NIS2 Sorozat 2. rész

Ahogy a korábbi bejegyzésünkben jeleztük, egy cikksorozat keretében mutatjuk be a hazai NIS2 hatókörébe tartozó cégeknek, hogy milyen kihívások várnak rájuk az auditálásig. A HN Secure IT Kft., mint a digitális védelem szakértője szeretnénk segítséget nyújtani a 7/2024 Mk rendeletben foglalt követelménycsaládok ismertetésében, hogy még könnyebben átlátható legyen, hogy minek kell megfelelni a kétévenkénti audit esetén.

Első körben az 1. számú család, a programmenedzsmentet vesszük nagyító alá.

Programmenedzsment – mit kell tudnia egy szervezetnek?

1. Információbiztonsági szabályzat megalkotása és érvényesítése

• A szervezetnek rendelkeznie kell egy átfogó információbiztonsági szabályzattal.
• Ebben rögzíteni szükséges a felelősségi és szerepköröket, folyamatokat, valamint az elfogadható kockázati szinteket.
• A szabályzatot folyamatosan igazítani kell: módosítások, hibajavítások, szervezeti vagy technológiai, valamint jogszabályi környezeti változások esetén.
• Szükséges egy Elektronikus Információs rendszerek biztonságáért felelős személy kinevezése.

2. Erőforrás tervezés, és intézkedési terv

• A szervezetnek a költségvetés, valamint humán erőforrás tervezés esetén kiemelt figyelmet kell fordítania a biztonsági célok eléréséhez szükséges eszközök biztosítására.
• Az információbiztonság és az ellátási lánc kockázatainak a kezelésére intézkedési tervet készít, melyet folyamatosan aktualizál, naprakészen tart.

3. EIR nyilvántartások

• Minden elektronikus információs rendszerről (EIR) nyilvántartást kell vezetni.
• Ezt a nyilvántartást folyamatosan frissíteni kell

4. Biztonsági eseménykezelési képességek tesztelése

• Időszakosan el kell végezni a rendszer biztonsági eseménykezelési folyamatainak tesztelését, hogy működésük hatékonyságát ellenőrizni lehessen.
• Ez manuális vagy automatizált eszközökkel is történhet – különösen a „jelentős” vagy „magas” biztonsági osztályú rendszereknél.
• A tesztek során gyűjtött adatokat (kvantitatív és kvalitatív) hasznosítani kell a folyamatok fejlesztéséhez, pontosabb mérőszámok kialakításához és a reprodukálás biztosításához.

5. Biztonsági eseménykezelési keretrendszer kiépítése

• A szervezetnek rendelkeznie kell egy jól strukturált biztonsági eseménykezelési képességgel, amely lefedi az előkészítést, észlelést, elemzést, elszigetelést, felszámolást és helyreállítást.
• Ez a rendszer épüljön össze szorosan az üzletmenet-folytonossági tervekkel – így biztosítható, hogy a biztonsági események ne veszélyeztessék az operatív működést.
• A megtanultakat be kell építeni az eljárásokba, képzésbe és következő tesztekbe. A folyamat legyen belsőleg összehasonlítható és kiszámítható.

6. Automatizált reagálási mechanizmusok

• „Jelentős” vagy „magas” osztályú rendszereknél szükséges automatizált eszközökkel támogatni a biztonsági eseménykezelést.
• Olyan rendszert kell kialakítani, amely bizonyos szabályok megsértése esetén automatikusan újra konfigurálja vagy szükség esetén leállítja az érintett rendszerelemeket.

7. Biztonsági események osztályozása és reagálás szabályozása

• A szervezet osztályozza a találkozott biztonsági eseményeket (pl. súlyosság, hatás alapján), és az egyes kategóriákhoz előre meghatározott válaszlépéseket rendel.

8. Információk korrelálása az átfogó helyzetfelismerésért

• A szervezet egységes képet alkot az eseményekről azáltal, hogy különböző forrásból származó adatokat (pl. logok, felhasználói jelentések, rendszerfigyelés) együttesen elemzi és összekapcsolja.

9. Belső jelentési kötelezettségek

• Mindenki a szervezetnél – munkatársak, külső közreműködők – köteles jelenteni a biztonsági esemény gyanúját vagy bekövetkezését.
• Az eseményeket előírt módon be kell jelenteni a megfelelő belső és jogszabályban meghatározott külső szervek felé.

10. Automatikus jelentéstámogatás és hozzáférés növelése

• A “jelentős” és “magas” biztonsági osztályú rendszerek esetében használni kell automatizált eszközöket a jelentések készítéséhez, események kezelésének támogatásához.
• Szintén automatizációval biztosítani kell a felhasználók számára az eseménykezeléssel kapcsolatos információk hozzáférhetőségét.

11. Külső szereplőkkel való koordináció

• A szervezetnek biztosítania kell, hogy az eseménykezelés kapcsán hatékony kommunikáció legyen külső szolgáltatókkal (szállítókkal, beszállítókkal).
• Külső partnerek számára világosan azonosítani kell az eseménykezelésben részt vevők szerepét és felelősségét.

12. Biztonsági eseménykezelési terv kialakítása

• Részletes, aktuális biztonsági eseménykezelési tervet kell készíteni.
• Ebben szerepelnie kell a kezelési struktúrának, folyamatoknak, szereplőknek és az eseménykezelés szervezeti beágyazottságának.
• A tervnek összhangban kell lennie a hatályos jogszabályokkal

Cikksorozatunkban közérthetően mutatjuk be:

·       A rendelet szerinti biztonsági osztályba sorolás logikáját

·       A 7/2024. MK rendelet kontrollcsaládjait – mit jelentenek, és hogyan érintik a cégeket

·       Mik a legfontosabb teendők a megfelelés érdekében

Kövesse oldalunkat – segítünk átlátni és alkalmazni a szabályozást, hogy vállalata biztonságban legyen és megfeleljen az elvárásoknak!

A Digitális Védelem Szakértőjeként felkészítjük Szervezetét a sikeres NIS2 (Kiberbiztonsági) auditra.

#ITbiztonság #MKrendelet #NIS2 #Kiberbiztonság #7/2024MK #Szabályozás #Compliance #VállalatiBiztonság #HNSecureIT