10.1 Beveiliging en de overheid

Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.

Net als iedereen dient ook de overheid zich aan de wet te houden. Om aan de wetgeving te kunnen voldoen, is vanaf 1 januari 2020 binnen de overheid de Baseline Informatiebeveiliging Overheid (BIO) in gebruik. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. De BIO is een verzameling van kaders en richtlijnen waar alle aspecten met betrekking tot ICT-dienstverlening (bedrijfsvoering, processen, personeel en infrastructuur) aan dienen te voldoen.

Voer per app een risicoanalyse uit en kies de juiste mix aan beveiligingsmaatregelen voor de app.
Publieke apps dienen intrinsiek veilig te zijn. Voor enterprise apps kan er eventueel gebruik worden gemaakt van UEM-voorzieningen.
Bij publieke apps is er een reëel risico op nagemaakte of gemodificeerde varianten (cybercriminaliteit), houd hier rekening mee.

Bij enterprise apps is er een end to end invloed op de beveiligingsmaatregelen, bij apps met gebruikers in het publieke domein is dit niet het geval. Er is geen of slechts minimale controle over het apparaat, over het besturingssysteem en over het netwerk, vanaf het moment dat de gegevens het overheidsnetwerk verlaten en via de publieke datanetwerken getransporteerd worden. Dit levert een spanningsveld op met betrekking tot informatiebeveiliging, vooral in relatie tot de BIO.

Naast de BIO zijn er nog diverse andere kaders en handreikingen die relevant zijn bij de te nemen maatregelen rondom informatiebeveiliging. Deze kunnen per overheidsorganisatie verschillen. Voor de sector Rijk zijn dit bijvoorbeeld:

Algemene Verordening Gegevensbescherming (AVG)
Voorschrift Informatiebeveiliging Rijksdienst (VIR) 2007
Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIR-BI)
NEN-ISOSEC 27001
NEN-ISOSEC 27002
Nederlandse overheid Referentie Architectuur (NORA) IB-Katern
CIP-publicatie “Grip op Secure Software Development (SSD) Beveiligingseisen voor mobile apps”
NCSC publicatie “ICT-beveiligingsrichtlijnen voor mobiele apps”

De CIP- en NCSC-publicaties zijn gedateerd, echter bevatten nog steeds relevante informatie. De OWASP-Mobile application security is een actueel alternatief.

Volgende pagina: 10.2 Maatregelen op basis van een risicoanalyse