SecureTrends - ComputerTrends magazin 2024.06.06.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel. A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
SECURETRENDS NIS2 automatizáció a fenntartható megfelelés érdekében A NIS2 jön, vélhetően ezt senkinek nem kell már magyarázni az olvasók közül. Ami viszont talán kevésbé tudatosodott sokakban a kezdeti nagy feladattömeg láttán az az, hogy a NIS2 megfelelés nem egy egyszeri feladat csupán, hanem mint megfelelési kényszer, velünk fog maradni az elkövetkezendő évek során is. Így már a kezdetekkor is érdemes egy kicsivel több munkát beletenni a felkészülésbe és egy hosszútávon fenntartható NIS2 megfelelőségi struktúrát kialakítani annak érdekében, hogy a későbbiekben legalább az alapokhoz ne kelljen hozzányúlni már. Nézzük, mire is gondoltunk a fenti általános megállapítás mögött valójában, tehát hogy melyek azok a fundamentális, de mégsem triviális megfontolások, amelyek kezdeti megtételével hosszútávon nagymértékben megkönnyíthetjük saját (és céges utódaink) életét. A NIST 800 ökoszisztémára építkezés A Kibertan tv. végrehajtási rendeletének tekinthető (és cikkünk megírásakor még mindig csak tervezet formájában létező) MK rendelet tartalmazza a 2. sz mellékletében a kontroll követelményeket, amelyeknek az egyes informatikai rendszereink vonatkozásában meg kell felelnünk. Közismert, hogy ezek a kontroll követelmények a NIST 800-53r5, amerikai szövetségi intézményrendszerre vonatkozó standard, egy az egyben történő fordításai. Az már viszont kevésbé köztudott, hogy a NIST 800-53r5 csupán csak egy kontroll katalógus, és „önálló életre” nem alkalmas. Ami életképessé teszi, az a teljesen költségmentesen elérhető NIST 800–as ökoszisztéma, amelynek legfontosabb elemeit a teljesség igénye nélkül az alábbi felsorolásban említjük meg. Arra a kérdésre, hogy melyik belépőpontot válasszuk ahhoz, hogy megértsük a NIST 800-53r5 fenntartható alkalmazást, azt javasoljuk, hogy NIST 800-37r2 Risk Management Framework (RMF) gondolatvilágát igyekezzünk elsajátítani. Hogy miért? Mert a kontrollkörnyezetet kiterjeszti a meglévő rendszereken túl a fejlesztés alatt álló rendszerekre is, lefedve a rendszer teljes életciklusát. Segít belátni, hogy a kontrollkörnyezet kialakítása és működtetése nem kizárólag cyber feladat, hanem a teljes szervezet közreműködését igényli. Így a NIST 800-53r5, azaz a NIS2 követelményeinek való megfelelés nem cél lesz, hanem következmény. Hogyan érhető ez el? A RMF meghatározza azokat a feladatokat, szám szerint 47-et, amelyek maradéktalan végrehajtása hosszútávon garanciát jelent a megfelelőség biztosítására. Az elvégzendő feladatok hét lépésbe vannak sorolva, amelyekből kettőt szeretnénk kiemelni, az elsőt és az utolsót. Az első lépés a felkészülés. Azért tartjuk fontosnak ennek a lépésnek a nagyvonalú ismeretét még a külső tanácsadót bevonni kívánó cégek számára is, mert ennek segítségével megítélhető a kívülről bevont erőforrás szakmai hozzáértése és a leszállított terjedelem teljeskörűsége is. NIST 800-53A NIST 800-53B NIST 800-18 NIST 800-30 NIST 800-34 NIST 800-37 NIST 800-39 NIST 800-61 NIST 800-60 NIST 800-137 NIST 800-160 – védelmi intézkedések értékelése – biztonsági osztályok és azok testre szabása – rendszerbiztonsági terv kialakítása – kockázatértékelési segédlet – üzletmenet-folytonossági tervezés – kockázatkezelési keretrendszer kialakítása – információbiztonsági kockázatkezelés – biztonsági incidenskezelés – információ típusok és információs rendszerek osztályba sorolása – Információbiztonság folyamatos felügyelete – rendszerfejlesztési életciklus kialakítása 1. sz. táblázat: NIS2 szempontjából hasznos NIST publikációk Az utolsó lépes a folyamatos felügyelet. A folyamatos felügyeletet megelőzi a rendszerek biztonsági osztályba sorolása, védelmi intézkedések kiválasztása és testre szabása, a védelmi intézkedések (kontrollok) bevezetés, azok értékelése, majd a rendszer engedélyezése. A „nagykönyv” szerint új rendszer csak mindezeket követően kerülhet át az éles környezetbe, ahol életének legnagyobb részét tölti. Ebben a szakaszban a NIST 800-37 szerinti folyamatos felügyelet feladatait kell végezni az alkalmazott védelmi intézkedések folyamatos értékelésével. Ahhoz, hogy használatba vehessük a NIST 800 ökoszisztéma fenti elemeit, nyilvánvalóan szükség van arra, hogy az MK rendelet adott kontrollját hozzá tudjunk rendelni a NIST 800-53 megfelelő eleméhez. A 900-nál is több elemű listák összerendelése egy manuálisan végzendő, 16 | ComputerTrends | 2024. június
SECURETRENDS hosszadalmas feladat, amit mi már elvégeztünk és az összerendelő táblát kérésre szívesen megosztjuk. Elérhetőségünk a cikk végén található. Belső kontroll keretrendszer (Internal Control Framework) kialakítása Egy másik kiemelkedően hasznos és nagy megtérülésű megfontolás, hogy ne közvetlenül a NIS2 (MK rendelet) kontrolljait vezessük be, hanem amenynyiben egyéb más külső (pl. PCI-DSS, ISO27001, SoX stb.) vagy belső (saját belső szabályrendszerünk) követelményrendszernek is meg kell felelnünk, akkor a hasonló területet szabályozó kontrollokat vessük össze és definiáljuk azt a közös metszetet, amellyel a minimálisan szükséges szinten mindegyik követelménynek megfelelünk. Így egy saját, származtatott kontroll alkalmazásával egyszerre felelhetünk meg minden egyes követelményrendszernek (Test Once, Comply Many audit alapelv érvényesítése). Erre a célra több eszköz is rendelkezésükre áll, hogy elkerülhessük az összerendeléssel járó folyamatos feladatot, mint pl. a Secure Controls Framework (SCF) vagy a Unified Compliance Framework (UCF). Általános IT kontrollok (IT General Controls/ Common Controls) Az MK rendelet és a NIST 800-53 is rendszerkategóriánként (alap, jelentős, magas) definiálja a kontrollkövetelmény-csomagokat (control baselines), amelyeknek meg kell felelnünk. Azt azonban egyik sem határozza meg, hogy egy adott kontrollkövetelmény úgynevezett általános kontroll-e (Common Control/IT General Control), vagy alkalmazásspecifikus. Ennek meghatározása ránk, mint megfelelésre kötelezettre vár. Mivel az általános kontrollok üzemeltetése nagyságrendekkel olcsóbb, mint az alkalmazáskontrolloké, így akkor járunk el helyesen, ha az általános kontrollok bevezetésére törekszünk alkalmazáskontrollok helyett. Így egy teszteljárással le tudjuk fedni számos rendszerünket ahelyett, hogy minden egyes rendszerünk esetén egyesével külön kéne kontrollokat tesztelnünk. Tapasztaltunkban az MK rendelet kontrolljainak jelentős része (akár 80% is) „általánosítható”. Folyamatos kontroll monitorozás (Continuous Control Monitoring) Fentebb már említettük, de visszatérnénk még egy gondolat erejéig a folyamatos kontroll monitorozás témájára. Maga az MK rendelet is megköveteli ezt az 5. Értékelés, engedélyezés és monitorozás szekciójában, de jóval többről van itt szó, mint egy kontrollról a sok százból. A folyamatos kontroll monitorozás tekinthető az IT kockázatkezelés szívének-lelkének. Ugyanis helikopternézetből a kontrollok célja nem más, mint a kockázatcsökkentés, és ha egy kontrollunk nem működik megfelelően, akkor azzal nyilván kockázatot futunk. Tehát, a NIS2 szempontból nem csupán egy kezdeti kontroll értékelést (gap assessment) kell végeznünk, majd az auditorunkra bízni a kétévenkénti értékelést, hanem mi magunknak kell a bevezetett kontrolljainkat az általunk definiált gyakoriság mentén rendszeresen értékelnünk, ha valóban kockázatot szeretnénk csökkenteni, nem pedig csak a check-box compliance a cél. A LogicGate GRC platformra épített NIS2 Compliance Automation megoldásunk támogatja az SCF alapú (tehát a NIS2 mellett minden egyéb más követelménynek is eleget tevő) belső kontroll keretrendszer kialakítását, a folyamatos kontroll monitorozást, majd a kontroll hiányosságokból származó kockázatok értékelését és kezelését egyaránt. SZABOLCS ANDRÁS, CISA, FAIR Risk Analyst andras.szabolcs@goverwithus.com SZIGETVÁRI PÉTER, CISM, CBCI, PMP, CGRC, FAIR Risk Analyst peter.szigetvari@governwithus.com 2024. június | ComputerTrends | 17
- Page 1 and 2: AZ INFORMATIKA MAGAZINJA 2024 • J
- Page 3 and 4: Tartalom 8 4 Idén 15. alkalommal r
- Page 5 and 6: Hidakat építünk a technológiai
- Page 7 and 8: SECURETRENDS nológiákkal kapcsola
- Page 9 and 10: SECURETRENDS A Check Point magyaror
- Page 11 and 12: SECURETRENDS forrás: symantec-ente
- Page 13 and 14: SECURETRENDS Ha a támadók napokat
- Page 15: SECURETRENDS személyazonosság- é
- Page 19 and 20: Hogyan lesz üzleti előny a kiberb
- Page 21 and 22: SECURETRENDS CT: Van olyan tendenci
- Page 23 and 24: SECURETRENDS CT: Vannak jelentős k
- Page 25 and 26: SECURETRENDS innovatív kiberbizton
- Page 27 and 28: FEJLÉC 2024. június | ComputerTre
- Page 30 and 31: Tartalom 8 CÍMLAPUNKON 5 TC2 - SAP
- Page 32 and 33: SAP konverzió két lépésben az A
- Page 34 and 35: 2024. október 9-10. Inárcs, Flow
- Page 36 and 37: AKTUÁLIS szert alakít ki, a megl
- Page 38 and 39: Csapatmunka és üzleti szemlélet
- Page 40 and 41: TECH/AI IBM watsonx Orchestrate: ú
- Page 42 and 43: TECH/AI folyó szöveget gyártson.
- Page 44 and 45: TECH/AI donú, magáncélra is hasz
- Page 46 and 47: TECH/AI ...és Ashesh Badani, term
- Page 48 and 49: TECH/AI nagyobb átviteli sebesség
- Page 50 and 51: ÜZLET Standard & Poor's Ratings Se
- Page 52: PYTHON haladó Adatvizualizáció,
SECURETRENDS<br />
NIS2 automatizáció a fenntartható<br />
megfelelés érdekében<br />
A NIS2 jön, vélhetően ezt senkinek nem kell már magyarázni az olvasók közül.<br />
Ami viszont talán kevésbé tudatosodott sokakban a kezdeti nagy feladattömeg<br />
láttán az az, hogy a NIS2 megfelelés nem egy egyszeri feladat csupán, hanem mint<br />
megfelelési kényszer, velünk fog maradni az elkövetkezendő évek során is.<br />
Így már a kezdetekkor is érdemes egy kicsivel<br />
több munkát beletenni a felkészülésbe és egy<br />
hosszútávon fenntartható NIS2 megfelelőségi<br />
struktúrát kialakítani annak érdekében, hogy a<br />
későbbiekben legalább az alapokhoz ne kelljen<br />
hozzányúlni már.<br />
Nézzük, mire is gondoltunk a fenti általános<br />
megállapítás mögött valójában, tehát hogy<br />
melyek azok a fundamentális, de mégsem triviális<br />
megfontolások, amelyek kezdeti megtételével<br />
hosszútávon nagymértékben megkönnyíthetjük<br />
saját (és céges utódaink) életét.<br />
A NIST 800 ökoszisztémára<br />
építkezés<br />
A Kibertan tv. végrehajtási rendeletének tekinthető<br />
(és cikkünk megírásakor még mindig csak<br />
tervezet formájában létező) MK rendelet tartalmazza<br />
a 2. sz mellékletében a kontroll követelményeket,<br />
amelyeknek az egyes informatikai<br />
rendszereink vonatkozásában meg kell felelnünk.<br />
Közismert, hogy ezek a kontroll követelmények a<br />
NIST 800-53r5, amerikai szövetségi intézményrendszerre<br />
vonatkozó standard, egy az egyben<br />
történő fordításai.<br />
Az már viszont kevésbé köztudott, hogy a NIST<br />
800-53r5 csupán csak egy kontroll katalógus, és<br />
„önálló életre” nem alkalmas. Ami életképessé<br />
teszi, az a teljesen költségmentesen elérhető<br />
NIST 800–as ökoszisztéma, amelynek legfontosabb<br />
elemeit a teljesség igénye nélkül az alábbi<br />
felsorolásban említjük meg. Arra a kérdésre,<br />
hogy melyik belépőpontot válasszuk ahhoz, hogy<br />
megértsük a NIST 800-53r5 fenntartható alkalmazást,<br />
azt javasoljuk, hogy NIST 800-37r2 Risk<br />
Management Framework (RMF) gondolatvilágát<br />
igyekezzünk elsajátítani. Hogy miért? Mert a<br />
kontrollkörnyezetet kiterjeszti a meglévő rendszereken<br />
túl a fejlesztés alatt álló rendszerekre<br />
is, lefedve a rendszer teljes életciklusát. Segít<br />
belátni, hogy a kontrollkörnyezet kialakítása<br />
és működtetése nem kizárólag cyber feladat,<br />
hanem a teljes szervezet közreműködését igényli.<br />
Így a NIST 800-53r5, azaz a NIS2 követelményeinek<br />
való megfelelés nem cél lesz, hanem<br />
következmény.<br />
Hogyan érhető ez el? A RMF meghatározza<br />
azokat a feladatokat, szám szerint 47-et, amelyek<br />
maradéktalan végrehajtása hosszútávon<br />
garanciát jelent a megfelelőség biztosítására.<br />
Az elvégzendő feladatok hét lépésbe vannak<br />
sorolva, amelyekből kettőt szeretnénk kiemelni,<br />
az elsőt és az utolsót.<br />
Az első lépés a felkészülés. Azért tartjuk<br />
fontosnak ennek a lépésnek a nagyvonalú ismeretét<br />
még a külső tanácsadót bevonni kívánó<br />
cégek számára is, mert ennek segítségével<br />
megítélhető a kívülről bevont erőforrás szakmai<br />
hozzáértése és a leszállított terjedelem teljeskörűsége<br />
is.<br />
NIST 800-53A<br />
NIST 800-53B<br />
NIST 800-18<br />
NIST 800-30<br />
NIST 800-34<br />
NIST 800-37<br />
NIST 800-39<br />
NIST 800-61<br />
NIST 800-60<br />
NIST 800-137<br />
NIST 800-160<br />
– védelmi intézkedések értékelése<br />
– biztonsági osztályok és azok testre szabása<br />
– rendszerbiztonsági terv kialakítása<br />
– kockázatértékelési segédlet<br />
– üzletmenet-folytonossági tervezés<br />
– kockázatkezelési keretrendszer kialakítása<br />
– információbiztonsági kockázatkezelés<br />
– biztonsági incidenskezelés<br />
– információ típusok és információs rendszerek<br />
osztályba sorolása<br />
– Információbiztonság folyamatos felügyelete<br />
– rendszerfejlesztési életciklus kialakítása<br />
1. sz. táblázat: NIS2 szempontjából hasznos NIST publikációk<br />
Az utolsó lépes a folyamatos felügyelet.<br />
A folyamatos felügyeletet megelőzi a rendszerek<br />
biztonsági osztályba sorolása, védelmi<br />
intézkedések kiválasztása és testre szabása,<br />
a védelmi intézkedések (kontrollok) bevezetés,<br />
azok értékelése, majd a rendszer engedélyezése.<br />
A „nagykönyv” szerint új rendszer csak mindezeket<br />
követően kerülhet át az éles környezetbe,<br />
ahol életének legnagyobb részét tölti. Ebben a<br />
szakaszban a NIST 800-37 szerinti folyamatos<br />
felügyelet feladatait kell végezni az alkalmazott<br />
védelmi intézkedések folyamatos értékelésével.<br />
Ahhoz, hogy használatba vehessük a NIST<br />
800 ökoszisztéma fenti elemeit, nyilvánvalóan<br />
szükség van arra, hogy az MK rendelet adott<br />
kontrollját hozzá tudjunk rendelni a NIST 800-53<br />
megfelelő eleméhez. A 900-nál is több elemű<br />
listák összerendelése egy manuálisan végzendő,<br />
16 | <strong>ComputerTrends</strong> | 2024. június
Change language