Széles körben egyeztették, mégis sokan elégedetlenek vele. A keretrendszert mindössze egy év alatt dolgozta ki a Fehér Ház felkérésére a NIST.

Az amerikai Nemzeti Szabványügyi és Technológiai Intézetet (National Institute of Standards and Technology – NIST) egy éve Obama elnök utasítására megkezdte egy biztonsági keretrendszer kidolgozását, amelyet iránymutatásként kívánnak használni a kritikus IT-infrastruktúrák biztosításához. Ebbe körbe tartoznak a banki, szállítási és telekommunikációs rendszerek is. A keretrendszer azonban ennél is átfogóbb.

Az előzetes kiadásokhoz, melynek bemutatásáról a Bitport is beszámolt, rengeteg észrevétel érkezett. A 41 oldalas végleges változat tartalmazza azokat az alapvető védelmi intézkedéseket, mechanizmusokat, amelyek alkalmazásával a rendszerek támadásokkal szembeni ellenálló képessége növelhető, egyben a biztonságot átláthatóvá és mérhetővé teszi.

Nesze, semmi, fogd meg jól!

Hiába volt a hosszas előzetes egyeztetés, a végeleges változatot is sok kritika éri. A legtöbben azt kifogásolják, hogy nincs tisztázva a dokumentum szerepe és célcsoportja. Mások úgy vélik, a keretrendszer túlságosan homályos megfogalmazásokat tartalmaz, és így nem képvisel igazi értéket.

Harriet Pearson biztonsági szakértő, aki maga is részt vett az iránymutatások összeállításában, azonban védte a mundér becsületét. Szerinte a keretrendszer elsősorban a felsővezetőknek szól – köztük biztonsági vezetőknek, az auditorok vezetőinek –, valamint mindazoknak, akik egy adott szervezeten belül felelnek a biztonságért. Pearson szerint a dokumentum ugyan nem tartalmaz technológiai javaslatokat, de az irányítási feladatokra és a védelmi intézkedésekre rámutat. Például választ ad egy biztonsági vezetőnek egy olyan kérdésre, amit nap mint nap fel kell tennie magának: "Honnan tudhatom, hogy amit csinálok az elégséges-e?".

Információáramlás és döntési folyamatok egy szervezeten belül
(forrás: NIST Framework for Improving Critical Infrastructure Cybersecurity)

A Qualys biztonsági vezetője, Andrew Wild is elismerően nyilatkozott a keretrendszerről. Szerinte jól összefoglalja, hogy a szervezeteknek hogyan kellene alkalmazniuk a kockázatközpontú megközelítést a biztonság fokozásához. Persze – így Wild – egy dokumentum nem csodaszer. A legtöbb biztonságért felelős szakember eddig is átlátta, hogy miként kellene megvédenie a rábízott rendszereket. A baj inkább az erőforrások hiányával van, ugyanis a felső vezetés sokszor nem biztosít megfelelő feltételeket a védelem kialakításához – véli.

Nem újdonság, hanem a különböző szabványok összehangolása

A keretrendszer meghatározza az alapvető védelmi feladatokat, és összefoglalja a megvalósítási lehetőségeket, valamint a kiberbiztonsági stratégiákhoz, tervekhez kötődő integrálási kérdéseket. A magját a kategorizált tevékenységek adják (eszközmenedzsment, hozzáférés-szabályozás, fenyegetettségelemzés stb, valamint ezek alkategóriái).

A legfontosabb feladat az azonosítás – védelem – felismerés – reagálás – helyreállítás ötösfogat. Ez az öt alaptevékenység más ajánlásoknak is kulcseleme, végső soron a NIST is ezeket a már működő és elfogadott szabványokat vette alapul, csupán annyiban próbált továbbmenni, hogy valamiféle összhangot alakítsanak ki az egyes ajánlások között. Ezért sem részletezi a keretrendszer az egyes biztonsági teendőket, csupán hivatkozik a felhasznált szabványokra.

A végeleges szöveg hangsúlyozza is: "a keretrendszer nem helyettesíti vagy cseréli le a szervezetek által jelenleg is alkalmazott üzleti vagy kiberbiztonsági kockázatmenedzsment folyamatokat, hanem sokkal inkább kiegészíti azokat.". Az új ajánlások azonban segítenek abban, hogy a szervezetek a jelenlegi folyamataik mentén azonosíthatssák a kockázatokat, és így erősíthessék a kockázatmenedzsmentet.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)

Biztonság

Űrből vezérelt reklámkampányokkal operálnak Japánban

Bejött a káposztaföldek tesztjellegű műholdas monitorozása, így várhatóan kiterjesztik a japán űrügynökség és a Dentsu marketingcég partnerségét.
 
Hirdetés

A VR szemüveg nem csak a szórakoztatóipart forradalmasítja

A virtuális valóság világa folyamatosan fejlődik. Az új technológiák és a fejlesztések segítségével a felhasználók eddig soha nem tapasztalt módon merülhetnek el a digitális élményekben. Ebben a cikkben bemutatjuk a VR szemüvegek típusait, és azt is végigvesszük, hogy milyen áttöréseket hozott a virtuális valóság az élet különböző területein.

Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.