BLOG: Basisbeveiligingsniveaus en BIV-classificaties: hoe zit dat?

De Baseline Informatiebeveiliging Overheid (BIO) onderscheidt drie basisbeveiligingsniveaus (BBN's) voor overheidsorganisaties. Daarnaast is de zogenoemde BIV-classificatie een veelgebruikte methode om de risico's voor informatiebeveiliging aan te duiden. Wat zijn de verschillen? Mike Tiernagan van L2P geeft uitleg.

Zijn de basisbeveiligingsniveaus (BBN's) van de Baseline Informatiebeveiliging Overheid (BIO) vergelijkbaar met de classificatie van informatie op basis van de criteria beschikbaarheid, integriteit en vertrouwelijkheid (BIV)? Is een BIV-classificatie nog nodig als je al maatregelen neemt op basis van een BBN? Het zijn vragen die overheidsorganisaties ons regelmatig stellen. We zetten de antwoorden voor je op een rij, en vertellen over de toegevoegde waarde van een gecombineerde aanpak.

Basisbeveiligingsniveaus (BBN's)

De BBN's in de BIO zijn bedoeld om het risicomanagement hanteerbaar en efficiënt te houden. Het uitgangspunt van het risicomanagement is dat de vereiste maatregelen voor informatiebeveiliging proportioneel zijn. Dat wil zeggen dat de maatregelen zijn afgestemd op de belangen die zijn gemoeid met de bescherming van de informatie en op de relevante dreigingen. De BIO onderscheidt hiervoor drie BBN’s. Elke BBN beschrijft een aantal controlemechanismen, enkele verplichte maatregelen en een verantwoordings- en toezichtregime.

• BBN1 betreft algemene beveiligingsprincipes, en vormt het minimale niveau voor alle informatiesystemen.
• BBN2 geldt voor de meeste informatiesystemen in het primaire proces van overheidsorganisaties.
• BBN3 richt zich op de bescherming van informatie die is gecategoriseerd als Departementaal Vertrouwelijk.

De maatregelen die worden genomen in BBN2 bouwen voort op de beveiliging die voor BBN1 zijn genomen. Als er sprake is van BBN3, dan komen er weer maatregelen bovenop de al voor BBN2 ondernomen acties.

BIV-classificaties

De BIV-classificaties verwijzen naar drie aspecten van informatiebeveiliging:

• Beschikbaarheid. Hoe belangrijk is het dat de informatie altijd toegankelijk is wanneer dat nodig is?
• Integriteit. Hoe belangrijk is het dat de informatie correct blijft en niet onbedoeld wordt gewijzigd?
• Vertrouwelijkheid. Hoe gevoelig is de informatie en wie mag er toegang toe hebben?

De BIV-classificatie is een risico gebaseerde methode om te bepalen welke beveiligingsmaatregelen er nodig zijn, afhankelijk van de gevoeligheid van informatie. Aan de hand van de classificatie wordt er bepaald welk niveau van beveiliging nodig is. Een hoge BIV-classificatie is 333. De laagste classificatie is 111.

Voorbeelden van classificaties zijn:

· Openbaar. Informatie heeft geen bescherming nodig.
· Intern. Informatie kan intern binnen de organisatie gedeeld worden.
· Vertrouwelijk. Informatie mag die alleen toegankelijk zijn voor een beperkt aantal medewerkers.
· Geheim. Informatie is strikt vertrouwelijk, en er gelden strikte bepalingen over wie er toegang heeft.

BBN's versus BIV-classificaties

De waarde van BBN's en BIV-classificaties

De BBN's en de BIV-classificatie verschillen wat betreft de benadering van het thema informatiebeveiliging en de praktische toepassing van risicoanalyses. Het zijn allebei waardevolle perspectieven op informatiebeveiliging

Wij zien dat het gebruik van BIV-classificaties van toegevoegde waarde is, ook als je al werkt met de BBN's. Een BBN legt de basis voor een minimale set aan beveiligingsmaatregelen voor verschillende informatiesystemen. Een BIV-classificatie zorgt vervolgens dat de juiste beveiligingsmaatregelen worden genomen voor diverse soorten informatie. BBN's en BIV-classificaties zijn daarmee aanvullend aan elkaar. In veel gevallen zorgt de combinatie van de twee perspectieven voor een robuustere informatiebeveiliging.

Meer weten over de BIO, inclusief de BIO2.0 en normenkaders zoals ISO27001? De experts van L2P zorgen voor een risicogerichte, integrale aanpak, met een gezonde dosis pragmatisme.