Segédletünk célja, hogy támogatást nyújtson a NIS2 irányelvet a magyar jogrendbe átültető, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénytervezetnek (továbbiakban kibertan.tv) történő megfeleléshez, már arra tekintettel, hogy társadalmi egyeztetésre bocsátották ennek régóta várt végrehajtási rendeletét, a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló MK rendelet tervezetét.
Tekintettel a rendelkezésre álló rövid időre – az osztályba sorolást és a védelmi intézkedések alkalmazását 2024. október 18-ig kell megvalósítani -, javaslatunk egy az erőforrások tekintetében legoptimálisabb megoldást tartalmazza, azzal az alapfelvetésből kiindulva, hogy az adott szervezet kiberbiztonsági felkészültsége alacsony szintű. Amennyiben az adott szervezet több erőforrással és/vagy magasabb szintű felkészültséggel rendelkezik, természetesen bármelyik feladatlépés módszertanilag megalapozottabban – üzleti területek mélyebb szintű bevonásával függőségelemzés és hatáselemzés végrehajtása, adatvagyonleltár felvétele és osztályozása, kockázatelemzésre célrendszer igénybe vétele, stb. – is megvalósítható.
Kérem, vegye figyelembe, hogy a segédlet nem terjed ki a szervezet érintettségének elemzésére, illetve a 23/2023. (XII. 19.) SZTFH rendelet szerinti nyilvántartásba vételhez kapcsolódó adminisztratív feladatokra, melyekkel kapcsolatban az SZTFH is publikált már jól használható iránymutatásokat.
(pl: https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf)
Feladatlépések:
1. Elektronikus információs rendszerek leltárának felvétele
Megvalósítás: A 2. pontban foglalt osztályba sorolás végrehajtásához nélkülözhetetlen, hogy a szervezet teljes körűen azonosítsa elektronikus információs rendszereit. Ennek legegyszerűbb, de célra vezető módja, ha üzleti területenként és üzleti folyamatonként végig gondoljuk, hogy az adott folyamat végrehajtásához milyen rendszerek szükségesek. Fontos, hogy az informatikai szakterület és folyamatok sem maradhatnak ki a sorból, nem kizárólag az üzleti alkalmazások felmérése szükséges, hanem az informatikai és információbiztonsági célrendszereket (központi határvédelmi szoftver, IDM, DLP, SIEM, stb.) is leltárba kell venni.
Eredménytermék: a feladat eredményterméke az elektronikus információs rendszerek listája, mely ideális esetben visszavezethető a folyamatleltárra.
2. Elektronikus információs rendszerek osztályba sorolása
Megvalósítás: Az osztályba sorolást a végrehajtási rendelet 2. fejezetében foglaltak szerint szükséges lefolytatni az 1. pontban azonosított összes elektronikus információs rendszer tekintetében. Elsőnek javasolt az osztályozást xls felmérőlapon végrehajtani, ami tartalmazza a 2.2. pontban foglalt feltételeket. A módszer volt eddig is elvárt az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény és végrehajtási rendelete alapján megkövetelt osztályba sorolásnál is.
Eredménytermék: a feladat eredményterméke rendszerenként a kitöltött xls hatáselemzés felmérőlapok és a rendszerek biztonsági osztályai (alap, jelentős, magas).
Kiemelendő, hogy a besorolást a szervezet vezetőjének kell jóvá hagynia, így rendelkezésre kell állnia legalább egy megfelelő feljegyzésnek.
3. Gap-analízis és kockázatelemzés lefolytatása
Megvalósítás: A kockázatelemzést dokumentált módszertan alapján szükséges lefolytatni, mely megfelel a végrehajtási rendelet 5. fejezetében foglalt követelményeknek. A kockázatelemzés részeként szükséges a kontroll-analízis végrehajtása is, így a szervezet és annak vezetősége átfogó képet kaphat az információbiztonsági kontroll keretrendszer felkészültségéről .
A kockázatelemzésnek kell, hogy részét képezze továbbá annak meghatározása, hogy milyen eltérésekkel teljesíti a szervezet a végrehajtási rendelet 2. mellékletben meghatározott minimális követelményeket, a rendszerre meghatározott biztonsági kockázati szintnek megfelelő intézkedések kiválasztásával (3. és 4. fejezet szerinti lehetséges eltérések és helyettesítő védelmi intézkedésekre tekintettel).
Eredménytermék: a feladat eredménytermékei szervezeti (folyamat) és rendszerenként a kockázat és gap-elemzés eredményeit tartalmazó dokumentumok, valamint a szervezeti döntéshozók számára a kockázatelemzés eredményeit összefoglaló jelentés és intézkedési terv (kockázat elkerülése, kockázat csökkentése vagy áthárítása, kockázat felvállalása).
4. Rendszerdokumentációk elkészítése
Megvalósítás: A végrehajtási rendelet az elektronikus információs rendszerek dokumentálására szigorú követelményeket határoz meg, tételesen rögzítve azok tartalmi követelményeit. A szervezet vezetője a rendszer biztonsági állapotára vonatkozó dokumentumok (rendszerbiztonsági terv, értékelési jelentés, rendszer kockázatértékelés, cselekvési terv) alapján az üzembehelyezésére vagy üzemben tartására vonatkozó kockázatokat megvizsgálja, és jegyzőkönyvben dokumentált módon dönt a rendszer használatbavételéről vagy használatának folytatásáról.
Eredménytermék: a feladat eredménytermékei rendszerenként egy-egy rendszerbiztonsági terv, értékelési jelentés, rendszer kockázatértékelés és cselekvési terv.
5. Szabályozások kidolgozása
Megvalósítás: Már a kockázatkezelés témakörébe tartozó feladat, de érdemes kiemelni, tekintettel arra, hogy a kialakítandó információbiztonsági irányítási rendszer alapját jelenti a feladat és felelősségi köröket rögzítő szabályozó rendszer. A végrehajtási rendelet második mellékletét képező védelmi intézkedési katalógus 1.2. pontja rögtön előírja az Információbiztonsági szabályzat megalkotását, de minden további fejezet első pontja az előírt „Szabályzatokat és eljárásrendeket” sorolja fel (pl. hozzáférés-felügyeleti szabályzat és eljárások, tudatossági és képzési szabályzat és eljárások, naplózásra és elszámoltathatóságra vonatkozó szabályzat).
Eredménytermék: Célszerű elkerülni a szabályozási rendszer széttöredezését és első sorban javasolt egy megfelelő részletezettségű és az alapokat lefektető Információbiztonsági szabályzat megalkotására koncentrálni. Ami ennek kereteibe nem fér bele, vagy a szervezet információs rendszerének összetettségére tekintettel külön szabályozást kíván, azokat a szabályzatok és eljárásrendeket ezt követően javasolt elkészíteni.
A gap-és kockázatelemzés eredményeire támaszkodva, valamint egy a vezetőség által jóváhagyott intézkedési terv alapján szükséges megkezdeni a további védelmi intézkedések implementálását. Bár a jogszabályi határidő 2024. október 18., a végrehajtási rendelet kimondja, hogy „a védelmi intézkedések fokozatosan vezethetők be. A fokozatosságot a védendő elektronikus információs rendszerek biztonsági osztályozása alapján lehet felállítani.”
Az L. törvény szintén alkalmazta a fokozatosság elv, amikor kimondta, hogy a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év állt rendelkezésére. Ennyi idő sajnos közel sem áll most rendelkezésre a felkészülésre, de a megfogalmazásból kiolvasható, hogy a hatóság sem várja el, hogy fél év alatt megtörténjen több évnyi beruházás és munka. A legfontosabb, hogy a szervezet tisztába legyen a feladatokkal és rendelkezzen egy dokumentált és nyomon követetett intézkedési tervvel a megfelelés eléréséhez.
Figyelembe vett jogszabályok:
- 2022/2555 (EU) irányelv (NIS2 )
- évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
- évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
- Rendelet tervezet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
További információkért, kérjük vegye fel a kapcsolatot velünk:
Pataki-Vízi Linda dr. Kőmíves Balázs
linda.vizi@praudit.hu balazs.komives@praudit.hu
PR-AUDIT Kft.
A PR-AUDIT Professzionális Informatikai Kft. a hazai információbiztonsági piac megkerülhetetlen szereplője 2003 óta. A PR-AUDIT széleskörű auditori tapasztalattal rendelkező, informatikai, műszaki és jogi végzettségű szakemberekből áll, akik diplomájukon felül különböző minősítésekkel rendelkeznek. Minden átfogó audit projektünkön a különböző szakértelmet igénylő szakterületi részeken az erre szakosodott kolléga dolgozik.
Cégünk hosszú évek óta végez információbiztonsági, informatikai átvilágításokat és célauditokat, IT biztonsági kockázatelemzéseket és alakít ki átfogó szabályozó környezetet. Etikus hacker csapatunk évente több száz betörési tesztet, sérülékenységi vizsgálatot, alkalmazásbiztonsági auditot és forráskód elemzést végez. Ügyfeleink a kis cégektől a nagy multinacionális cégekig minden szegmensből évek óta visszatérő partnereink.