Lépésről lépésre a NIS2 megfelelés felé II.
Elektronikus rendszerek kockázatainak feltárása és kezelése
Napjainkra megkerülhetetlenné vált az információbiztonsági kockázatkezelés: minden kapcsolódó szabvány, best practice és minden jogszabály előírja.
Információbiztonsági kockázat lehet minden olyan hiányosság, ami az információkhoz és/vagy információs rendszerekhez való jogosulatlan hozzáféréshez, azok felhasználásához, nyilvánosságra hozatalához, megzavarásához, módosításához vagy megsemmisítéséhez vezethet. A kockázatok feltárásának és kezelésének célja, hogy azonosításra és kezelésre kerüljenek a szervezetre veszélyt jelentő információbiztonsági kockázatok és a szűkösen rendelkezésre álló erőforrásokat ezekre a tevékenységekre a legjobban használhassák fel.
![19199031-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/19199031-Converted-3-qgsvil4qpukvzit8mj0xjvkq3h8twlvun79l85p1z4.png "19199031-[Converted]")
![20944100-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20944100-Converted-qgst4zxsexeytr4uej5vih3quf3n0s3q7kry34lkjk.png "20944100-[Converted]")
A kockázatelemzéseket a szervezet által kiválasztott, meghatározott módszertan alapján kell végrehajtani az összehasonlíthatóság és megismételhetőség érdekében. Célszerű erre vonatkozó szabványokat és best practice-t felhasználni a módszertan kidolgozásához. A kockázatelemzés nem egyszeri tevékenység, annak eredményeit folyamatosan monitorozni kell, az azonosított kockázatokat kezelni kell és ha szükséges, új kockázatokat kell kezelni.
Biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazása
A Kibertantv. által előírt védelmi intézkedések jelenleg nem ismertek, azok várhatóan decemberben kerülnek kihirdetésre egy polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszteri rendeletben. A NIS2 irányelv normaszövege viszont segít körvonalazni, hogy milyen követelményekre számíthatnak az érintett szervezetek, hiszen ezeket figyelembe kell vennie a magyar jogalkotónak:
• kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
• eseménykezelés (incidenskezelés);
• üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
• az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok
biztonságával kapcsolatos szempontokat;
• biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek
kezelését és közzétételét;
• szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
• alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
• a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
• humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
• adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció,
valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.
A felsorolást tekintve várhatóan minden releváns szabvány (pl. ISO 27001, NIST SP 800-53 r5.) által lefedett területet le fog fedni a követelményrendszer. Az érintett szervezetek nem kerülhetik el, a legfejlettebb /state of the art/ védelmi intézkedéseket kell alkalmazniuk a fizikai környezetükben, illetve a people-process-technology hármasban egyaránt.
Az alkalmazandó védelmi intézkedések meghatározásánál várhatóan figyelembe fogják venni a szervezet és rendszerek biztonsági osztályba sorolását és az azonosított kockázatokat. Egyszerűen nem lenne gazdaságos és ésszerű aránytalan védelmi intézkedéseket alkalmazni egy nem kritikus rendszer esetében.
A Kibertantv. által előírt védelmi intézkedések jelenleg nem ismertek, azok várhatóan decemberben kerülnek kihirdetésre egy polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszteri rendeletben. A NIS2 irányelv normaszövege viszont segít körvonalazni, hogy milyen követelményekre számíthatnak az érintett szervezetek, hiszen ezeket figyelembe kell vennie a magyar jogalkotónak:
• kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó
szabályzatok;
• eseménykezelés (incidenskezelés);
• üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint
katasztrófa utáni helyreállítás és válságkezelés;
• az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen
beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos
szempontokat;
• biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és
karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
• szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések
hatékonyságának értékelésére;
• alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
• a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok
és eljárások;
• humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és
eszközgazdálkodás;
• adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési
megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint
biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten
belül.
A felsorolást tekintve várhatóan minden releváns szabvány (pl. ISO 27001, NIST SP 800-53 r5.) által lefedett területet le fog fedni a követelményrendszer. Az érintett szervezetek nem kerülhetik el, a legfejlettebb /state of the art/ védelmi intézkedéseket kell alkalmazniuk a fizikai környezetükben, illetve a people-process-technology hármasban egyaránt.
Az alkalmazandó védelmi intézkedések meghatározásánál várhatóan figyelembe fogják venni a szervezet és rendszerek biztonsági osztályba sorolását és az azonosított kockázatokat. Egyszerűen nem lenne gazdaságos és ésszerű aránytalan védelmi intézkedéseket alkalmazni egy nem kritikus rendszer esetében.
A Kibertantv. által előírt védelmi intézkedések jelenleg nem ismertek, azok várhatóan decemberben kerülnek kihirdetésre egy polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszteri rendeletben. A NIS2 irányelv normaszövege viszont segít körvonalazni, hogy milyen követelményekre számíthatnak az érintett szervezetek, hiszen ezeket figyelembe kell vennie a magyar jogalkotónak:
• kockázatelemzési és az informatikai
rendszerek biztonságára vonatkozó
szabályzatok;
• eseménykezelés (incidenskezelés);
• üzletmenet-folytonosság, például
tartalékrendszerek kezelése,
valamint katasztrófa utáni
helyreállítás és válságkezelés;
• az ellátási lánc biztonsága, ideértve
az egyes szervezetek és közvetlen
beszállítóik vagy szolgáltatóik
közötti kapcsolatok biztonságával
kapcsolatos szempontokat;
• biztonság a hálózati és információs
rendszerek beszerzésében,
fejlesztésében és
karbantartásában, beleértve a
sérülékenységek kezelését és
közzétételét;
• szabályzatok és eljárások a
kiberbiztonsági kockázatkezelési
intézkedések hatékonyságának
értékelésére;
• alapvető kiberhigiéniai gyakorlatok
és kiberbiztonsági képzés;
• a kriptográfia és adott esetben a
titkosítás használatára vonatkozó
szabályzatok és eljárások;
• humánerőforrás-biztonság,
hozzáférés-ellenőrzési szabályzatok
és eszközgazdálkodás;
• adott esetben többtényezős
hitelesítési vagy folyamatos
hitelesítési megoldások,
biztonságos hang-, video- és
szöveges kommunikáció, valamint
biztonságos vészhelyzeti
kommunikációs rendszerek
használata a szervezeten belül.
A felsorolást tekintve várhatóan minden releváns szabvány (pl. ISO 27001, NIST SP 800-53 r5.) által lefedett területet le fog fedni a követelményrendszer. Az érintett szervezetek nem kerülhetik el, a legfejlettebb /state of the art/ védelmi intézkedéseket kell alkalmazniuk a fizikai környezetükben, illetve a people-process-technology hármasban egyaránt.
Az alkalmazandó védelmi intézkedések meghatározásánál várhatóan figyelembe fogják venni a szervezet és rendszerek biztonsági osztályba sorolását és az azonosított kockázatokat. Egyszerűen nem lenne gazdaságos és ésszerű aránytalan védelmi intézkedéseket alkalmazni egy nem kritikus rendszer esetében.
Biztonsági események megelőzése, felismerése, kezelése, hatásainak csökkentése
A Kibertantv. az Ibtv. által meghatározott biztonsági esemény definícióra hivatkozik:
biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül;
A biztonsági eseményt nevezhetjük biztonsági incidensnek is, amivel előbb utóbb minden szervezet szembesül. A Kibertantv. és a NIS2 irányelv előírásai szerint a biztonsági incidenseket be kell jelenteni.
![20945462-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20945462-Converted-qgsutjpinqawph6lu7dpmp1oeyntuvh9j9mxzstlq8.png "20945462-[Converted]")
![20945235-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20945235-Converted-qgsvcteergoipp6zbj8dqtzutbopnhz66n3a609268.png "20945235-[Converted]")
Az incidensek kezelése és bejelentése érdekében azokat időben kell észlelni: ehhez az incidensek felhasználók általi jelentési kötelezettség előírása, illetve a rendszerekben történő kiterjedt naplózás és ezek monitorozása elengedhetetlen, pl. SIEM megoldások alkalmazásával. Az IBM Cost of Data Breach 2023 jelentése alapján az átlagos incidens észlelés és containment ideje 277 nap, ami nem túl jó eredmény.
Az incidenskezelésben érdemes saját vagy kiszervezett Security Operations Center (SOC) csapatot alkalmazni. A szervezet felkészülését jelentősen segítheti a különböző forgatókönyvek szerint elkészített incidenskezelési tervek alkalmazása. Magas érettségi szint esetén a szervezet teszteli is az incidenskezelési képességeit.
