NIS2 – Kibertantv. részletes követelmény tervezet – elemzés
2024. január 31-én megjelent a NIS2- Kibertantv. követelmény tervezete, ami a Biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szól. Ugyan ez még csak tervezet, de rengeteg alap kérdésre ad választ az érintett szervezeteknek.
![20945831-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20945831-Converted-qk16ew1wz89irrji760a5m4qjumfvtsu71ccptc668.png "20945831-[Converted]")
Kockázatmenedzsment keretrendszer
Az egyik újdonság a tervezetben a Kockázatmenedzsment keretrendszer, amivel szemben a Kibertantv. az információbiztonsági irányítás rendszerét említi. Ebben az esetben viszont ugyanannak tekinthetjük a két kifejezést.
1. Pillér – Keretrendszer létrehozása és rendszerek meghatározása
Legelőször meg kell határozni és dokumentálni a szervezet elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat. Amikor ezt sikerült összefoglalni, akkor meg kell alkotni egy kockázatmenedzsment stratégiát is, amiben össze van foglalva, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat. Majd következő lépésként a biztonság-felügyeleti stratégia kerül kidolgozásra, amelyben a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit kell feltüntetni.
Miket kell dokumentálni a rendszerekkel kapcsolatban?
• üzleti célokat, funkciókat és folyamatokat, amiket a rendszer
támogat
• az érintett személyeket
• az érintett vagyonelemeket
• a szervezeti és technológiai határát a rendszernek
• feldolgozandó, tárolandó és továbbítandó adatköröket és azok
életciklusát
• a biztonsági kockázatok értékelését és kezelését, amik a
rendszerrel kapcsolatos fenyegetettségből adódnak
• a rendszer helyét a szervezeti struktúrában
Legelőször meg kell határozni és dokumentálni a szervezet elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat. Amikor ezt sikerült összefoglalni, akkor meg kell alkotni egy kockázatmenedzsment stratégiát is, amiben össze van foglalva, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat. Majd következő lépésként a biztonság-felügyeleti stratégia kerül kidolgozásra, amelyben a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit kell feltüntetni.
Miket kell dokumentálni a rendszerekkel kapcsolatban?
• üzleti célokat, funkciókat és
folyamatokat, amiket a rendszer
támogat
• az érintett személyeket
• az érintett vagyonelemeket
• a szervezeti és technológiai határát
a rendszernek
• feldolgozandó, tárolandó és
továbbítandó adatköröket és azok
életciklusát
• a biztonsági kockázatok értékelését
és kezelését, amik a rendszerrel
kapcsolatos fenyegetettségből
adódnak
• a rendszer helyét a szervezeti
struktúrában
![Office-workers-organizing-data-storage-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/Office-workers-organizing-data-storage-Converted-qk1d35krwp62fijl80t8hzgcvie1elmuk8ieu13fpc.png "Office-workers-organizing-data-storage-[Converted]")
2. pillér – Biztonsági osztályba sorolás
Az nem újdonság, hogy az évek óta bevált 5 fokozatú biztonsági osztályba sorolás 3 biztonsági osztályba lett összevonva:
• Alap,
• Jelentős,
• Magas,
viszont az ezekhez tartozó hatás skálák eddig nem voltak ismertek. A tervezet alapján megállapítható, hogy egy átlagos szervezetnek kevés magas besorolású rendszere lesz, vagy akár egyáltalán nem lesz.
3. pillér – Védelmi intézkedések kiválasztása
A védelmi intézkedéseket a biztonsági osztályba sorolás alapján kell kiválasztani a követelmény katalógusból, testre szabni és alkalmazni a kontrollokat. Ezeket az adott rendszer rendszerbiztonsági tervében kell rögzíteni és a szervezet vezetőjének vagy az elektronikus információs rendszer biztonságáért felelős személynek kell jóváhagyni. Létre kell hozni egy eljárásrendet is, melyben dokumentálva van, hogy milyen védelmi intézkedéseket, milyen eszközökkel, hogyan – mikor – kinek kell ellenőriznie.
![20944142-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20944142-Converted-qk1fm85u2tu7be99fdzy3044vhib6v6lr000r628u8.png "20944142-[Converted]")
![20945466-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20945466-Converted-qk1g7z5e7tm1yknxfag6a0j3pgb2aqj0enfhintav4.png "20945466-[Converted]")
4. pillér – Védelmi intézkedések alkalmazása
Minden védelmi intézkedést ki kell terjeszteni, vagy esetlegesen be kell vezetni az új rendszerekbe, ami sok kérdést felvet. Vegyünk például egy céget, aki korábban információbiztonsági szempontból nem volt szabályozva és alacsony érettségi szinttel rendelkezik. A Jelentős biztonsági osztályhoz való besoroláshoz nekik 302 kontrollt kell alkalmazniuk az első kiberbiztonsági auditig. Lássuk be, nem lesz egyszerű dolguk.
5. pillér – Védelmi intézkedések értékelése
A bevezetett védelmi intézkedések hatékonyságáról rendszeresen meg kell győződni. Tesztelni kell a kontrollokat és dokumentálni az értékelési jelentést.
6. pillér – Folyamatos felügyelet
Amikor a keretrendszer kialakításra került és a biztonsági kontrollok is be lettek vezetve, akkor elfogadható szinten kell tartani a kockázatokat, lekövetve és alkalmazkodva a szervezeti, technológiai és biztonsági környezet változásaihoz. Felül kell vizsgálni a rendszerek biztonsági állapotát, értékelni kell a védelmi intézkedéseket, és át kell vezetni a változásokat.
![OrgUVC-L_Tech-09_Single-01-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/OrgUVC-L_Tech-09_Single-01-Converted-1-qk33gxj0mrgtfsffgrs7t9r7558s0t7lzspspr9dfk.png "OrgUVC-L_Tech-09_Single-01-[Converted]")
Védelmi intézkedések katalógusa
Ez a katalógus tartalmazza a megfeleléshez szükséges feladatok nagy részét, fejezetei megegyeznek a NIST SP 800-53 Rev. 5 Control Family-k angol megfelelőjével.
Tervezet követelmény fejezet |
Programmenedzsment |
Hozzáférés-felügyelet |
Tudatosság és képzés |
Naplózás és elszámoltathatóság |
Értékelés, engedélyezés és monitorozás |
Konfigurációkezelés |
Készenléti tervezés |
Azonosítás és hitelesítés |
Biztonsági események kezelése |
Karbantartás |
Adathordozók védelme |
Fizikai és környezeti védelem |
Tervezés |
Személyi biztonság |
Kockázatelemzés |
Rendszer- és szolgáltatásbeszerzés |
Rendszer- és kommunikációvédelem |
Rendszer- és információsértetlenség |
Ellátási lánc kockázatkezelése |
NIST SP800-53 Control Family |
Program Management |
Access Control |
Awareness and Training |
Audit and Accountability |
Assessment, Authorization, and Monitoring |
Configuration Management |
Contingency Planning |
Identification and Authentication |
Incident Response |
Maintenance |
Media Protection |
Physical and Environmental Protection |
Planning |
Personnel Security |
Risk Assessment |
System and Services Acquisition |
System and Communications Protection |
System and Information Integrity |
Supply Chain Risk Management |
Eltérések és helyettesítő védelmi intézkedések
Eltérően az eddigi szabályozásoktól, itt meghatározott keretek között el lehet térni a követelményektől, viszont ehhez megfelelő kockázatelemzés és indoklás szükséges.
Kockázatelemzés és a kockázatok kezelése
A tervezet ezen részében nagy újdonságok nincsenek, a követelményeket egy bevált kockázatkezelési keretrendszer megfelelő átültetésével könnyen lehet teljesíteni, pl. ISO 27005.
Minimálisan négy fokozatú kockázati besorolást kell alkalmazni a szervezeteknek, amire valószínűleg azért lehet szükség, hogy elkerüljék azt, hogy túl sok közepes besorolású kockázatuk legyen és ezeket nehezen lehessen megközelíteni.
