NIS2 MEGFELELÉS

Az információbiztonsági menedzsment tevékenyég középpontjában a megfelelő kiberbiztonsági folyamatok és rendszerek kiépítése, működtetése és folyamatos fejlesztése, valamint az ehhez szükséges szakértői erőforrás biztosítása áll. A NIS2 és a Kibertan. tv. előírja az információbiztonsági felelős (IBF) kijelölését az érintett szervezeteknél, azonban a szolgáltatás keretében biztosított tanácsadóink – a jogszabály által elvárt IBF tevékenységen túl - az információbiztonsági menedzsment tevékenység által szervezete teljes kiberbiztonsági védelmét átfogó menedzsment támogatást nyújthatnak, amellyel hozzájárulhatnak szervezete kiberbiztonsági érettségi szintjének növeléséhez.

Javasolt az érintett szervezetek számára sérülékenység vizsgálat és penetrációs teszt elvégzése. A teszt során az etikus hackerek olyan hibákat, sérülékenységeket keresnek, amivel egy rosszindulatú támadó vissza tud élni. Egy hagyományos vizsgálatnak nem célja az egyes hibák kiaknázása, csupán a hibák valódiságát állapítják meg. A penetrációs teszt ezzel szemben egy hacker támadás szimulációja. A tesztelés korai szakasza hasonló a sérülékenység vizsgálathoz, a tesztelő sérülékenységeket keres, ám a penetrációs tesztnek mindig van egy adott célja, például rendszer szintű jogosultságok szerzése, hozzáférés vállalati mail szerverhez vagy adatbázisokhoz. Az etikus hacker a vizsgálat során kiaknázza a talált sérülékenységet és behatol a rendszerbe, majd próbálja végrehajtani az adott feladatot. A jogszabályi elvárásoknak történő megfelelés érdekében valamennyi szervezet köteles olyan sérülékenységmenedzsment folyamatot kialakítani, amely biztosítja az elektronikus információs rendszerek védelmét. A folyamat lépéseinek nemcsak a sérülékenységek azonosítását kell magában foglalnia, hanem a felderített sérülékenységek javítását és a javítások ellenőrzésére is ki kell terjednie.

Megoldásaink hatékony támogatást nyújtanak a krízishelyzetek megelőzésében, a felkészülésben és egy esetlegesen bekövetkező krízishelyzet kezelésében is. A tervezés alapja és fókusza általában a vizsgált szervezet kritikus folyamatai. Az általunk kialakított akciótervek olyan intézkedéseket tartalmaznak, amelyek elősegítik, hogy a legfontosabb üzleti folyamatok megszakítás nélkül menjenek végbe, vagy maximálisan csak annyi időre esnek ki, amennyit a szervezet még jelentős veszteségek nélkül képes elviselni. Az üzletmenet-folytonossági tervek kidolgozása során elengedhetetlen a tevékenységek és feladatok meghatározása, melyek az esetleges hibák és zavarok kezelésére, elhárítására és katasztrófa utáni gyors helyreállítására irányulnak.

Az információbiztonság alapelve, hogy a biztonság szintjét a legsebezhetőbb pont alapján kell meghatározni, amely az esetek többségében maga az ember. Egy szervezet alkalmazottja figyelmetlenségből vagy információbiztonsági tudatosság hiányából egy technológia szempontból jól védett rendszert is képesek kompromittálhatóvá tenni. A Kibertan. tv. az érintett szervezetek számára előírja a szervezet munkatársai rendszeres információbiztonsági képzését és ismereteik szinten tartását. A gyakorlatorientált, szerepkörökre igazított tudatosító szolgáltatás-csomagjainkkal a jogszabály biztonságtudatosságra vonatkozó követelményeit szervezete teljesítheti és magas színvonalú oktatást, tananyagot és szoftveres megoldást is tudunk biztosítani.

A NIS2 megfelelés egyik alapköve az információbiztonsági események és incidensek megfelelő, jogszabályban előírt menedzsmentje, azaz ezen fenyegetések megfelelő időben történő észlelése, kezelése, valamint jelentése. A jól kidolgozott, felelősségi körök szerint elhatárolt és átgondolt folyamatok mentén történő incidenskezelés a jogszabályi megfelelésen túl segít a károk minimalizálásában és a későbbi incidensek elkerülésében. Ezen tevékenység ellátásában a 4iG Csoport szakemberei többéves tapasztalattal rendelkeznek és a kialakított folyamatainkkal a jogszabályi előírásoknak is megfelelő szolgáltatást nyújtunk. Az incidenskezelési folyamat kidolgozásában és az eljárásrend megalkotásában figyelembe vesszük szervezete adottságait, az aktuális kiberbiztonsági trendeket és piaci jó gyakorlatokat. Az így kidolgozott folyamat önmagában is segíti az érintett szervezetet, hogy valós védelmi intézkedéseket alkalmazzon. Szakembereink által nyújtott incidensmenedzsment szolgáltatással ügyfeleink számára teljeskörű megoldást tudunk biztosítani az incidens észlelésétől a reagáláson keresztül a megoldásig.

A megfelelő hozzáférés- és jogosultságmenedzsment tevékenységgel számos kiberbiztonsági kockázat csökkenthető és biztosítható az üzleti adatok védelme. A jogosultsági életciklus menedzsmentje elengedhetetlen annak érdekében, hogy szervezete teljesítse a jogosultság szabályozási igényeket és megfeleljen a NIS2 által támasztott elvárásoknak is. A folyamatosan jelen lévő jogosultsági kockázatok állandó kihívásokat támasztanak, melyre tanácsadóinkkal együttműködve az érintett szervezetek jogosultság-kezelési stratégia létrehozásával hosszútávú megoldást találhatnak. Szolgáltatásaink célja kialakítani azokat a folyamatokat, amelyek elengedhetetlenek a felhasználói jogosultságok és az információhoz való hozzáférés kezeléséhez.

A NIS2 irányelv az ellátási láncok és a beszállítói kapcsolatok biztonságával is foglalkozik azáltal, hogy előírja az egyes érintett szervezetek számára, hogy kezeljék az ellátási láncok és a beszállítói kapcsolatok kiberbiztonsági kockázatait. A jogi elvárásoknak való megfelelésen túl is érdemes az érintett szervezeteknek foglalkozni a témakörrel, mivel jelentős károkat okozhat, ha egy beszállítónál valamilyen fennakadás adódik. Az ellátási láncok biztonságának alappillére az üzletmenet-folytonosság biztosítása, a kommunikációs csatornák felügyelte, a sebezhetőségek javítása, az incidensek megfelelő időben történő észlelése és kezelése, valamint a felhasználók biztonságtudatosságának növelése.