NIS 2

1. A KOCKÁZATMENEDZSMENT KERETRENDSZER ALKALMAZÁSÁRA VALÓ FELKÉSZÜLÉS

A szervezet köteles a MK rendelet a (biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről) alapján meghatározni és dokumentumokban rögzíteni:

• az elektronikus információs rendszerei védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat és az ehhez szükséges hatásköröket,
• a kockázatmenedzsment stratégiáját, amely leírja, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat
• a védelmi intézkedések hatékonyságának folyamatos ellenőrzésére vonatkozó biztonság-felügyeleti stratégiát, amely magába foglalja a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit.

Rendszerbiztonsági terv elkészítése

Az elektronikus információs rendszerekre vonatkozóan meg kell határoznia és dokumentumban kell rögzítenie

• a rendszer által támogatandó üzleti célokat, funkciókat és folyamatokat
• a tervezésben, fejlesztésben, implementálásban, üzemeltetésben, karbantartásban, használatban és ellenőrzésben érintett személyeket
• érintett vagyonelemeket
• a rendszer szervezeti és technológiai határát
• a rendszer által feldolgozandó, tárolandó és továbbítandó adatköröket és azok életciklusát
• a rendszerrel kapcsolatos fenyegetettségből adódó biztonsági kockázatok értékelését és kezelését
• biztonsági osztályba sorolja az elektronikus információs rendszereit és beazonosítja a biztonsági osztályhoz tartozó védelmi intézkedéseket.

A rendszerbiztonsági tervet a szervezet vezetője, vagy az elektronikus információs rendszer biztonságáért felelős személy hagyja jóvá.

A szervezet köteles a védelmi intézkedések hatékonyságát folyamatosan ellenőrizni és erre vonatkozóan egy eljárásrendet kidolgozni. Ebben rangsorolja, majd végrehajtja a kiválasztott és a rendszerbiztonsági tervben dokumentált intézkedéseket. A rendszerbiztonsági tervet a védelmi intézkedések tényleges megvalósítása után mindig frissíteni szükséges.

Értékelési terv elkészítése

A szervezet köteles a megvalósított védelmi intézkedéseket értékelni

• meghatározza a védelmi intézkedések értékeléséért felelős személyeket,
• kialakítja, felülvizsgálja és jóváhagyja a megvalósított védelmi intézkedések értékelésének tervét,
• az értékelési tervben meghatározott értékelési eljárásrend alapján értékeli a védelmi intézkedéseket
• a védelmi intézkedések értékelésének dokumentálásaként elkészíti az észrevételeket és javaslatokat tartalmazó értékelési jelentését,
• az értékelési jelentésben foglalt észrevételek és javaslatok alapján a szervezet további intézkedéseket vezet be a követelmények teljesítése érdekében, majd újraértékeli a védelmi intézkedéseket, valamint intézkedési tervet készít a fennmaradó kockázatok kezelésére;

A szervezet köteles a rendszer biztonsági állapotára vonatkozó dokumentumok (rendszerbiztonsági terv, értékelési jelentés, rendszer kockázatelemzés, intézkedési terv) alapján az üzembehelyezésére vagy üzemben tartására vonatkozó kockázatokat is megvizsgálni és figyelemmel kísérni az elektronikus információs rendszerben vagy a működési környezetében bekövetkezett, a rendszer biztonsági helyzetét befolyásoló változásokat és ennek alapján frissíti a vonatkozó dokumentumokat.

A szervezet köteles rendszeresen felülvizsgálni az elektronikus információs rendszer biztonsági állapotát, hogy megbizonyosodjon arról, hogy az azonosított kockázatok elfogadhatók-e a szervezet számára és biztosítani, hogy a rendszer élesüzemből való kivonására vonatkozó terv tartalmazza a felmerülő kockázatok kezeléséhez tartozó intézkedéseket.

2. IT BIZTONSÁGI RENDSZEREK FELÜLVIZSGÁLATA, KOCKÁZATELEMZÉS, INCIDENSKEZELÉSI ELJÁRÁSOK KIALAKÍTÁSA, DOKUMENTÁLÁS

A szervezet köteles az MK rendelet alapján a kockázatelemzést elvégezni és intézkedési tervben kidolgozni a kockázatok kezelésének folyamatát az alábbi szempontok szerint:

1) azonosítja és dokumentálja az elektronikus információs rendszer és az általa feldolgozott adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket (lásd: 3. melléklet: Fenyegetések katalógusa).

2) meghatározza azokat a körülményeket, amelyek valószínűsíthetik a szervezeti vagyonelemek, személyek, vagy más szervezetek számára a fenyegetettséget, valamint meghatározza az ellenintézkedések körét.

3) meghatározza a fenyegetések szervezeti vagyonelemekre, személyekre, vagy más szervezetekre vonatkozó lehetséges káros hatásait és azok mértékét.

4) meghatározza a fenyegetések káros hatásainak és azok bekövetkezésének valószínűsége alapján az eredő kockázatokat, valamint legalább négy fokozatú skálán („alacsony”, „közepes”, magas”, „kritikus”) azok mértékét (kockázati kategória).

5) dokumentálja és a szervezeti döntéshozók számára kommunikálja a kockázatelemzés eredményét, valamint biztosítja a kockázatelemzési folyamat során keletkezett információk megosztását az arra jogosultakkal.

6) A szervezet eldönti és dokumentumban rögzíti, hogy az egyes kockázatok kezelése érdekében az alábbiak közül egyenként mely intézkedést alkalmazza:

• kockázat elkerülése
• kockázat csökkentése védelmi intézkedések kialakításával és működtetésével
• kockázat áthárítása vagy megosztása harmadik felekkel
• kockázat felvállalása.

A szervezetnek eldöntheti, hogy kizárólag a legalacsonyabb kockázati kategóriába eső kockázatok esetén alkalmaz részletes indoklás nélkül kockázatfelvállalást. Az ennél magasabb kategóriába eső kockázatok esetén az egyes kockázatok felvállalását a szervezet vezetője vagy a kockázatok kezeléséért felelős szerepkört betöltő személy kockázatonként történő indoklás mellett hagyja jóvá.

A kockázatelemzés eredményét a szervezet az elektronikus információs rendszer biztonsági osztálya megállapításánál használja fel.

A szervezet köteles a kockázatcsökkentő védelmi intézkedéseket folyamatosan nyomon követni, felügyelni, értékelni és a kockázatelemzési dokumentumait folyamatosan frissíteni, naprakészen tartani.

3. IT BIZTONSÁGI SZABÁLYZATOK ELKÉSZÍTÉSE

A szervezet köteles az alábbi IT biztonsági szabályzatokat elkészíteni minden általa üzemeltetett EIR-re vonatkozóan (MK rendelet 2. számú melléklete alapján)

1. Programmenedzsment
2. Hozzáférés felügyelet
3. Tudatosság és képzés
4. Naplózás és elszámoltathatóság
5. Értékelés, engedélyezés és monitorozás
6. Konfigurációkezelés
7. Készenléti tervezés
8. Azonosítás és hitelesítés
9. Biztonsági események kezelése
10. Karbantartás
11. Adathordozók védelme
12. Fizikai és környezeti védelem
13. Tervezés
14. Személyi biztonság
15. Kockázatkezelés
16. Rendszer- és szolgáltatásbeszerzés
17. Rendszer- és kommunikációvédelem
18. Rendszer- és információsértetlenség
19. Ellátási lánc kockázatkezelése

4. TUDATOSÍTÓ OKTATÁSOK

A szervezet köteles a MK rendelet a (biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről) alapján meghatározott rendszerességgel általános biztonságtudatosító képzéseket szervezni a rendszer felhasználói számára, beleértve a vezetőket, felsővezetőket és a szerződéses partnereket. Ezen túlmenően az érintett szervezetnek szerepkör alapú biztonságtudatosító képzést is kell biztosítania a felhasználók részére, mindezt az EIR-hez vagy az információhoz való hozzáférés engedélyezését vagy a kijelölt feladat végrehajtását megelőzően, továbbá azt követően a szervezet által meghatározott rendszerességgel.

5. PARTNEREK, BESZÁLLÍTÓK, SZOLGÁLTATÓK LISTÁJÁNAK ELKÉSZÍTÉSE

A szervezet köteles az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában, valamint az oktatásban közreműködőkről (partner, beszállító, szolgáltató stb.) nyilvántartást vezetni.

A szervezet ebben köteles azonosítani, rangsorolni és értékelni a beszállítókat, amelyek a szervezet működése szempontjából kritikus technológiákat, termékeket és szolgáltatásokat szállítanak a szervezet alapvető feladatainak ellátásához.

A Sicontact Kft. az ESET és a Safetica termékeivel partnerként támogatja Önt a NIS2 megfelelésben!