Napjainkban az összekapcsolt és egymástól kölcsönösen függő (interdependens) információs rendszerek és eszközök korszakát éljük, melyben az egyik legfontosabb kérdés a kiberbiztonság megteremtése és a magánélet megfelelő védelme. Az Amerikai Egyesült Államok, mint kiberbiztonsági nagyhatalom, felismerve a kritikus infrastruktúrákat és információs rendszereket érintő és veszélyeztető kiberfenyegetéseket, létrehozta a Nemzeti Szabványügyi és Technológiai Intézet által kiadott NIST 800-53 szabványt, mely tartalmazza a legfontosabb kiberbiztonsági kontrollokat, intézkedéseket. Az NIST 800-53 szabvány nemcsak az Amerikai Egyesült Államokban, hanem az egész világon elterjedt és alkalmazott szabvánnyá vált, mely olyan védelmi kontrollokat tartalmaz, mely intézkedések bevezetése egy erős információbiztonsági szintet biztosít a szervezetek számára.
Hazai vonatkozás
Az Állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (EIR tv.) és annak végrehajtási rendelete, a 41/2015. (VII.15.) BM rendelet a NIST 800-53 szabványra épül. A jogszabályok célja, hogy az állami és önkormányzati szervek elektronikus információs rendszereiben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása biztosított legyen.
A NIS2 irányelv hazai implementációja szintén a 800-53 alapjaira, immáron az 5. felülvizsgált változatára épül, így a korábbi jogszabályok is felülvizsgálaton fognak átesni. A témában megjelent korábban bejegyzésünk: NIS2 Információk az új követelményekről; Az új kiberbiztonsági törvény – és minden amit tudnod kell róla.
Tekintsd meg NIS2-vel foglalkozó weboldalunkat további hasznos információkért: kibertanusitas.hu
Security and Privacy Controls for Information Systems and Organizations
A (US) Nemzeti Szabványügyi és Technológiai Intézet (NIST) széles körben ismert és nagy tekintélynek örvendő hatóság, mely nyilvánosan elérhető útmutatást kínál a kiberbiztonság területén, segítséget nyújt a megfelelés egységes megközelítésének kialakításában a szervezetek széles köre számára.
Az NIST 800-53 szabvány, immáron 5. felülvizsgált verziója számos más szabvánnyal és keretrendszerrel együtt is alkalmazható (pl.: ISO/IEC 27001, NIST 800-37, ITIL stb.), ezáltal nagyfokú rugalmasságot és kompatibilitást biztosít. Az NIST 800-53 szabványnak eddig 5 változata jelent meg. A szabvány 5. kiadásának legfőbb célja biztosítani a kiberbiztonsági és adatvédelmi keretrendszer naprakészen tartását, valamint a kiberbiztonság proaktív és szisztematikus megközelítését. A szabvány 5-ös verziója jelentős módosításon ment át mind strukturális, mind tartalmi szempontból egyaránt. A szabvány e változata kiszélesíti a keretrendszer alkalmazhatóságának körét, amelyben megfogalmazott védelmi intézkedések bármilyen típusú rendszerre alkalmazhatóak és testre szabhatóak. A szabvány bármilyen méretű, illetve profilú szervezet számára adaptálható, mely nagymértékű rugalmasságot biztosít a szervezetek számára.
Új kontrollcsaládok
A szabvány új változata kettő biztonsági és egy új adatvédelmi kontrollcsaládot vezet be. A két új biztonsági kontrollcsalád a Program Management (PM) and Supply Chain Risk Management (SR). A Program Management (PM) kontrollcsalád 33 darab támogató és 3 db funkcióbővítő, míg a Supply Chain Risk Management (SR) kontrollcsalád 11 darab támogató és 14 darab funkcióbővítő intézkedést tartalmaz. Az új adatvédelmi kontrollcsalád a Processing and Transparency (PT) 9 darab új kontrollt, valamint 12 darab funkcióbővítő intézkedést tartalmaz. A Processing and Transparency (PT) kontrollcsalád nem része a biztonsági kontrolloknak, ezért önálló kontrollcsaládként kell azt kezelni és alkalmazni. Mivel a technológia és az ehhez kapcsolódó fenyegetések, sérülékenységek rohamos ütemben fejlődnek, elengedhetetlen, hogy a szervezetek robosztus és naprakész védelmi keretrendszert alakítsanak ki. A dinamikusan változó és fejlődő fenyegetettségi környezetben erősíteni és fejleszteni kell az információs rendszerek rugalmas ellenálló képességét, valamint biztosítani kell az információs rendszerek helyreállíthatóságát, rugalmasságát.
A szabvány összesen így 20 darab kontrollcsaládot tartalmaz, amelyek a következőek:
- Access Control;
- Awareness and Training;
- Audit and Accountability;
- Assessment, Authorization and Monitoring;
- Configuration Management;
- Contingency Planning;
- Identification and Authorization;
- Incident Response;
- Maintenance;
- Media Protection;
- Physical and Environmental Protection;
- Planning;
- Program Management;
- Personnel Security;
- Personally Identifiable Information Processing and Transparency;
- Risk Assessment;
- System and Services Acquisition;
- System and Communications Protection;
- System and Information Integrity;
- Supply Chain Risk Management.
Ezek a kontrollcsaládok egy átfogó és részletes keretrendszert biztosítanak a szervezetek számára, melyek tartalmaznak adminisztratív, logikai és fizikai védelmi intézkedéseket egyaránt.
Segédlet a bevezetéshez
Az NIST legújabb verziójával egyidőben került kiadásra az NIST 80053B kiadvány, mely dokumentum segít a szervezeteknek az alapszabályok kialakításában. A 800-53B dokumentum kiindulópontot biztosít a szervezetek számára az információs rendszerek megfelelő védelméhez. Az alapszabályokkal kapcsolatban 3 hatás került meghatározásra kritikusságuk alapján: alacsony, mérsékelt, nagy. Az alacsony hatás bekövetkezése esetén az korlátozottan káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül. Mérsékelt hatás esetén súlyos káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül. Nagy hatás esetén pedig súlyos vagy katasztrofális káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül.
Összefoglalóan a változásokról
Az NIST 800-53 5-ös verziója összefoglalóan az alábbi változásokat eredményezte:
- A védelmi intézkedések eredményalapúbbá tétele a kontroll teljesítéséért felelős entitás (pl.:szervezet) eltávolításával az ellenőrzési nyilatkozatból;
- az információbiztonsági és adatvédelmi kontrollok integrálása egy robosztus ellenőrzési katalógusba a szervezetek számára;
- kontroll kiválasztási folyamat elkülönítése a kontrolloktól, mely által lehetővé válik, hogy a védelmi intézkedéseket különböző profilú szervezetek, személyek alkalmazhassák (pl.: rendszermérnök, szoftverfejlesztő, vállalkozás tulajdonos stb.);
- a követelmények és a kontrollok közötti kapcsolat, valamint a biztonsági és adatvédelmi ellenőrzések közötti kapcsolat tisztázása;
- új, korszerű és aktualizált védelmi intézkedések beépítése (pl. a rugalmas ellenállóképesség támogatása, a biztonságos rendszertervezés támogatása, valamint a biztonsági és adatvédelmi irányítás és elszámoltathatóság megerősítése) a legújabb fenyegetések és kockázatok felmérése alapján.
Az NIST 800-53 5-ös verziója nemcsak egy átfogó és könnyedén alkalmazható keretet biztosít a legújabb kiberbiztonsági kihívások, kockázatok kezelésére, hanem nyomatékosítja az adatvédelem és az ellátási lánc fontosságát, jelentőségét. A NIST 800-53 5-ös verziójának megjelenésével a jelenleg az NIST 800-53 4-es verzióját alkalmazó szervezeteknek fel kell készülniük el kell kezdeniük az új szabványra történő átállást, valamint a hiányosságok azonosítását a legújabb kockázatok, fenyegetések elleni kitettségük mérséklése érdekében.
