Ha ez lesz az, amit be kell tartani, sokan elvérezhetnek majd. Lehet félni!
Elolvastam a tervezetet és nem mondom, hogy nem erre számítottam. Valószínűleg tükör fordítása NIST Special Publication 800-53 Revision 5 verziójának, bár nem vizsgálatam tételesen a 933 elvárást.
Ami jó hír, hogy vannak olyan kontrollpontok, ami a kitöltési útmutató szerint senkinek sem kötelező. Nem számoltam végig, de kb. 20-25%.
Bízom benne, hogy ez a hatóság is csinál belőle nekünk egy Excel-t és nem nekünk kell majd saját magunknak összeállítani.
A tartalomjegyzék és mögötte, hogy az adott csoportban hány kontroll van:
Programmenedzsment - 24 (szabályzatok)
Hozzáférés-felügyelet - 130
Tudatosság és képzés - 15
Naplózás és elszámoltathatóság - 53
Értékelés, engedélyezés és monitorozás - 27
Konfigurációkezelés - 54
Készenléti tervezés - 50
Azonosítás és hitelesítés - 51
Biztonsági események kezelése - 39
Karbantartás - 26
Adathordozók védelme - 19
Fizikai és környezeti védelem - 50
Tervezés - 12
Személyi biztonság - 14
Kockázatkezelés - 23
Rendszer- és szolgáltatásbeszerzés - 101
Rendszer- és kommunikációvédelem - 133
Rendszer- és információsértetlenség - 84
Ellátási lánc kockázatkezelése - 28
Csak párat kiemelnék:
Az alap osztályban is kell:
MFA minden rendszer admin hozzáféréshez.
Vészvilágítási rendszer.
Független energiaforrással rendelkező tűzérzékelő, illetve tűzoltó rendszer.
Meghatározott biztonságos szinten kell tartani a hőmérsékletet, a páratartalmat, a légnyomást és a sugárzást.
Viselkedési szabályok – Közösségi média és külső webhelyek, alkalmazások használatára vonatkozó korlátozások.
A jelentős és a magas osztályban kell csak:
Minden felhasználónak MFA (Multi-factor authentication) kell.
Sérülékenység vizsgálat.
Információszivárgási teszt.
Biztos van még egy pár igazán érdekes vagy szivatós kontroll, ehhez tételesen meg kell rágnunk és nem árt, ha a végleges verzióval tesszük majd ezt.
Ami látszik, és tudtuk is, hogy a 2013. L. törvény is az akkor érvényes NIST elvárások alapján készült a NIS2 végrehajtási utasítás terv.
Comments