SecureTrends - ComputerTrends magazin 2024.06.06.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
A ComputerTrends magazin 2024. június 6-án megjelent lapszáma, SecureTrends melléklettel.
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
SECURETRENDS<br />
hosszadalmas feladat, amit mi már<br />
elvégeztünk és az összerendelő táblát<br />
kérésre szívesen megosztjuk. Elérhetőségünk<br />
a cikk végén található.<br />
Belső kontroll<br />
keretrendszer<br />
(Internal Control<br />
Framework) kialakítása<br />
Egy másik kiemelkedően hasznos és<br />
nagy megtérülésű megfontolás, hogy<br />
ne közvetlenül a NIS2 (MK rendelet)<br />
kontrolljait vezessük be, hanem amenynyiben<br />
egyéb más külső (pl. PCI-DSS,<br />
ISO27001, SoX stb.) vagy belső (saját<br />
belső szabályrendszerünk) követelményrendszernek<br />
is meg kell felelnünk,<br />
akkor a hasonló területet szabályozó<br />
kontrollokat vessük össze és definiáljuk<br />
azt a közös metszetet, amellyel a minimálisan<br />
szükséges szinten mindegyik<br />
követelménynek megfelelünk. Így egy<br />
saját, származtatott kontroll alkalmazásával<br />
egyszerre felelhetünk meg minden<br />
egyes követelményrendszernek (Test<br />
Once, Comply Many audit alapelv érvényesítése).<br />
Erre a célra több eszköz is<br />
rendelkezésükre áll, hogy elkerülhessük<br />
az összerendeléssel járó folyamatos<br />
feladatot, mint pl. a Secure Controls<br />
Framework (SCF) vagy a Unified Compliance<br />
Framework (UCF).<br />
Általános IT kontrollok<br />
(IT General Controls/<br />
Common Controls)<br />
Az MK rendelet és a NIST 800-53 is<br />
rendszerkategóriánként (alap, jelentős,<br />
magas) definiálja a kontrollkövetelmény-csomagokat<br />
(control baselines),<br />
amelyeknek meg kell felelnünk. Azt<br />
azonban egyik sem határozza meg, hogy<br />
egy adott kontrollkövetelmény úgynevezett<br />
általános kontroll-e (Common<br />
Control/IT General Control), vagy alkalmazásspecifikus.<br />
Ennek meghatározása<br />
ránk, mint megfelelésre kötelezettre vár.<br />
Mivel az általános kontrollok üzemeltetése<br />
nagyságrendekkel olcsóbb, mint<br />
az alkalmazáskontrolloké, így akkor<br />
járunk el helyesen, ha az általános<br />
kontrollok bevezetésére törekszünk<br />
alkalmazáskontrollok helyett. Így egy<br />
teszteljárással le tudjuk fedni számos<br />
rendszerünket ahelyett, hogy minden<br />
egyes rendszerünk esetén egyesével<br />
külön kéne kontrollokat tesztelnünk.<br />
Tapasztaltunkban az MK rendelet kontrolljainak<br />
jelentős része (akár 80% is)<br />
„általánosítható”.<br />
Folyamatos<br />
kontroll monitorozás<br />
(Continuous Control<br />
Monitoring)<br />
Fentebb már említettük, de visszatérnénk<br />
még egy gondolat erejéig a folyamatos<br />
kontroll monitorozás témájára.<br />
Maga az MK rendelet is megköveteli<br />
ezt az 5. Értékelés, engedélyezés és<br />
monitorozás szekciójában, de jóval<br />
többről van itt szó, mint egy kontrollról<br />
a sok százból. A folyamatos kontroll<br />
monitorozás tekinthető az IT kockázatkezelés<br />
szívének-lelkének. Ugyanis<br />
helikopternézetből a kontrollok célja<br />
nem más, mint a kockázatcsökkentés,<br />
és ha egy kontrollunk nem működik<br />
megfelelően, akkor azzal nyilván<br />
kockázatot futunk.<br />
Tehát, a NIS2 szempontból nem<br />
csupán egy kezdeti kontroll értékelést<br />
(gap assessment) kell végeznünk,<br />
majd az auditorunkra bízni a<br />
kétévenkénti értékelést, hanem mi<br />
magunknak kell a bevezetett kontrolljainkat<br />
az általunk definiált gyakoriság<br />
mentén rendszeresen értékelnünk, ha<br />
valóban kockázatot szeretnénk csökkenteni,<br />
nem pedig csak a check-box<br />
compliance a cél.<br />
A LogicGate GRC platformra épített<br />
NIS2 Compliance Automation megoldásunk<br />
támogatja az SCF alapú (tehát<br />
a NIS2 mellett minden egyéb más<br />
követelménynek is eleget tevő) belső<br />
kontroll keretrendszer kialakítását,<br />
a folyamatos kontroll monitorozást,<br />
majd a kontroll hiányosságokból származó<br />
kockázatok értékelését és kezelését<br />
egyaránt.<br />
SZABOLCS ANDRÁS,<br />
CISA, FAIR Risk Analyst<br />
andras.szabolcs@goverwithus.com<br />
SZIGETVÁRI PÉTER,<br />
CISM, CBCI, PMP, CGRC,<br />
FAIR Risk Analyst<br />
peter.szigetvari@governwithus.com<br />
2024. június | <strong>ComputerTrends</strong> | 17