Eigenschap:Toelichting

De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) voor het eerst vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De Baseline Informatiebeveiliging Overheid is per 1 januari 2019 verplicht en vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, BIR en IBI. De BIO is: * een gemeenschappelijk normenkader, gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27001]]/[[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|2]] voor de beveiliging van de informatie(systemen) van de overheid; * een afgeleide van de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR (Baseline Informatiebeveiliging Rijksdienst) 2017]]; * een concretisering van een aantal normen tot verplichte overheidsmaatregelen. Elke bestuurslaag heeft besloten de bestaande eigen baseline voor informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de [[BIG (Baseline Informatiebeveiliging Gemeenten)|BIG (Baseline Informatiebeveiliging Gemeenten)]], [[BIR]], [[BIWA (Baseline Informatiebeveiliging Waterschappen)|BIWA (Baseline Informatiebeveiliging Waterschappen)]] en [[IBI (Interprovinciale Baseline Informatiebeveiliging)|IBI (Interprovinciale Baseline Informatiebeveiliging)]]. Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen. Een actuele PDF-versie van de BIO is ontsloten op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip-overheid.nl] en [https://bio-overheid.nl/category/producten#BIO bio-overheid.nl].<br> Een actuele versie van de Excel-variant, een overzicht met alleen BIO-maatregelen en BIO-controls is te bekijken en downloaden op [https://bio-overheid.nl/category/producten#Excelversie bio-overheid.nl]. Daar zijn ook de [https://bio-overheid.nl/category/producten#FAQ/ meest gestelde vragen over de BIO] te raadplegen. ==Hulpbronnen voor BIO-toepassing in de praktijk== Het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] ontwikkelt in samenwerking met het [[BZK (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties)|ministerie van BZK]] de zogenaamde BIO Thema-uitwerkingen, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. BIO Thema-uitwerkingen worden ontsloten die op NORA online in de [[ISOR (Information Security Object Repository)]]. Meer informatie en documenten van het CIP delen zij op de websites van CIP-overheid en BIO-overheid en in het forum op Pleio (vereist lidmaatschap): : → [https://cip-overheid.nl/ cip-overheid.nl] : → [https://bio-overheid.nl/ bio-overheid.nl] : → [https://cip.pleio.nl/ cip.pleio.nl] Ook de [[IBD (Informatiebeveiligingsdienst)|Informatiebeveiligingsdienst (IBD)]], de sectorale CERT/CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO. : → [https://www.informatiebeveiligingsdienst.nl/producten/ informatiebeveiligingsdienst.nl/producten/]  

# [[BIO Thema Applicatieontwikkeling/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten|Beveiligingsobjecten applicatieontwikkeling]] (specifieke inleiding) # [[BIO Thema Applicatieontwikkeling/Geïdentificeerde objecten ingedeeld naar IFGS|Objecten ingedeeld naar invalshoeken]] (toelichting) # [[BIO Thema Applicatieontwikkeling/IFGS gekoppeld aan het V-model|Invalshoeken gekoppeld aan het V-model]] (toelichting)   +

# [[BIO Thema Clouddiensten/Voorwoord|Voorwoord]] # [[BIO Thema Clouddiensten/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Clouddiensten/Risico's in relatie met clouddiensten|Risico's in relatie tot clouddiensten]] (specifieke inleiding) # [[BIO Thema Clouddiensten/Verantwoording aanpak|Verantwoording]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Cloudbeveiligingsobjecten in het beleidsdomein]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het uitvoeringsaspect|Cloudbeveiligingsobjecten in het uitvoeringsdomein]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect|Cloudbeveiligingsobjecten in het control-domein]] (toelichting) # [[BIO Thema Clouddiensten/Beslisbomen voor risicobeoordeling IV-diensten|Beslisboom voor risicobeoordeling IV-diensten]] (toelichting) # [[BIO Thema Clouddiensten/Standpunt AIVD en beleidsverkenning BZK|Samenvatting AIVD-standpunt en beleidsverkenning BZK]] (toelichting)   +

# [[BIO Thema Communicatievoorzieningen/Inleiding|Inleiding]]   +

# [[BIO Thema Huisvesting Informatievoorziening/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Huisvesting Informatievoorziening/Objecten voor Huisvesting-IV|Huisvesting IV-objecten]] (specifieke inleiding)   +

# [[BIO Thema Middleware/Inleiding|Inleiding]] # [[BIO Thema Middleware/Use case Interne applicatie-integratie|Use case Interne applicatie-integratie]] # [[BIO Thema Middleware/Use case Applicaties met integratiefuncties|Use case Applicaties met integratiefuncties]] # [[BIO Thema Middleware/Use case Gedelegeerde integratiefuncties|Use case Gedelegeerde integratiefuncties]] # [[BIO Thema Middleware/Use case End-to-end applicatie-integratie|Use case End-to-end applicatie-integratie]] # [[BIO Thema Middleware/Use case Enterprise Service Bus (ESB)|Use case Enterprise Service Bus (ESB)]] # [[BIO Thema Middleware/Use case End-to-End integratie met API gateway|Use case End-to-End integratie met API gateway]] # [[BIO Thema Middleware/Gespecialiseerde API gateway-toepassing|Gespecialiseerde API gateway-toepassing]]   +

# [[BIO Thema Serverplatform/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Serverplatform/Objecten serverplatform|Beveiligingsobjecten serverplatform]] (specifieke inleiding)   +

# [[BIO Thema Softwarepakketten - Voorwoord en motivatie|Voorwoord en motivatie]] # [[BIO Thema Softwarepakketten - Inleiding|Inleiding]]   +

# [[BIO Thema Toegangsbeveiliging/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging|Beveiligingsobjecten toegangsbeveiliging]] (specifieke inleiding) # [[BIO Thema Toegangsbeveiliging/Een scenario voor Toegangsbeveiliging|Scenario voor toegangsbeveiliging]] (toelichting)   +

Zie voor verdere uitleg https://nl.wikipedia.org/wiki/BIV-classificatie  +

De baseline bevat maatregelen die algemeen voorkomende informatiebeveiligingsrisico’s bij de waterschappen afdekken.  +

Door: Pieter Hoekstra, voorzitter Expertgroep Dienstverlening De [https://www.noraonline.nl/wiki/Expertgroep_Dienstverlening?mtm_campaign=Nieuwsbrief_2024_1&mtm_kwd=Expertgroep%20Dienstverlening Expertgroep Dienstverlening] wil graag een brug slaan tussen de systeemwereld (de architect) en de leefwereld van de publieke dienstverlener, de ambtenaar en de bestuurder. Ons doel is om je bewust te maken van de vertaling die nodig is vanuit de systeemwereld naar de leefwereld. Hierdoor kunnen architecten de juiste vragen leren stellen, zodat de leefwereld zich bewust wordt van de principes die nodig zijn om diensten steeds beter te ontwerpen en te managen. We moeten eerlijk zijn: we doen het niet altijd goed. Als NORA, architecten of systeemdenkers spreken we vaak de leefwereld toe vanuit onze eigen principes. Maar wat als die taal niet past bij de burger of de ambtenaar? Onlangs hoorde ik buiten NORA een interessante observatie: aan de ene kant hebben we de systeemwereldbenadering, gericht op beheersoptiek. Aan de andere kant hebben we de leefwereldbenadering, die centraal staat bij het ontwerp en de vormgeving van diensten. Het spanningsveld bevindt zich vooral op het vlak van [https://www.noraonline.nl/wiki/Basisconcept_van_Dienstverlening?mtm_campaign=Nieuwsbrief_2024_1&mtm_kwd=Expertgroep%20Dienstverlening dienstverlening], waarbij het interactiemoment tussen individu vanuit de leefwereld en de overheid plaatsvindt. Hierbij verdedigt de ambtenaar zich vaak met regels uit de systeemwereld. == De Weegschaal == Laten we dit beeld van een weegschaal gebruiken. Aan de ene kant hebben we de systeemwereld, met zijn formele regels en hiërarchie. Aan de andere kant hebben we de leefwereld, waarin sociale interacties, persoonlijke ervaringen en betekenisgeving plaatsvinden. De kunst is om deze twee werelden in evenwicht te houden. Als we te ver doorslaan naar de systeemwereld, verliezen we de menselijke maat en vervreemden we mensen van de besluitvorming. Als we te veel focussen op de leefwereld, kunnen systemen inefficiënt worden en ontstaat er chaos. == Streven naar Evenwicht == Het is van groot belang om te streven naar een gezonde balans tussen de systeemwereld en de leefwereld. Dit voorkomt vervreemding en zorgt ervoor dat mensen zich betrokken voelen bij de systemen die hun dagelijks leven beïnvloeden. Als Expertgroep Dienstverlening binnen NORA willen we samen met jou werken aan deze verbinding. Laten we de taal van beide werelden spreken, zodat we diensten kunnen ontwerpen en managen die écht aansluiten bij de behoeften van de burger en de ambtenaar. (Met dank aan Maike Klip voor haar [https://www.debegripvolleambtenaar.nl/essay/inleiding.html onderzoek] en onderstaand model). [[Bestand:Model Maike Klip.jpg|500px|left|Caption|alt=de afbeelding toont het model van Maike Klip en geeft een viervlaks verdeling aan. Links onderaan: Zittende macht geeft samen met volksvertegenwoordigers vorm aan hun visie op de samenleving. Linksbovenaan: Deze visie wordt vervolgens vertaald naar wetten, beleid. Rechtsboven staat dat het beleid uitvoeren dienstverlening is door de ambtenaar. Rechtsonderaan: Mensen ervaren geen beleid, ze ervaren diensten. Op de horizontale as staat links het woord collectief en recht het woord individu. Op de verticale as staan bovenaan het woord systeemwereld en onderaan het woord leefwereld. In elk vak staan zakelijk tekeningen ter illustratie]]  

BOMOS staat voor Beheer- en OntwikkelModel voor Open Standaarden.<br> Zie ook de [https://www.logius.nl/domeinen/infrastructuur/bomos uitleg over BOMOS] en de [https://gitdocumentatie.logius.nl/publicatie/bomos/fundament/ publicatie BOMOS (fundament)]  +

De Basisregistratie Inkomen (BRI) bevat van circa dertien miljoen burgers het authentieke inkomensgegeven. Dit is -uitsluitend - het verzamelinkomen, of als dat er niet is, het belastbare jaarloon over het afgelopen kalenderjaar. En gegevens zoals het burgerservicenummer (BSN).  +

Informatie over de ondergrond is nodig bij een groot aantal overheidstaken, zoals het winnen van water, aardgas of aardwarmte of de opslag van CO2. Dat moet duurzaam, veilig en efficiënt gebeuren. De daarvoor benodigde ondergrondgegevens en -modellen zijn te gebruiken vanuit de Basisregistratie Ondergrond (BRO). De BRO maakt deel uit van het [[Stelsel van Basisregistraties]]. De BRO voegt daar modellen (zoals de Bodemkaart) en gegevens (zoals grondwaterstanden en boringen) over de diepe en ondiepe ondergrond aan toe. Nu zijn deze ondergrondgegevens nog in beheer bij verschillende organisaties. Ze zijn daardoor niet in dezelfde mate gedigitaliseerd, gestandaardiseerd en geharmoniseerd en maar deels publiek beschikbaar. <br> Dankzij de BRO hebben alle gegevens een gevalideerde, hoge kwaliteit en zijn ze voor iedereen vrij beschikbaar. De overheid kan planprocessen en beheerstaken efficiënter uitvoeren en de kwaliteit van haar dienstverlening verbeteren.  +

De Basisregistratie Personen (BRP) bevat persoonsgegevens over alle ingezetenen van Nederland en over personen die niet in Nederland wonen - of hier slechts kort verblijven - maar die een relatie hebben met de Nederlandse overheid, de 'niet-ingezeten'. <br> De BRP is gebaseerd op twee bestaande administraties: *GBA (Gemeentelijke Basisadministratie Persoonsgegevens): Gegevens over personen ingeschreven bij een Nederlandse gemeente. De GBA heeft op dit moment al de status van een basisregistratie; *RNI (Registratie Niet-Ingezetenen). Gegevens over personen die niet in Nederland wonen, maar wel een relatie met de Nederlandse overheid hebben. Zoals grensarbeiders, buitenlandse studenten en 'pensionado's'. De RNI is op 6 januari 2014 ingevoerd met de inwerkingtreding van de nieuwe wet basisregistratie personen. Daarnaast is er nog de PIVA Verstrekkingen. Deze bevat gegevens over personen ingeschreven op de BES-eilanden (Bonaire, Sint Eustatius en Saba). De persoonslijsten in de PIVA-V en de persoonslijsten in de GBA komen grotendeels overeen, maar er zijn enkele verschillen. In het document ‘Verschillenmatrix persoonslijst GBA versus PIVA’ worden deze verschillen beschreven. Mogelijk zullen in de toekomst de BES-eilanden ook onderdeel uitmaken van de BRP. Daar is echter nog geen besluit over genomen.  +

De Basisregistratie Topografie (BRT) is dé unieke bron voor alle topografische informatie. De BRT gegevens worden geactualiseerd, beheerd en uitgeleverd door het Kadaster.  +

In de Basisregistratie Voertuigen (BRV) worden gegevens vastgelegd over voertuigen en de eigenaren daarvan. Uit de registratie verstrekt de Rijksdienst voor het Wegverkeer (RDW) informatie aan burgers en bedrijven. De gegevens zijn landelijk beschikbaar voor overheidsinstanties, zoals de Politie en de Belastingdienst.  +

Het Beveiligingsvoorschrift 2005 is ingetrokken.  +

Vertegenwoordigen en machtigen is geregeld in het Burgerlijk Wetboek (boek 3). Zie o.a. volmacht, bewind, gemeenschap, vruchtgebruik en rechten van pand en hypotheek. en de Algemene Wet Bestuursrecht (Artikel 2:1 Awb). In sectorale wet- en regelgeving kunnen andere bepalingen omtrent vertegenwoordiging en machtiging zijn opgenomen. Zie bijvoorbeeld artikel 2.55 lid 5 Wet basisregistratie personen.  +

De verplichting geldt voor internet- en webservices met juridische documenten en systemen die (veel) verwijzingen kennen naar wet- en regelgeving.  +

BZK en VNG Realisatie hebben developer.overheid.nl geïntroduceerd: een portaal met API’s van organisaties met een publieke taak. Zij nodigen iedereen die API’s publiceert of (overheids-)API’s kent, uit om deze aan te melden op portaal. : → [https://developer.overheid.nl/ https://developer.overheid.nl/] ==Wat is developer.overheid.nl?== Ter ondersteuning van de ontwikkeling en het gebruik van API’s door de Nederlandse overheid bouwen BZK en VNG Realisatie een API portaal. Deze website willen we gebruiken om binnen en buiten de overheid aandacht te vragen voor API’s van de overheid en publieke organisaties èn natuurlijk om het gebruik van die API’s te stimuleren. Het NLX team van VNG Realisatie bouwt op dit moment de proof of concept van developer.overheid.nl. De eerste versie van de site presenteren we op de The Next Web Conference; de grootste startup- en ontwikkelaarsconferentie van Nederland. ==Waarom een ontwikkelaarsportaal?== Elke organisatie die API’s aanbiedt wil dat programmeurs er mee aan de slag gaan. Dat kunnen de programmeurs zijn van de eigen organisatie, programmeurs van buiten de organisatie, of allebei. In alle gevallen zal de aanbiedende organisatie de API’s bekend moeten maken, en uitleg en ondersteuning moeten bieden. Developer.overheid.nl wil dit ondersteunen. Het doel van een ontwikkelaarsportaal is: * om te laten zien welke API’s een organisatie aanbiedt met welke functionaliteit; * ontwikkelaars alle relevante informatie te geven die nodig is om de API aan de praat te krijgen; * contact te onderhouden met partijen die de API’s gebruiken, voor bijvoorbeeld registratie, betaling, technische wijzigingen en dergelijke; * de gebruikerservaring voor softwareontwikkelaars te optimaliseren, zodat de API’s goed gebruikt worden. ==Unique features van developer.overheid.nl== Het portaal richt zich op één specifieke gebruikersgroep: ontwikkelaars. Interactie en de informatie-uitwisseling wordt daarop toegespitst. Door een koppeling met de Stelselcatalogus biedt het portaal bovendien een koppeling tussen data en de semantiek. Ontwikkelaars krijgen daarmee een koppeling naar informatie over de betekenis, kwaliteit en wettelijke grondslag van de beschikbare gegevens. ==Doorontwikkeling== De eerste release van het portaal is een proof of concept, oftewel een minimum viable product. Alle functionaliteit werkt, maar het is enkel een basis portaal. De proof of concept moet vervolgens haar meerwaarde bewijzen. Als het portaal inderdaad wordt gebruikt en haar rol als marktplaats vervult dan is het de bedoeling om het platform organisch, op basis van feitelijk gebruik, verder te ontwikkelen. De huidige community (het kennisplatform API’s) kan hierbij een stimulerende kracht zijn.  

Denk bijvoorbeeld aan normen en maatregelen op het gebied van informatiebeveiliging, de toegankelijkheid van de dienst, het meten en verbeteren van klanttevredenheid en standaardisatie op het gebied van informatie-uitwisseling.  +

De [[BIO (Baseline Informatiebeveiliging Overheid)|BIO (Baseline Informatiebeveiliging Overheid)]] helpt het lijnmanagement in het sturen op de [[beveiliging|informatiebeveiliging]] van de organisatie. Sinds 1 januari 2019 is de BIO van kracht en vervangt daarmee [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR]], [[BIG (Baseline Informatiebeveiliging Gemeenten)|BIG]], [[BIWA (Baseline Informatiebeveiliging Waterschappen)|BIWA]] en [[IBI (Interprovinciale Baseline Informatiebeveiliging)|IBI]]. Alle bestuurslagen hebben dit document aangenomen. In december 2018 heeft ook de Ministerraad de BIO goedgekeurd. Omdat ze bij alle bestuurslagen van toepassing is, helpt ze uniforme eisen voor beveiliging te stellen bij de uitwisseling van informatie tussen overheden. De BIO is nu publiek gemaakt via [https://zoek.officielebekendmakingen.nl/stcrt-2019-26526.html de staatscourant]. [https://cip-overheid.nl/productcategorieen-en-workshops/producten?product=bio-tekst Het BIO-document is ook als PDF te downloaden bij het CIP], het [[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum voor Informatiebeveiliging en Privacybescherming (CIP)]] van de manifestgroep. Het CIP werkt samen met NORA aan de publicatie van de [[ISOR|Information Security Object Repository (ISOR)]]. De ISOR bevat aanbevolen maatregelen waarmee overheden de BIO kunnen implementeren. Meer informatie over de BIO is te vinden op: * https://bio-overheid.nl * [[BIO (Baseline Informatiebeveiliging Overheid)]]  +

De Baseline Informatiehuishouding Gemeenten is het algemene, voor alle gemeenten en onderdelen daarvan - ook samenwerkingsverbanden en uitvoerende diensten - geldende normenkader voor informatiebeheer, dat de toegankelijkheid en betrouwbaarheid van overheidsinformatie bevordert. Het is een overzicht van bestaande kaders op dit gebied en geeft aan hoe die ingezet kunnen worden. Het is een handreiking voor gemeenten om grip en sturing te krijgen op het informatiebeheer.  +