Napjainkban az összekapcsolt és egymástól kölcsönösen függő (interdependens) információs rendszerek és eszközök korszakát éljük, melyben az egyik legfontosabb kérdés a kiberbiztonság megteremtése és a magánélet megfelelő védelme. Az Amerikai Egyesült Államok, mint kiberbiztonsági nagyhatalom, felismerve a kritikus infrastruktúrákat és információs rendszereket érintő és veszélyeztető kiberfenyegetéseket, létrehozta a Nemzeti Szabványügyi és Technológiai Intézet által kiadott NIST 800-53 szabványt, mely tartalmazza a legfontosabb kiberbiztonsági kontrollokat, intézkedéseket. Az NIST 800-53 szabvány nemcsak az Amerikai Egyesült Államokban, hanem az egész világon elterjedt és alkalmazott szabvánnyá vált, mely olyan védelmi kontrollokat tartalmaz, mely intézkedések bevezetése egy erős információbiztonsági szintet biztosít a szervezetek számára.

Hazai vonatkozás

Az Állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (EIR tv.) és annak végrehajtási rendelete, a 41/2015. (VII.15.) BM rendelet a NIST 800-53 szabványra épül. A jogszabályok célja, hogy az állami és önkormányzati szervek elektronikus információs rendszereiben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása biztosított legyen.

A NIS2 irányelv hazai implementációja szintén a 800-53 alapjaira, immáron az 5. felülvizsgált változatára épül, így a korábbi jogszabályok is felülvizsgálaton fognak átesni. A témában megjelent korábban bejegyzésünk: NIS2 Információk az új követelményekről; Az új kiberbiztonsági törvény – és minden amit tudnod kell róla.

Tekintsd meg NIS2-vel foglalkozó weboldalunkat további hasznos információkért: kibertanusitas.hu

Security and Privacy Controls for Information Systems and Organizations

A (US) Nemzeti Szabványügyi és Technológiai Intézet (NIST) széles körben ismert és nagy tekintélynek örvendő hatóság, mely nyilvánosan elérhető útmutatást kínál a kiberbiztonság területén, segítséget nyújt a megfelelés egységes megközelítésének kialakításában a szervezetek széles köre számára. 

Az NIST 800-53 szabvány, immáron 5. felülvizsgált verziója számos más szabvánnyal és keretrendszerrel együtt is alkalmazható (pl.: ISO/IEC 27001, NIST 800-37, ITIL stb.), ezáltal nagyfokú rugalmasságot és kompatibilitást biztosít. Az NIST 800-53 szabványnak eddig 5 változata jelent meg. A szabvány 5. kiadásának legfőbb célja biztosítani a kiberbiztonsági és adatvédelmi keretrendszer naprakészen tartását, valamint a kiberbiztonság proaktív és szisztematikus megközelítését. A szabvány 5-ös verziója jelentős módosításon ment át mind strukturális, mind tartalmi szempontból egyaránt. A szabvány e változata kiszélesíti a keretrendszer alkalmazhatóságának körét, amelyben megfogalmazott védelmi intézkedések bármilyen típusú rendszerre alkalmazhatóak és testre szabhatóak. A szabvány bármilyen méretű, illetve profilú szervezet számára adaptálható, mely nagymértékű rugalmasságot biztosít a szervezetek számára. 

Új kontrollcsaládok

A szabvány új változata kettő biztonsági és egy új adatvédelmi kontrollcsaládot vezet be. A két új biztonsági kontrollcsalád a Program Management (PM) and Supply Chain Risk Management (SR). A Program Management (PM) kontrollcsalád 33 darab támogató és 3 db funkcióbővítő, míg a Supply Chain Risk Management (SR) kontrollcsalád 11 darab támogató és 14 darab funkcióbővítő intézkedést tartalmaz. Az új adatvédelmi kontrollcsalád a Processing and Transparency (PT) 9 darab új kontrollt, valamint 12 darab funkcióbővítő intézkedést tartalmaz. A Processing and Transparency (PT) kontrollcsalád nem része a biztonsági kontrolloknak, ezért önálló kontrollcsaládként kell azt kezelni és alkalmazni. Mivel a technológia és az ehhez kapcsolódó fenyegetések, sérülékenységek rohamos ütemben fejlődnek, elengedhetetlen, hogy a szervezetek robosztus és naprakész védelmi keretrendszert alakítsanak ki. A dinamikusan változó és fejlődő fenyegetettségi környezetben erősíteni és fejleszteni kell az információs rendszerek rugalmas ellenálló képességét, valamint biztosítani kell az információs rendszerek helyreállíthatóságát, rugalmasságát. 

A szabvány összesen így 20 darab kontrollcsaládot tartalmaz, amelyek a következőek: 

• Access Control;
• Awareness and Training;
• Audit and Accountability;
• Assessment, Authorization and Monitoring;
• Configuration Management;
• Contingency Planning;
• Identification and Authorization;
• Incident Response;
• Maintenance;
• Media Protection;
• Physical and Environmental Protection;
• Planning;
• Program Management;
• Personnel Security;
• Personally Identifiable Information Processing and Transparency;
• Risk Assessment;
• System and Services Acquisition;
• System and Communications Protection;
• System and Information Integrity;
• Supply Chain Risk Management. 

Ezek a kontrollcsaládok egy átfogó és részletes keretrendszert biztosítanak a szervezetek számára, melyek tartalmaznak adminisztratív, logikai és fizikai védelmi intézkedéseket egyaránt. 

Segédlet a bevezetéshez

Az NIST legújabb verziójával egyidőben került kiadásra az NIST 80053B kiadvány, mely dokumentum segít a szervezeteknek az alapszabályok kialakításában. A 800-53B dokumentum kiindulópontot biztosít a szervezetek számára az információs rendszerek megfelelő védelméhez. Az alapszabályokkal kapcsolatban 3 hatás került meghatározásra kritikusságuk alapján: alacsony, mérsékelt, nagy. Az alacsony hatás bekövetkezése esetén az korlátozottan káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül. Mérsékelt hatás esetén súlyos káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül. Nagy hatás esetén pedig súlyos vagy katasztrofális káros hatással lehet a műveletekre, az eszközökre vagy az egyénekre, ha a titoktartás, az integritás vagy a rendelkezésre állás veszélybe kerül. 

Összefoglalóan a változásokról

Az NIST 800-53 5-ös verziója összefoglalóan az alábbi változásokat eredményezte:

• A védelmi intézkedések eredményalapúbbá tétele a kontroll teljesítéséért felelős entitás (pl.:szervezet) eltávolításával az ellenőrzési nyilatkozatból;
• az információbiztonsági és adatvédelmi kontrollok integrálása egy robosztus ellenőrzési katalógusba a szervezetek számára;
• kontroll kiválasztási folyamat elkülönítése a kontrolloktól, mely által lehetővé válik, hogy a védelmi intézkedéseket különböző profilú szervezetek, személyek alkalmazhassák (pl.: rendszermérnök, szoftverfejlesztő, vállalkozás tulajdonos stb.);
• a követelmények és a kontrollok közötti kapcsolat, valamint a biztonsági és adatvédelmi ellenőrzések közötti kapcsolat tisztázása;
• új, korszerű és aktualizált védelmi intézkedések beépítése (pl. a rugalmas ellenállóképesség támogatása, a biztonságos rendszertervezés támogatása, valamint a biztonsági és adatvédelmi irányítás és elszámoltathatóság megerősítése) a legújabb fenyegetések és kockázatok felmérése alapján.

Az NIST 800-53 5-ös verziója nemcsak egy átfogó és könnyedén alkalmazható keretet biztosít a legújabb kiberbiztonsági kihívások, kockázatok kezelésére, hanem nyomatékosítja az adatvédelem és az ellátási lánc fontosságát, jelentőségét. A NIST 800-53 5-ös verziójának megjelenésével a jelenleg az NIST 800-53 4-es verzióját alkalmazó szervezeteknek fel kell készülniük el kell kezdeniük az új szabványra történő átállást, valamint a hiányosságok azonosítását a legújabb kockázatok, fenyegetések elleni kitettségük mérséklése érdekében.