informatie zijn gemaakt. De opdrachtgever ziet erop toe dat de afgenomen diensten in overeenstemming met de gestelde eisen beveiligd zijn; de afnemers van de diensten mogen hierop vertrouwen en worden door de opdrachtgever geïnformeerd over uitzonderingssituaties.

De BIO biedt hiermee de basis om te zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid bevorderd wordt. Deze bedrijfsonderdelen kunnen erop vertrouwen dat gegevens die worden verstuurd naar of worden ontvangen van andere onderdelen van de overheid in lijn met wet- en regelgeving passend beveiligd zijn. Waar naleving (nog) niet volledig mogelijk is, dienen de bedrijfsonderdelen via een ‘explain’ de eventuele risico’s inzichtelijk te maken aan hun ketenpartners.

De BIO is opgedeeld in twee delen waarbij het eerste deel de achtergrond weergeeft en het tweede deel het daadwerkelijk uit te voeren kader omvat.

Inhoudsopgave

Voorwoord

3

Deel 1 Achtergrond BIO

6

 

1.

Informatiebeveiliging bij de overheid

6

   

1.1

Inleiding

6

   

1.2

Informatiebeveiligingskaders en uitgangspunten overheid

6

   

1.3

ISO 27002

7

   

1.4

Evaluatie en bijstelling

8

   

1.5

Forum Standaardisatie

8

 

2.

Opzet van de BIO

8

   

2.1.

Opzet BBN’s

8

   

2.2.

Controls

8

   

2.3.

Implementatierichtlijnen

9

   

2.4.

Overheidsmaatregelen

9

   

2.5.

Addendum

9

   

2.6.

Operationalisering in handreikingen

9

   

2.7.

Rollen

10

 

3.

Basisbeveiligingsniveaus

10

   

3.1.

BBN1

10

   

3.2.

BBN2

10

   

3.3.

BBN3

11

 

4.

Verantwoording over de BIO

11

   

4.1.

Verantwoordelijkheid afhankelijk van basisbeveiligingsniveau

11

   

4.2.

Explains op overheidsmaatregelen

12

   

4.3.

Ketensamenwerking

12

   

4.4.

Dienstenleveranciers

12

Deel 2 Kader BIO

14

Inleiding

14

BBN-toets

14

Controls en overheidsmaatregelen

15

 

5.

Informatiebeveiligingsbeleid

15

   

5.1

Aansturing door de directie van de informatiebeveiliging

15

 

6.

Organiseren van informatiebeveiliging

15

   

6.1

Interne organisatie

15

   

6.2

Mobiele apparatuur en telewerken

16

.

7.

Veilig personeel

17

   

7.1

Voorafgaand aan het dienstverband

17

   

7.2

Tijdens het dienstverband

17

   

7.3

Beëindiging en wijziging van dienstverband

17

.

8.

Beheer van bedrijfsmiddelen

18

   

8.1

Verantwoordelijkheid voor bedrijfsmiddelen

18

   

8.2

Informatieclassificatie

18

   

8.3

Behandelen van media

18

 

9.

Toegangsbeveiliging

19

   

9.1

Bedrijfseisen voor toegangsbeveiliging

19

   

9.2

Beheer van toegangsrechten van gebruikers

19

   

9.3

Verantwoordelijkheden van gebruikers

20

   

9.4

Toegangsbeveiliging van systeem en toepassing

20

 

10.

Cryptografie

21

   

10.1

Cryptografische beheersmaatregelen

21

 

11.

Fysieke beveiliging en beveiliging van de omgeving

22

   

11.1

Beveiligde gebieden

22

   

11.2

Apparatuur

22

 

12.

Beveiliging bedrijfsvoering

23

   

12.1

Bedieningsprocedures en verantwoordelijkheden

23

   

12.2

Bescherming tegen malware

24

   

12.3

Back-up

24

   

12.4

Verslaglegging en monitoren

24

   

12.5

Beheersing van operationele software

25

   

12.6

Beheer van technische kwetsbaarheden

25

   

12.7

Overwegingen betreffende audits van informatiesystemen

26

 

13.

Communicatiebeveiliging

26

   

13.1

Beheer van netwerkbeveiliging

26

   

13.2

Informatietransport

26

 

14.

Acquisitie, ontwikkeling en onderhoud van informatiesystemen

27

   

14.1

Beveiligingseisen voor informatiesystemen

27

   

14.2

Beveiliging in ontwikkelings- en ondersteunende processen

27

   

14.3

Testgegevens

28

 

15.

Leveranciersrelaties

29

   

15.1

Informatiebeveiliging in leveranciersrelaties

29

   

15.2

Beheer van dienstverlening van leveranciers

29

 

16.

Beheer van informatiebeveiligingsincidenten

30

   

16.1

Beheer van informatiebeveiligingsincidenten en -verbeteringen

30

 

17.

Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

31

   

17.1

Informatiebeveiligingscontinuïteit

31

   

17.2

Redundante componenten

31

 

18.

Naleving

31

   

18.1

Naleving van wettelijke en contractuele eisen

31

   

18.2

Informatiebeveiligingsbeoordelingen

32

Bijlage 1: Wet- en regelgeving

34

Bijlage 2: Basisbeveiligingsniveaus

35

Deel 3 Addendum BIO

37

1

Inleiding Addendum

37

 

5.

Informatiebeveiligingsbeleid

37

   

5.1

Aansturing door de directie van de informatiebeveiliging

37

 

6.

Organiseren van informatiebeveiliging

37

   

6.1

Interne organisatie

37

 

7.

Veilig personeel

37

   

7.1

Voorafgaand aan het dienstverband

37

   

7.2

Tijdens het dienstverband

37

 

8.

Beheer van bedrijfsmiddelen

38

   

8.1

Verantwoordelijkheid voor bedrijfsmiddelen

38

   

8.3

Behandelen van media

38

 

11.

Fysieke beveiliging en beveiliging van de omgeving

38

   

11.1

Beveiligde gebieden

38

 

14.

Acquisitie, ontwikkeling en onderhoud van informatiesystemen

38

   

14.1

Beveiligingseisen voor informatiesystemen

38

 

15.

Leveranciersrelaties

38

   

15.1

Informatiebeveiliging in leveranciersrelaties

38

 

16.

Beheer van informatiebeveiligingsincidenten

38

   

16.1

Beheer van informatiebeveiligingsincidenten en -verbeteringen

38

Deel 1

Achtergrond BIO

1. Informatiebeveiliging bij de overheid
1.1 Inleiding

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen1.

De BIO beoogt de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid te bevorderen, zodat deze bedrijfsonderdelen erop kunnen vertrouwen dat gegevens die worden verstuurd naar of worden ontvangen van andere onderdelen van de overheid, in lijn met wet- en regelgeving, passend beveiligd zijn.

De BIO beoogt zo de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Het doel is continuïteit in de bedrijfsprocessen door waarborgen van juiste en tijdige informatie. Daarmee is de BIO ook van toepassing op besturings- en meetprocessen voor zover deze binnen een bestuursorgaan gebruikt worden.

De BIO is van toepassing op de overheid. In verband hiermee is de BIO van toepassing op de volgende bestuursorganen:

  • Rijksdienst

  • Provincies

  • Waterschappen

  • Gemeentes

Daarnaast wordt aanbevolen de BIO te verankeren in de taakomschrijving van de overige overheidsorganisaties en organisaties waarmee de overheid publiek privaat samenwerkt en private samenwerkingen waarbij de overheid de enige aandeelhouder is.

1.2 Informatiebeveiligingskaders en uitgangspunten overheid

De overheid past risicomanagement toe om tot de juiste beveiliging van informatie en informatiesystemen te komen binnen de context van de bedrijfsdoelstellingen. Risicomanagement is het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes2.

De insteek van risicomanagement in het kader van de BIO is dat er cyclisch en methodisch vanuit een PDCA-cyclus wordt omgegaan met informatiebeveiliging. De overheidslagen kiezen als basis voor deze procesmatige inrichting van risicomanagement en het inrichten van de PDCA-cyclus voor de NEN/ISO 27001:20173. Voor de rijksoverheid vindt nadere specificatie plaats in de algemene voorschriften voor de beveiliging van informatiesystemen: het Beveiligingsvoorschrift Rijksdienst4 (BVR), het Voorschrift Informatiebeveiliging Rijksdienst5 (VIR) en het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie6 (VIR-BI)

Voor de BIO geldt (op basis van deze documenten van NEN/ISO 27001 en BVR, VIR en VIR-BI) kort samengevat het volgende.

  • Een ruime definitie voor een informatiesysteem, namelijk “een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.7

  • Het lijnmanagement is verantwoordelijk voor de beveiliging van informatie(-systemen);

  • Informatiebeveiliging is een cyclisch proces is, volgens de Plan-Do-Check-Act cyclus8;

  • Deze Plan-Do-Check-Act cyclus maakt het lijnmanagement verantwoordelijk voor het treffen van maatregelen op basis van risicomanagement;

  • De Secretaris/algemeen directeur van een organisatie is eindverantwoordelijk9 voor deze beveiliging en voor de inrichting en werking van de beveiligingsorganisatie10;

  • Het lijnmanagement stelt op basis van een expliciete risicoafweging de betrouwbaarheidseisen voor zijn informatiesystemen vast11;

  • Op basis van de betrouwbaarheidseisen kiest, implementeert en draagt het lijnmanagement de maatregelen uit12.

De BIO is allereerst een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen) van de overheid. Daarnaast concretiseert de BIO een aantal normen tot verplichte overheidsmaatregelen:

  • op grond van wet- en regelgeving13;

  • vanwege de gemeenschappelijk veiligheid van informatieketens;

  • omdat deze fundamenteel zijn voor een betrouwbare c.q. professionele informatievoorziening.

  • De Baseline Informatiebeveiliging Overheid BIO is gebaseerd op de ISO 27002 standaard14.

1.3 ISO 27002

De ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. Deze standaard is een “best practice” om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van de ISO 27001 standaard15. De ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en als effectieve methode voor het bereiken van deze veiligheid.

De ISO bestaat uit 114 controls; de term ‘control’ wordt in de ISO vertaald als een beheersmaatregel16. De BIO volgt de opbouw van de ISO 27002 en haar controls. De controls zijn in de BIO letterlijk17 overgenomen. Dit vergemakkelijkt afstemming met externe partners of leveranciers. Daarnaast vult de BIO enkele bepalingen uit het VIR inzake PDCA-cyclus en verantwoordelijkheden op een generieke wijze in18.

1.4 Evaluatie en bijstelling

Door de snelle ontwikkelingen van de techniek verouderen maatregelensets voor informatiebeveiliging snel. De BIO is daarom zoveel als mogelijk op een abstractieniveau geschreven waarbij dergelijke wijzigingen en ontwikkelingen een zo klein mogelijke impact hebben op de maatregelen.19 De BIO beschrijft het wat en niet het hoe. Desondanks kunnen wijzigingen noodzakelijk zijn bij bijvoorbeeld aanpassingen van onderliggende wet- en regelgeving, nieuwe of juist verouderde handreikingen of nieuwe dreigingen en kwetsbaarheden.

Dit document wordt daarom regelmatig in zijn geheel geëvalueerd en indien nodig bijgesteld. Daarnaast wordt specifiek bezien of er wijzigingen en aanvullingen in de maatregelen en de (operationele) handreikingen nodig of gewenst zijn om hiermee de praktische toepasbaarheid te vergroten. Besluiten hierover worden via de bestaande informatiebeveiligingsgremia genomen en door de beheerder van de BIO verwerkt20.

1.5 Forum Standaardisatie

De overheid volgt de standaarden die op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie21 (hierna Forum) staan. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017, beide standaarden staan op de ‘pas toe of leg uit’-lijst22 van het Forum. Ook een aantal technische maatregelen uit de BIO staan op de ‘pas toe of leg uit’-lijst of op de ‘open standaarden’-lijst23 van het Forum. Deze technische invullingen zijn niet allemaal uitgewerkt in deze BIO. Er is voor gekozen alleen aan te geven of de maatregel ingevuld wordt door een verplichte of open standaard van het Forum. Hierdoor wordt de BIO minder onderhoudsgevoelig.

2. Opzet van de BIO
2.1. Opzet BBN’s

Om risicomanagement hanteerbaar en efficiënt te houden, kiest de BIO voor een diepgang van de uitwerking van het risicomanagement die proportioneel is aan de te beschermen belangen in combinatie met relevante dreigingen. Daarom onderscheidt de BIO drie basisbeveiligingsniveau’s (BBN). Voor BBN1 ligt de nadruk op ‘wat mag minimaal verwacht worden?’. Voor BBN2 ligt de nadruk op de bescherming van de meest voorkomende categorieën informatie volgens het principe ‘valt de maatregel onder goed huisvaderschap; toont deze beveiliging de betrouwbare overheid?’. BBN324 is van toepassing op gerubriceerde informatie Departementaal Vertrouwelijk dan wel vergelijkbaar vertrouwelijk bij andere overheidslagen, waarbij weerstand tegen statelijke actoren of vergelijkbare dreigers nodig is.

De keuze voor een BBN wordt gemaakt door de proceseigenaar en is gebaseerd op risicomanagement. De BIO gaat vergezeld van een methode van risicoafweging, de BBN-toets25. In Deel 2 wordt deze methode verder toegelicht26.

2.2. Controls

Na de BBN-toets doorloopt het lijnmanagement alle toepasselijke controls27 uit de BIO28. Op basis van een risicoafweging wordt bepaald hoe moet worden voldaan aan de gestelde beveiligingsdoelstellingen van de controls. Voor het voldoen aan deze doelstellingen kunnen implementatierichtlijnen uit de ISO 27002, overheidsmaatregelen en/of operationaliseringen in handreikingen worden gebruikt.

Er geldt een hardheidsbepaling: in het geval een control voor een specifiek geval niet van toepassing kan zijn, is de control niet toepassing. Dit geldt bijvoorbeeld voor een control die betrekking heeft op een externe koppeling, terwijl het betreffende informatiesysteem geen externe koppeling heeft. De organisatie hoeft zich daar niet over te verantwoorden.

2.3. Implementatierichtlijnen

Iedere control is in de ISO 27002 uitgewerkt in implementatierichtlijnen. Bij het uitvoeren van risicoafwegingen zijn de implementatierichtlijnen zeer nuttig. Ze helpen bij het kiezen van de benodigde beveiligingsmaatregelen. Deze richtlijnen moeten dus worden gezien als voorbeelden hoe de controls uitgewerkt kunnen worden in maatregelen; het volgen van deze richtlijnen is niet verplicht.

Deze implementatierichtlijnen zijn niet in de BIO opgenomen, hiervoor wordt verwezen naar de ISO 27002.

2.4. Overheidsmaatregelen

Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat zij:

  • voortvloeien uit wet- en regelgeving29. Het niet treffen van een dergelijke maatregel is dan in strijd met deze externe wet- en regelgeving;

  • zo basaal zijn dat zij het fundament vormen van een betrouwbare c.q. professionele informatievoorziening;

  • dienstbaar zijn aan de beveiliging in een procesketen of -netwerk; niet-naleving door een enkele organisatie is per saldo niet effectief voor de gehele keten. Het vormt een risico voor alle andere partijen in de keten en leidt bij hen tot extra maatregelen en kosten. Voor de keten als geheel is dit niet efficiënt. Voor een generieke dienst geldt een afweging die analoog is aan het ketenvraagstuk.

De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. De overheidsmaatregelen dekken niet de gehele beveiligingsdoelstellingen van de control af. Net als bij de controls, geldt hier een hardheidsbepaling: in het geval een maatregel voor een specifiek geval niet van toepassing kan zijn, vervalt de verplichting. Dit geldt bijvoorbeeld voor een overheidsmaatregel die betrekking heeft op een externe koppeling, terwijl het betreffende informatiesysteem geen externe koppeling heeft.

Bij een aantal overheidsmaatregelen zijn verwijzingen toegevoegd naar relevante wet- en regelgeving. Deze verwijzingen zijn of overheidsbreed geldend of specifiek toegesneden op een aandachtsgebied (bijvoorbeeld de ‘Gedragsregeling voor digitale werkomgeving’) en hebben een verplichtend karakter.

2.5. Addendum

De BIO is generiek geschreven en geldig voor alle doelgroepen. Sommige overheidslagen hebben specifieke wet- en regelgeving die alleen gelden binnen die overheidslaag.

Om tegemoet te komen aan de behoefte van deze overheidslagen en deze specifieke wet- en regelgeving niet verloren te laten gaan is er aan de BIO een addendum toegevoegd. In dit addendum is deze wet- en regelgeving gekoppeld aan de control of maatregel waartoe zij behoren. Het addendum is toegevoegd aan de BIO in deel 3.

2.6. Operationalisering in handreikingen

Om de praktische toepasbaarheid van de BIO te verhogen, wordt de BIO aangevuld met handreikingen. Dit zijn aanbevelingen in het kader van de bedrijfsvoering die niet een verplichtend karakter hebben en niet essentieel zijn voor de werking van een stelsel. Een handreiking geeft dus advies hoe bepaalde normen, standaarden, technieken of maatregelen te implementeren of te hanteren zijn. Een handreiking kan meer specifiek zijn toegesneden op een overheidslaag (interdepartementaal, gemeentebreed, etc.), of op een bepaald aandachtsgebied.

In deze BIO zijn verwijzingen opgenomen naar goede handreikingen die nu reeds beschikbaar zijn; in de loop van de tijd kunnen hier handreikingen aan worden toegevoegd.

2.7. Rollen

In het algemeen geldt dat onderdelen van de BIO op verschillende plaatsen in de organisatie worden toegepast op grond van verschillende verantwoordelijkheden en gezagsverhoudingen. De BIO onderscheidt drie (hoofd)rollen: de Secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Deze rollen zijn hieronder beschreven vanuit het perspectief van informatiebeveiliging. Er zijn uiteraard meer rollen betrokken bij informatiebeveiliging, zoals toezichthouder en medewerker, maar het gaat hier om de verantwoordelijke voor de uitvoering van de control.

Secretaris/algemeen directeur

Als eindverantwoordelijke voor het beveiligingsbeleid in de organisatie is de Secretaris/algemeen directeur verantwoordelijk voor de uitvoering van organisatiebrede vraagstukken ten aanzien van informatiebeveiliging.1

In de praktijk kan deze rol worden uitgevoerd door bijvoorbeeld de CIO of een directeur Inkoop.2

Proceseigenaar

Onder de proceseigenaar wordt de lijnmanager verstaan die verantwoordelijk is voor de beveiliging van het betreffende proces / informatiesysteem.

Dienstenleverancier

Bedoeld wordt de dienstenleverancier (bijv. SSO) binnen de overheid of organisaties in de markt waaraan de Secretaris/algemeen directeur of proceseigenaar (een deel van) de beveiligingstaak inbesteedt respectievelijk uitbesteedt.

X Noot
1

In sommige organisaties heet de eindverantwoordelijke “secretaris-generaal”, “directeur” of “bestuursvoorzitter” en moet de term “Secretaris/algemeen directeur” als “secretaris-generaal”, “directeur” of “bestuursvoorzitter” worden gelezen.

X Noot
2

Bij het rijk kan dat bijvoorbeeld ook de beveiligingsambtenaar (BVA) zijn.

In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat de overheid pluriform is georganiseerd, is deze toedeling indicatief. De BIO verplicht wel om de controls en overheidsmaatregelen die bij de rollen staan intern toe te delen en hierbij rekening te houden met voldoende functiescheiding. In het algemeen is de organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden terug te vinden in de organisatie informatiebeveiligingsbeleid.30

3. Basisbeveiligingsniveaus

Zoals in paragraaf 2.1 beschreven, onderscheidt de BIO drie basisbeveiligingsniveaus (BBN’s). Ieder BBN bestaat uit een aantal controls, een aantal verplichte overheidsmaatregelen en een verantwoordings- en toezichtregime. Elk niveau bouwt voort op het vorige niveau. Daarbij vult BBN2 de controls van BBN1 aan. BBN2 vult ook de overheidsmaatregelen van BBN1 aan of vervangt deze door maatregelen met meer gewicht. Hetzelfde geldt voor BBN3 in relatie tot BBN1 en BBN2.

3.1. BBN1

Informatiesystemen op BBN1 niveau zijn systemen waarvoor BBN2 als te zwaar wordt gezien. Het kan voorkomen dat er nog wel hogere beschikbaarheids- en integriteitseisen nodig zijn. BBN1 is waar alle overheidssystemen als minimum aan moeten voldoen.

Controls en overheidsmaatregelen komen voort uit:

  • wet- en regelgeving;

  • algemeen geldende beveiligingsprincipes (fundamentele controls en maatregelen).

3.2. BBN2

Voor informatiesystemen binnen de overheid vormt BBN2 het uitgangspunt. BBN2 is van toepassing indien31:

  • er vertrouwelijke informatie wordt verwerkt;

  • mogelijke incidenten leiden tot bestuurlijke commotie;

  • er onzekerheid bestaat of ook alle informatie van derden open is;

  • de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.

Het te beschermen belang van BBN2 is maximaal Departementaal Vertrouwelijk (DepV), (zoals gedefinieerd in het VIR-BI)/vergelijkbaar vertrouwelijk bij andere overheidslagen en privacygevoelige informatie met een verhoogd vertrouwelijkheidsniveau. Dergelijke informatie komt veelvuldig voor bij de overheid. Het gaat verder om commercieel vertrouwelijke informatie of informatie in het kader van beleidsvorming; het is dus niet beperkt tot DepV/vergelijkbaar vertrouwelijk bij andere overheidslagen gerubriceerde informatie.

BBN2 informatie wordt preventief beschermd tegen alle dreigingen met uitzondering van geavanceerde dreigingen, zoals Advanced Persistent Threats (APT’s), afkomstig van statelijke actoren of beroepscriminelen. Daarvoor geldt een bescherming achteraf: zij dienen te kunnen worden gedetecteerd, waarop vervolgens passend gereageerd moet worden. Voor informatiesystemen waar Departementaal Vertrouwelijke informatie en vergelijkbaar vertrouwelijk bij andere overheidslagen wordt verwerkt en waar weerstand tegen de geavanceerde dreiging van statelijke actoren of gelijkwaardige beroepscriminelen is vereist, is het BBN2 dus niet voldoende.

De controls van het BBN2 omvatten de controls van BBN1. Dit geldt ook voor de maatregelen waarbij enkele maatregelen van BBN1 in de BBN2 variant verzwaard zijn. De keuze hiervoor komt voort uit:

  • wet- en regelgeving, in het bijzonder beveiligingseisen a.g.v. WBP/AVG;

  • aansluitvoorwaarden van generieke/gemeenschappelijke diensten;

  • afhankelijkheden in ketens en netwerken;

  • minimale eisen ten behoeve van een efficiënte beveiliging van BBN3.

3.3. BBN3

BBN3 richt zich op de bescherming van Departementaal Vertrouwelijk en vergelijkbaar vertrouwelijk bij andere overheidslagen gerubriceerde informatie waarbij weerstand geboden moet worden tegen de dreiging, zoals Advanced Persistant Threat’s (APT’s), die uitgaat van statelijke actoren en beroepscriminelen. BBN3 is van toepassing indien:

  • verlies van informatie een grote impact heeft, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op het niveau van BBN3;

  • informatie met een rubricering (niet zijnde BBN2) wordt geleverd door derden;

  • aansluiting op een infrastructuur BBN3 is vereist om informatie te kunnen verwerken op deze infrastructuur (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen);

Om redenen van efficiency sluit BBN3 aan op relevante NAVO-regelgeving waarin ook al rekening wordt gehouden met het bieden van weerstand tegen statelijke actoren32. Dit betekent dat BBN3 bestaat uit de controls en overheidsmaatregelen uit BBN2 aangevuld met relevante eisen uit het VIR-BI, relevante bepalingen uit regelingen andere overheidslagen en uit het NAVO-verdrag voor de beveiliging van informatie33. Niet alle delen/maatregelen zijn van toepassing voor de nationale context en voor NATO Restricted;34. In de uitwerking van BBN3 zal daarom specifiek aangegeven worden welke delen/maatregelen van het NAVO-verdrag specifiek van toepassing zijn.

4. Verantwoording over de BIO

De Secretaris/algemeen directeur van een organisatie is eindverantwoordelijk voor de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie35.

In die hoedanigheid is hij eindverantwoordelijk voor de implementatie van alle beveiligingskaders in zijn organisatie, dus ook voor een juiste toepassing van de BIO.

De bestuurlijke verantwoording over de toepassing van de BIO is onderdeel van de verantwoording over de beveiliging van informatie(-systemen). Hier wordt ook verantwoording afgelegd aan de ketenpartners met wie afspraken over de beveiliging van informatie zijn gemaakt.

4.1. Verantwoordelijkheid afhankelijk van basisbeveiligingsniveau

De ISO 27001 en het VIR bepalen dat het lijnmanagement vaststelt dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd36. De proportionaliteit die eerder beschreven is, is ook van toepassing bij het toekennen van het niveau waar de verantwoordelijkheid voor risicomanagement wordt belegd:

  • voor BBN1 is de proceseigenaar volledig verantwoordelijk voor het nemen van (verstandige) beslissingen. Slechts incidenteel en op verzoek informeert deze de CISO over de stand van zaken met betrekking tot zijn BBN1 informatiesystemen.

  • voor BBN2 geldt dat de proceseigenaar het informatiesysteem voor ingebruikname (bij voorkeur in ontwerp/ontwikkelfase) ter consultatie voorlegt aan de CISO37.

  • voor BBN3 geldt dat vooraf toestemming verleend moet worden door de Secretaris/algemeen directeur voor het verwerken van bijzondere informatie (conform het VIR-BI).38 Voor het verlenen van toestemming is mandatering mogelijk naar bijvoorbeeld de CIO of CISO en bij het rijk naar de BVA.

Organisaties kunnen voor BBN1 en BBN2 hiervan afwijken in het informatiebeveiligingsbeleid39.

4.2. Explains op overheidsmaatregelen

Overheidsmaatregelen die niet van toepassing zijn, hoeven niet als explain te worden benoemd.

De organisatie dient te beschikken over een registratie van overheidsmaatregelen waaraan niet of nog niet geheel kan worden voldaan. Dit zijn explains volgens het ‘comply or explain’ principe. Daarbij worden de daaruit voortvloeiende risico’s tevens aangegeven.

Explains ten aanzien van overheidsmaatregelen kunnen bij het samenwerken in ketens zorgen voor een verschil in bescherming tussen partijen waardoor een risico ontstaat voor de verwerkte (en gedeelde) informatie. Partijen met explains, moeten dit afstemmen met hun (samenwerk- of keten)partners zodat ze samen passende maatregelen of tijdelijke maatregelen treffen die het risico mitigeren of verkleinen zolang de explains niet conform de BIO geïmplementeerd zijn.

Voor Rijksonderdelen geldt: explains die de veiligheid van andere delen van de Rijksdienst onderdelen raken, worden voorzien van een advies van de Security Accreditation Authority (SAA, ingevuld door de Subcommissie Informatiebeveiliging) en door het ministerie voorgelegd aan het CIO Beraad.

4.3. Ketensamenwerking

Binnen de overheid en met andere externe partijen wordt veel in ketens samengewerkt en daarom vormt, zoals in paragraaf 1.1 aangegeven, de gemeenschappelijke veiligheid van informatieketens ook een basis voor de concretisering van de overheidsmaatregelen.

Een keten is een samenwerkingsverband tussen organisaties die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven. Deze ketenpartners zijn zelfstandig, maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van de gezamenlijke (keten)doelstellingen.40 Een informatieketen betreft de uitwisseling van informatie binnen zo’n samenwerkingsverband.

Ook in het kader van ketensamenwerking kan de verantwoordelijkheid voor informatiebeveiliging niet worden gedelegeerd.

In het geval dat een organisatie informatie aan ketenpartners toevertrouwt, blijft deze organisatie er verantwoordelijk voor dat ketenpartners de toevertrouwde informatie zorgvuldig beschermen. De organisatie moet daarom aansluitvoorwaarden eisen of stellen aan de leverende of afnemende partij. Tevens moet de organisatie leveringsgaranties bieden aan de afnemende partij. De organisatie moet hiervoor inzichtelijk hebben van welke informatiesystemen en infrastructuren zij afhankelijk is, welke afhankelijk zijn van haar en hoe de governance van beiden hierop is ingericht.

4.4. Dienstenleveranciers

In de BIO wordt bij het van toepassing verklaren van controls en overheidsmaatregelen geen onderscheid gemaakt in interne of externe dienstenleveranciers. Ook bij de wijze waarop verantwoording wordt afgelegd over hun diensten worden interne en externe dienstenleveranciers gelijk behandeld. Dit betekent voor alle dienstenleveranciers het volgende.

  • Periodiek leggen alle dienstenleveranciers verantwoording af via een Statement of Compliancy (of deel-ICV; met toepasselijke reikwijdte) aan de opdrachtgever bij de overheid.

  • De dienstenleveranciers volgen de beveiligingseisen die de overheidsorganisaties of ketenpartners stellen aan de diensten van de dienstenleverancier. Uit efficiencyoverwegingen kan een dienstenleverancier een standaard beveiligingsniveau aanbieden, maar dit doet geen afbreuk aan de genoemde verantwoordelijkheid van de overheidsorganisaties.

  • Voor diensten die aan één organisatie worden aangeboden, legt de dienstenleverancier verantwoording af aan het opdrachtgevende organisatie. De opdrachtgevende organisatie neemt de verantwoording op in haar ICV. De opdrachtgevende organisatie houdt ook toezicht op specifieke dienstverlening.

  • Voor diensten die aan meerdere overheden of overheidsonderdelen worden aangeboden stelt de dienstenleverancier één verantwoording op ten behoeve van alle afnemers. Voor het Rijk wordt in het CIO-beraad jaarlijks vastgesteld wie toezicht houdt op de beveiliging van deze diensten.

Naast de verantwoording over hun diensten zijn de dienstenleveranciers ook zelf als organisatie gebonden aan informatiebeveiligingsregels. Hierbij is wel een onderscheid aanwezig tussen interne en externe dienstenleveranciers:

  • Interne dienstenleveranciers zijn, als onderdeel van de overheid, zelf ook rechtstreeks gebonden aan de BIO. Ze zijn daarmee gehouden aan de reguliere verantwoordings- en toezichtprocedures van de betreffende overheidslagen. Bij het rijk geldt onder meer het toezicht vanuit de ADR, ARK en de BVA. De interne dienstenleverancier is ook gebonden aan het jaarlijks opleveren van een In Control Verklaring (ICV). Hierin verklaart de dienstenleverancier dat hij voor zijn eigen bedrijfsvoering aan de BIO voldoet (inclusief de overheidsmaatregelen).

  • Externe dienstenleveranciers zijn geen onderdeel van de overheid en zijn daarmee zelf niet rechtstreeks gebonden aan de BIO of het opleveren van een ICV. Ze moeten wel voldoen aan de eisen van de opdrachtgever. Voorwaarden ten behoeve van informatiebeveiliging moeten daarom in het contract zijn vastgelegd. In de BIO zijn in hoofdstuk 15 over leveranciersrelaties controls en overheidsmaatregelen opgenomen die moeten zorgen voor een goede borging van informatiebeveiliging in contracten.

Het is mogelijk dat een (externe) dienstenleverancier beschikt over een kwaliteitskeurmerk zoals een ISO27001-certificaat of bijv. een ISAE3402-verklaring. De waarde van zo’n keurmerk of verklaring is afhankelijk van de reikwijdte en diepgang. Het zegt meestal iets over het proces dat bij de dienstenleverancier is ingericht. Hoewel dit dus wel meerwaarde heeft, overlap kent met de BIO-controls en gebruikt kan worden als onderdeel van de Statement of Compliancy, omvat en vervangt het niet volledig de verantwoording over de overheidsmaatregelen uit de BIO. Er zullen altijd aanvullende afspraken gemaakt moeten worden over de gap tussen keurmerk of verklaring en de BIO-controls. Hierover moet aanvullend worden verantwoord.

Deel 2

Kader BIO

Inleiding

Het Kader BIO bestaat uit een BBN-toets om het juiste Basis Beveiligingsniveau (BBN) te bepalen en de tabellen met de controls en maatregelen. De BBN toets wordt voor ieder informatiesysteem uitgevoerd. Het BBN bepaalt welke controls vervolgens moeten worden doorlopen. Per control moet worden bepaald welke maatregelen in aanvulling op de verplichte overheidsmaatregelen nodig zijn. Voor meer toelichting op de opzet van de BIO en de BBN’s wordt verwezen naar Deel 1 van deze BIO.

In het document zijn de controls dan als volgt opgebouwd:

Om het verschil tussen de ISO 27002 controls en de overheidsmaatregelen te duiden, zijn ook verschillende kleurmarkeringen gebruikt:

Waar passend wordt verwezen naar handreikingen om invulling te geven aan de maatregelen. Deze handreikingen zijn niet verplicht, hebben geen nummer en zijn als een link weergegeven.

In de kolom ‘Verantwoordelijke(n)’ staat aangegeven wie voor de uitvoering van de control verantwoordelijk is: Secretaris/algemeen directeur (eindverantwoordelijke voor de bedrijfsvoering van een organisatie), Proceseigenaar en/of Dienstenleverancier.

BBN-toets

Bij het doorlopen van deze toets is BBN2 het uitgangspunt voor alle informatiesystemen.

Stap 1: Is BBN2 voldoende?

Meestal is BBN2 van toepassing op een specifiek informatiesysteem. Het kan echter zijn dat BBN2 niet voldoende is. BBN2 is onvoldoende indien:

  • de informatie beschermd dient te worden tegen statelijke actoren of vergelijkbare dreigers; of

  • informatie wordt geleverd door derden en deze voor de beveiliging van betreffende informatie BBN3 eisen; of

  • aansluiting op een infrastructuur het BBN3 vereist om informatie te kunnen verwerken op deze infrastructuur (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen)

In elk van deze gevallen is BBN3 of hoger (zie VIR-BI in geval van het Rijk) van toepassing.

Stap 2: Is BBN2 te zwaar?

Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade:

  • politieke schade aan een bestuurder: bestuurder moet verantwoording afleggen aan de (gekozen) controlerende organen, bijvoorbeeld n.a.v. verantwoordingsvragen; of

  • diplomatieke schade te herstellen door ambtelijke opschaling; of

  • financiële gevolgen: niet meer op te vangen binnen de begroting van de (uitvoerings)organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

  • verlies van publiek respect; klachten van burgers of significant verlies van motivatie van medewerkers; of

  • bindende aanwijzing van de AP in verband met schending van de privacy; of

  • directe imagoschade, bijvoorbeeld door negatieve publiciteit.

Zijn dergelijke schades niet aan de orde, dan is BBN1 van toepassing.

Stap 3: Bepaal extra vereisten voor beschikbaarheid en/of integriteit

In het geval van BBN1: leidt uitval van systemen en/of het verminkt raken van informatie tot schade vergelijkbaar met BBN2-schade41? In dat geval kan worden overwogen (een deel) van de BIO controls en maatregelen, die toezien op beschikbaarheid dan wel integriteit op het niveau van BBN2 te nemen. De verantwoording en toezicht vindt plaats volgens BBN2.

In het geval van BBN2 of BBN3: leidt uitval van systemen en/of het verminkt raken van informatie tot grotere schade dan de BBN2-schade42? In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Controls en overheidsmaatregelen

Voor de herkenbaarheid is gekozen om de nummering van de hoofdstukken en de controls in lijn te houden met de nummering uit de ISO27002.

5. Informatiebeveiligingsbeleid
5.1 Aansturing door de directie van de informatiebeveiliging

Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.

6. Organiseren van informatiebeveiliging
6.1 Interne organisatie

Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.

6.2 Mobiele apparatuur en telewerken

Doelstelling: Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur. 1 Daar is ook MAM (Mobile Application Managent) onderdeel van.

1 Daar is ook MAM (Mobile Application Managent) onderdeel van.

7. Veilig personeel
7.1 Voorafgaand aan het dienstverband

Doelstelling: Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij in aanmerking komen.

7.2 Tijdens het dienstverband

Doelstelling: Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.

7.3 Beëindiging en wijziging van dienstverband

Doelstelling: Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.

8. Beheer van bedrijfsmiddelen
8.1 Verantwoordelijkheid voor bedrijfsmiddelen

Doelstelling: Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter bescherming definiëren.

8.2 Informatieclassificatie

Doelstelling: Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming is met het belang ervan voor de organisatie.

8.3 Behandelen van media

Doelstelling: Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op media is opgeslagen voorkomen.

9. Toegangsbeveiliging
9.1 Bedrijfseisen voor toegangsbeveiliging

Doelstelling: Toegang tot informatie en informatie verwerkende faciliteiten beperken.

9.2 Beheer van toegangsrechten van gebruikers

Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen.

9.3 Verantwoordelijkheden van gebruikers

Doelstelling: Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie.

9.4 Toegangsbeveiliging van systeem en toepassing

Doelstelling: Onbevoegde toegang tot systemen en toepassingen voorkomen.

10. Cryptografie
10.1 Cryptografische beheersmaatregelen

Doelstelling: Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen.

11. Fysieke beveiliging en beveiliging van de omgeving
11.1 Beveiligde gebieden

Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatie verwerkende faciliteiten van de organisatie voorkomen.

11.2 Apparatuur

Doelstelling: Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie voorkomen.

12. Beveiliging bedrijfsvoering
12.1 Bedieningsprocedures en verantwoordelijkheden

Doelstelling: Correcte en veilige bediening van informatie verwerkende faciliteiten waarborgen.

12.2 Bescherming tegen malware

Doelstelling: Waarborgen dat informatie en informatie verwerkende faciliteiten beschermd zijn tegen malware.

12.3 Back-up

Doelstelling: Beschermen tegen het verlies van gegevens.

12.4 Verslaglegging en monitoren

Doelstelling: Gebeurtenissen vastleggen en bewijs verzamelen.

12.5 Beheersing van operationele software

Doelstelling: De integriteit van operationele systemen waarborgen.

12.6 Beheer van technische kwetsbaarheden

Doelstelling: Benutting van technische kwetsbaarheden voorkomen.

12.7 Overwegingen betreffende audits van informatiesystemen

Doelstelling: De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.

13. Communicatiebeveiliging
13.1 Beheer van netwerkbeveiliging

Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatie verwerkende faciliteiten waarborgen.

13.2 Informatietransport

Doelstelling: Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit.

14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen
14.1 Beveiligingseisen voor informatiesystemen

Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.

14.2 Beveiliging in ontwikkelings- en ondersteunende processen

Doelstelling: Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen.

14.3 Testgegevens

Doelstelling: Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.

15. Leveranciersrelaties
15.1 Informatiebeveiliging in leveranciersrelaties

Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers.

15.2 Beheer van dienstverlening van leveranciers

Doelstelling: Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.

16. Beheer van informatiebeveiligingsincidenten
16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen

Doelstelling: Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging.

17. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
17.1 Informatiebeveiligingscontinuïteit

Doelstelling: Informatiebeveiligingscontinuïteit behoort te worden ingebed in de systemen van het bedrijfscontinuïteitsbeheer van de organisatie.

17.2 Redundante componenten

Doelstelling: Beschikbaarheid van informatie verwerkende faciliteiten bewerkstelligen.

18. Naleving
18.1 Naleving van wettelijke en contractuele eisen

Doelstelling: Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen.

18.2 Informatiebeveiligingsbeoordelingen

Doelstelling: Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie.

Bijlage 1: Wet- en regelgeving

Om de BIO praktisch uitvoerbaar te maken, zijn in veel overheidsmaatregelen verwijzingen opgenomen naar bestaande wet- en regelgeving. Deze verwijzingen hebben als voordeel dat degene die met de BIO aan de slag gaat er concreet op gewezen wordt dat er reeds bestaande wet- en regelgeving is waarin (beveiligings)eisen zijn vastgelegd. Bovendien zijn deze verwijzingen zo ook in het stramien van de ISO 27002-indeling gepositioneerd. Er is bewust gekozen voor het maken van verwijzingen en niet voor het herformuleren om misinterpretatie te voorkomen. Voor de genoemde wet- en regelgeving geldt dat de BIO alleen bepaalde beveiligingsaspecten heeft meegenomen. Het is niet de intentie dat de BIO de genoemde wet- en regelgeving volledig afdekt.

In de overheidsmaatregelen zijn verwijzingen opgenomen naar de volgende wet- en regelgeving:

  • Ades baseline profile standard

  • Algemeen Rijksambtenarenreglement (ARAR)

  • Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT 2016)

  • AVG (deze treedt in de plaats van de WBP en wordt 25 mei 2018 van kracht);

  • Beveiligingsvoorschrift 2013 (BVR 2013), Stcrt. 2013, 15496

  • CM(2002)49

  • Gedragsregeling voor de digitale werkomgeving (1 juli 2016; SGO besluit)

  • Het NKBR (Normenkader beveiliging Rijkskantoren) 2015

  • Interne klokkenluidersregeling

  • ITIL, ASL of BISL framework

  • Kader Rijkstoegangsbeleid

  • NCSC classificatie

  • ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie.

  • Programma van Eisen PKI Overheid

  • Responsible disclosure procedure

  • Voorschrift Informatiebeveiliging Rijksdienst (VIR2007), Stcrt. 2007, 122/11

  • Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIR-BI 2013)

  • Wet veiligheidsonderzoeken (WVO)

  • Archiefwet

  • Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI);

  • Wet basisregistratie personen (Wet BRP);

  • Telecommunication Infrastructure Standard for Data Centers (TIA-942)

De BIO treedt niet in de plaats van een Data Protection Impact Assessment (DPIA). Een DPIA gaat namelijk over veel meer dan alleen de beveiliging van persoonsgegevens, zoals het vraagstuk van rechtmatigheid van verwerking.

Bijlage 2: Basisbeveiligingsniveaus

De basisbeveiligingsniveaus zijn uitgewerkt langs de lijnen beschikbaarheid, integriteit en vertrouwelijkheid. De BBN-toets helpt bij het kiezen van het best passende niveau. De beschikbaarheidsniveaus zijn gebaseerd op de geldende beschikbaarheidsniveaus die door de grote interne dienstenleveranciers worden gehanteerd. De vertrouwelijkheidsniveaus zijn in lijn gebracht met de schadescenario’s die gelden voor de Te Beschermen Belangen. De onderverdeling is als volgt:

BBN1: beschikbaarheid = Laag; integriteit = Laag; vertrouwelijkheid = Laag

BBN2: beschikbaarheid = Midden; integriteit = Midden; vertrouwelijkheid = Midden

BBN3: beschikbaarheid = Midden; integriteit = Midden; vertrouwelijkheid = Hoog

BBN1

Beschikbaarheid = Laag

Het informatiesysteem mag incidenteel uitvallen voor maximaal twee weken (ook in piekperiodes) en heeft nauwelijks of geen gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

– financiële gevolgen; op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; leidt nog niet uit het niet krijgen van een accountants verklaring; of

– beperkt verlies van management control; of

– irritatie en ongemak bij burgers geventileerd in de media; of

– interne negatieve publiciteit (imagoschade).

Deze gevolgen worden als volgt gekwantificeerd:

– Kantoorautomatisering en organisatie specifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes;

– maximaal dataverlies 28 uur;

– maximale hersteltijd in geval van incidenten is binnen 40 werkuren (5 werkdagen van 8 uur) in 85% van de gevallen.

Integriteit = Laag

Er zijn geen bijzondere maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid van informatie te waarborgen.43 Het verlies van integriteit kan leiden tot beperkte schade, bijvoorbeeld:

– financiële gevolgen; op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; leidt nog niet uit het niet krijgen van een accountants verklaring; of

– beperkt verlies van management control; of

– irritatie en ongemak bij burgers geventileerd in de media; of

– interne negatieve publiciteit (imagoschade).

Vertrouwelijkheid = Laag

Kennisname van informatie door ongeautoriseerden (buitenstaanders) is niet gewenst, maar leidt niet tot schade van enige omvang. Het gaat hier om ongerubriceerde informatie. Het openbaar worden van deze informatie kan leiden tot:

– financiële gevolgen: op te vangen binnen de begroting van de organisatie of uitvoeringsorganisatie; of

– irritatie en ongemak bij burgers geventileerd in de media; of

– interne negatieve publiciteit (imagoschade).

X Noot
43

VIR-Definitie

BBN2

Beschikbaarheid = Midden

Het informatiesysteem mag beperkt korte tijd uitvallen voor maximaal één week (ook in piekperiodes) en heeft voelbare gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

– politieke schade aan een bestuurder: bestuurder moet zich verantwoorden n.a.v. verantwoordings vragen; of

– schade te herstellen door ambtelijke opschaling; of

– financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

– belangrijk verlies van management control; of

– verlies van publiek respect; klachten van burgers; of

– organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

De beschikbaarheid wordt als volgt gekwantificeerd:

– kantoorautomatisering en organisatie specifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes;

– maximaal dataverlies 24 uur;

– maximale hersteltijd in geval van incidenten is binnen 16 werkuren (2 dagen van 8 uur).

Integriteit = Midden

Er zijn passende maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid (VIR definitie) te waarborgen. Het verlies van integriteit kan leiden tot forse schade, bijvoorbeeld:

– politieke schade aan een bestuurder: bestuurder moet zich verantwoorden n.a.v. verantwoordings vragen; of

– schade te herstellen door ambtelijke opschaling; of

– financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

– belangrijk verlies van management control; of

– verlies van publiek respect; klachten van burgers; of

– organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

Vertrouwelijkheid = Midden

Bescherming van gegevens en andere te beschermen belangen in de processen van de overheid, waar o.a. vertrouwelijkheid aan de orde is, omdat het om gevoelige informatie gaat.

Het openbaar worden van de gegevens, kan leiden tot:

– politieke schade aan een bestuurder: bestuurder moet zich verantwoorden n.a.v. verantwoordings vragen; of

– schade te herstellen door ambtelijke opschaling; of

– financiële gevolgen: niet meer op te vangen binnen de begroting van de organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

– verlies van publiek respect; klachten van burgers of significant verlies van motivatie van medewerkers; of

– bindende aanwijzing van de AP in verband met schending van de privacy; of

– directe imagoschade, bijvoorbeeld door negatieve publiciteit.

BBN3

Beschikbaarheid = Midden

Het informatiesysteem mag beperkt korte tijd uitvallen voor maximaal één week (ook in piekperiodes) en heeft voelbare gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

– politieke schade aan een bestuurder: bestuurder moet zich verantwoorden n.a.v. verantwoordings vragen; of

– schade te herstellen door ambtelijke opschaling; of

– financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

– belangrijk verlies van management control; of

– verlies van publiek respect; klachten van burgers; of

– Organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

De beschikbaarheid wordt als volgt gekwantificeerd:

– Kantoorautomatisering en organisatie specifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes;

– maximaal dataverlies 24 uur;

– maximale hersteltijd in geval van incidenten is binnen 16 werkuren (2 dagen van 8 uur).

Integriteit = Midden

Er zijn passende maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid (VIR definitie) te waarborgen. Het verlies van integriteit kan leiden tot forse schade, bijvoorbeeld:

– politieke schade aan een bestuurder: bestuurder moet zich verantwoorden n.a.v. verantwoordings vragen; of

– schade te herstellen door ambtelijke opschaling; of

– financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; geen accountantsverklaring afgegeven; of

– belangrijk verlies van management control; of

– verlies van publiek respect; klachten van burgers; of

– Organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

Vertrouwelijkheid = Hoog

Verlies van informatie heeft een grote impact, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op het niveau van BBN3;

– informatie wordt door derden geleverd met een rubricering (niet zijnde BBN2); of

– aansluiting op een infrastructuur vereist (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen) BBN3 om informatie te kunnen verwerken op deze infrastructuur; of

– weerstand tegen statelijke actoren is noodzakelijk.

Deel 3

Addendum BIO

1 Inleiding Addendum

In dit addendum worden alle eisen genoemd die specifiek en verplichtend zijn voor een bepaalde overheidslaag. Omdat de rijksoverheid een aantal specifieke documenten heeft zoals het VIR, VIR-BI en anderen, die niet gelden voor andere overheidslagen, zijn deze nadrukkelijk opgenomen in dit addendum. Voorts zijn teksten opgenomen die niet goed te verwerken waren in de eerste twee delen en dit komt dan voornamelijk door de rol van het NCSC voor de rijksoverheid en de aanwezigheid van een aantal sectorale CERT’s bij de andere overheidslagen.

Het addendum is aanvullend op de teksten en normen uit deel 1 en 2.

5. Informatiebeveiligingsbeleid
5.1 Aansturing door de directie van de informatiebeveiliging
6. Organiseren van informatiebeveiliging
6.1 Interne organisatie
7. Veilig personeel
7.1 Voorafgaand aan het dienstverband
7.2 Tijdens het dienstverband
8. Beheer van bedrijfsmiddelen
8.1 Verantwoordelijkheid voor bedrijfsmiddelen
8.3 Behandelen van media
11. Fysieke beveiliging en beveiliging van de omgeving
11.1 Beveiligde gebieden
14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen
14.1 Beveiligingseisen voor informatiesystemen
15. Leveranciersrelaties
15.1 Informatiebeveiliging in leveranciersrelaties
16. Beheer van informatiebeveiligingsincidenten
16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen

X Noot
1

BIG staat voor Baseline Informatiebeveiliging Gemeenten, BIWA voor Baseline Informatiebeveiliging Waterschappen, IBI voor Interprovinciale Baseline Informatiebeveiliging en BIR voor Baseline Informatiebeveiliging Rijksdienst.

X Noot
1

Artikel 1 sub a Voorschrift Informatiebeveiliging Rijksdienst 2007, Stcrt. 2007, 122/11.

X Noot
2

Artikel 5 lid 2 BVR en Artikel 1 sub d BVR.

X Noot
3

De NEN/ISO 31000 aanpak wordt gezien als een goed alternatief voor de 27001.

X Noot
4

Beveiligingsvoorschrift Rijksdienst 2013, Stcrt. 2013, 15496.

X Noot
5

Voorschrift Informatiebeveiliging Rijksdienst 2007, Stcrt. 2007, 122/111.

X Noot
6

Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie 2013, Stcrt. 2013, 15497.

X Noot
7

Artikel 1 sub b VIR.

X Noot
8

Artikel 4 VIR, ISO 6.1 en 9.1

X Noot
9

In sommige organisaties heet de eindverantwoordelijke bestuursvoorzitter of directeur en moet de term Secretaris/algemeen directeur als “directeur” of “bestuursvoorzitter” worden gelezen.

X Noot
10

Artikel 5 lid 2 BVR en Artikel 4 lid 1 BVR.

X Noot
11

Artikel 4 sub a en sub b VIR, ISO 27001 6.1 en 6.2.

X Noot
12

Artikel 4 sub a en sub b VIR, ISO 27001 6.1 en 6.2.

X Noot
13

Zie voor nadere detaillering: Bijlage 1: Wet- en regelgeving.

X Noot
14

NEN-ISO/IEC 27002:2017, (dit is de 27002:2013 met geconsolideerde correctiebladen C1 en C2).

X Noot
15

De NEN-ISO/IEC 27001-standaard bevat eisen waar het managementsysteem voor informatiebeveiliging aan dient te voldoen. Het is deze norm waartegen wordt ge-audit bij certificering. Deze standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s van een organisatie.

X Noot
16

De Nederlandse versie van ISO27002 spreekt van beheersmaatregelen. Er zijn echter ook implementatiemaatregelen. Om het onderscheid daartussen makkelijker te maken, hanteert de BIO de Engelse term, namelijk ‘controls’. Het gebruik van deze term sluit aan bij de informatiebeveiligingspraktijk.

X Noot
17

In tegenstelling tot de verschillende oude baselines, zijn de controls dus niet tekstueel aangepast.

X Noot
18

Met name artikel 4 sub a en sub b van het VIR.

X Noot
19

Ook de ISO is vanuit dit principe opgesteld.

X Noot
20

Daartoe is in het OBDO een procedure overeengekomen.

X Noot
21

Zie ook de website van het Forum Standaardisatie op https://www.forumstandaardisatie.nl

X Noot
24

De aanvullende eisen die gelden vanaf BBN3 zijn in deze huidige versie van de BIO nog niet nader uitgewerkt.

X Noot
25

De BBN-toets is geen volwaardige vervanger van de Quickcan BIO of van een andere uitgebreide risicoanalysemethodiek. De BBN-toets zorgt er alleen voor dat eenvoudig het juiste BBN geselecteerd kan worden en dat bepaald kan worden in hoeverre extra eisen noodzakelijk zijn.

X Noot
26

Gewerkt gaat worden aan een handreiking waarin ten opzichte van de drie BBN niveaus wisselingen in niveaus voor de aspecten integriteit en beschikbaarheid wisseling worden aangegeven. Wellicht gaan de controls en maatregelen nog nader gespecificeerd worden naar de drie verschillende aspecten.

X Noot
27

De Nederlandse versie van ISO27002 spreekt van beheersmaatregelen. Er zijn echter ook implementatiemaatregelen. Om het onderscheid daartussen makkelijker te maken, hanteert de BIO de Engelse term, namelijk ‘controls’. Het gebruik van deze term sluit aan bij de informatiebeveiligingspraktijk.

X Noot
28

Met uitzondering van twee controls (6.1.4 en 14.2.4) bevat de BIO alle controls uit de ISO 27002.

X Noot
29

Het gaat dan enkel om de beveiligingseisen die voortvloeien uit wet- en regelgeving. Andere vereisten vallen buiten de scope van de BIO.

X Noot
30

Artikel 3 sub b VIR.

X Noot
31

Zie de BBN-toets in Deel 2 voor meer details.

X Noot
32

Zowel voor EU als voor NAVO gerubriceerde informatie geldt dat de beveiligingsvoorschriften standaard rekening houden met het bieden van weerstand tegen statelijke actoren. Voor de BIO is uiteindelijk gekozen om aan te sluiten bij de NAVO regelgeving omdat de NAVO-eisen gedetailleerder zijn dan de EU en daarmee meer zekerheid bieden dat ook daadwerkelijk weerstand tegen statelijke actoren kan worden geboden. Voor de goede orde: alleen op NATO gerubriceerde informatie heeft het NAVO-verdrag rechtstreekse werking, BBN3 is Nederlandse informatie waarop het NAVO-verdrag niet rechtstreeks werkt; de toepasselijkheid van het NAVO-verdrag voor BBN3 is een keuze die de overheid zelf via deze BIO maakt.

X Noot
33

CM(2002)49 met bijbehorende enclosures en directives.

X Noot
34

Er zijn passages die enkel op de bescherming van informatie met een rubricering van NATO Confidential en hoger betrekking hebben.

X Noot
35

Artikel 4 lid 1 BVR.

X Noot
36

Artikel 4 sub b VIR.

X Noot
37

Bij DepV informatie geldt, conform het VIR-BI, het BBN3-regime voor verantwoording.

X Noot
38

Artikel 3 sub b VIR-BI.

X Noot
39

Artikel 3 sub b VIR.

X Noot
41

Zie stap 2

X Noot
42

Zie stap 2