NIS 2 irányelv

cropped-EURO-ONE-szines-logo.png

Főoldal

Hírek

Sajtó

NIS2 – Kibertantv. részletes követelmény tervezet – elemzés

2024. január 31-én megjelent a NIS2- Kibertantv. követelmény tervezete, ami a Biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szól. Ugyan ez még csak tervezet, de rengeteg alap kérdésre ad választ az érintett szervezeteknek.

20945831-[Converted]

Kockázatmenedzsment keretrendszer

Az egyik újdonság a tervezetben a Kockázatmenedzsment keretrendszer, amivel szemben a Kibertantv. az információbiztonsági irányítás rendszerét említi. Ebben az esetben viszont ugyanannak tekinthetjük a két kifejezést.

1. Pillér – Keretrendszer létrehozása és rendszerek meghatározása

Legelőször meg kell határozni és dokumentálni a szervezet elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat. Amikor ezt sikerült összefoglalni, akkor meg kell alkotni egy kockázatmenedzsment stratégiát is, amiben össze van foglalva, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat. Majd következő lépésként a biztonság-felügyeleti stratégia kerül kidolgozásra, amelyben a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit kell feltüntetni.

Miket kell dokumentálni a rendszerekkel kapcsolatban?

  • üzleti célokat, funkciókat és folyamatokat, amiket a rendszer támogat
  • az érintett személyeket
  • az érintett vagyonelemeket
  • a szervezeti és technológiai határát a rendszernek
  • feldolgozandó, tárolandó és továbbítandó adatköröket és azok életciklusát
  • a biztonsági kockázatok értékelését és kezelését, amik a rendszerrel kapcsolatos fenyegetettségből adódnak
  • a rendszer helyét a szervezeti struktúrában
2808164
Office-workers-organizing-data-storage-[Converted]

2. pillér – Biztonsági osztályba sorolás

Az nem újdonság, hogy az évek óta bevált 5 fokozatú biztonsági osztályba sorolás 3 biztonsági osztályba lett összevonva:

  • Alap,
  • Jelentős,
  • Magas,

viszont az ezekhez tartozó hatás skálák eddig nem voltak ismertek. A tervezet alapján megállapítható, hogy egy átlagos szervezetnek kevés magas besorolású rendszere lesz, vagy akár egyáltalán nem lesz.

3. pillér – Védelmi intézkedések kiválasztása

A védelmi intézkedéseket a biztonsági osztályba sorolás alapján kell kiválasztani a követelmény katalógusból, testre szabni és alkalmazni a kontrollokat. Ezeket az adott rendszer rendszerbiztonsági tervében kell rögzíteni és a szervezet vezetőjének vagy az elektronikus információs rendszer biztonságáért felelős személynek kell jóváhagyni. Létre kell hozni egy eljárásrendet is, melyben dokumentálva van, hogy milyen védelmi intézkedéseket, milyen eszközökkel, hogyan – mikor – kinek kell ellenőriznie.

20944142-[Converted]
20945466-[Converted]

4. pillér – Védelmi intézkedések alkalmazása

Minden védelmi intézkedést ki kell terjeszteni, vagy esetlegesen be kell vezetni az új rendszerekbe, ami sok kérdést felvet. Vegyünk például egy céget, aki korábban információbiztonsági szempontból nem volt szabályozva és alacsony érettségi szinttel rendelkezik. A Jelentős biztonsági osztályhoz való besoroláshoz nekik 302 kontrollt kell alkalmazniuk az első kiberbiztonsági auditig. Lássuk be, nem lesz egyszerű dolguk.

5. pillér – Védelmi intézkedések értékelése

A bevezetett védelmi intézkedések hatékonyságáról rendszeresen meg kell győződni. Tesztelni kell a kontrollokat és dokumentálni az értékelési jelentést.

6. pillér – Folyamatos felügyelet

Amikor a keretrendszer kialakításra került és a biztonsági kontrollok is be lettek vezetve, akkor elfogadható szinten kell tartani a kockázatokat, lekövetve és alkalmazkodva a szervezeti, technológiai és biztonsági környezet változásaihoz. Felül kell vizsgálni a rendszerek biztonsági állapotát, értékelni kell a védelmi intézkedéseket, és át kell vezetni a változásokat.

OrgUVC-L_Tech-09_Single-01-[Converted]

Védelmi intézkedések katalógusa

Ez a katalógus tartalmazza a megfeleléshez szükséges feladatok nagy részét, fejezetei megegyeznek a NIST SP 800-53 Rev. 5 Control Family-k angol megfelelőjével.

Tervezet követelmény fejezet

Programmenedzsment

Hozzáférés-felügyelet

Tudatosság és képzés

Naplózás és elszámoltathatóság

Értékelés, engedélyezés és monitorozás

Konfigurációkezelés

Készenléti tervezés

Azonosítás és hitelesítés

Biztonsági események kezelése

Karbantartás

Adathordozók védelme

Fizikai és környezeti védelem

Tervezés

Személyi biztonság

Kockázatelemzés

Rendszer- és szolgáltatásbeszerzés

Rendszer- és kommunikációvédelem

Rendszer- és információsértetlenség

Ellátási lánc kockázatkezelése

NIST SP800-53 Control Family

Program Management

Access Control

Awareness and Training

Audit and Accountability

Assessment, Authorization, and Monitoring

Configuration Management

Contingency Planning

Identification and Authentication

Incident Response

Maintenance

Media Protection

Physical and Environmental Protection

Planning

Personnel Security

Risk Assessment

System and Services Acquisition

System and Communications Protection

System and Information Integrity

Supply Chain Risk Management

Eltérések és helyettesítő védelmi intézkedések

Eltérően az eddigi szabályozásoktól, itt meghatározott keretek között el lehet térni a követelményektől, viszont ehhez megfelelő kockázatelemzés és indoklás szükséges.

Kockázatelemzés és a kockázatok kezelése

A tervezet ezen részében nagy újdonságok nincsenek, a követelményeket egy bevált kockázatkezelési keretrendszer megfelelő átültetésével könnyen lehet teljesíteni, pl. ISO 27005.

Minimálisan négy fokozatú kockázati besorolást kell alkalmazni a szervezeteknek, amire valószínűleg azért lehet szükség, hogy elkerüljék azt, hogy túl sok közepes besorolású kockázatuk legyen és ezeket nehezen lehessen megközelíteni.