Széles körben egyeztették, mégis sokan elégedetlenek vele. A keretrendszert mindössze egy év alatt dolgozta ki a Fehér Ház felkérésére a NIST.

Az amerikai Nemzeti Szabványügyi és Technológiai Intézetet (National Institute of Standards and Technology – NIST) egy éve Obama elnök utasítására megkezdte egy biztonsági keretrendszer kidolgozását, amelyet iránymutatásként kívánnak használni a kritikus IT-infrastruktúrák biztosításához. Ebbe körbe tartoznak a banki, szállítási és telekommunikációs rendszerek is. A keretrendszer azonban ennél is átfogóbb.

Az előzetes kiadásokhoz, melynek bemutatásáról a Bitport is beszámolt, rengeteg észrevétel érkezett. A 41 oldalas végleges változat tartalmazza azokat az alapvető védelmi intézkedéseket, mechanizmusokat, amelyek alkalmazásával a rendszerek támadásokkal szembeni ellenálló képessége növelhető, egyben a biztonságot átláthatóvá és mérhetővé teszi.

Nesze, semmi, fogd meg jól!

Hiába volt a hosszas előzetes egyeztetés, a végeleges változatot is sok kritika éri. A legtöbben azt kifogásolják, hogy nincs tisztázva a dokumentum szerepe és célcsoportja. Mások úgy vélik, a keretrendszer túlságosan homályos megfogalmazásokat tartalmaz, és így nem képvisel igazi értéket.

Harriet Pearson biztonsági szakértő, aki maga is részt vett az iránymutatások összeállításában, azonban védte a mundér becsületét. Szerinte a keretrendszer elsősorban a felsővezetőknek szól – köztük biztonsági vezetőknek, az auditorok vezetőinek –, valamint mindazoknak, akik egy adott szervezeten belül felelnek a biztonságért. Pearson szerint a dokumentum ugyan nem tartalmaz technológiai javaslatokat, de az irányítási feladatokra és a védelmi intézkedésekre rámutat. Például választ ad egy biztonsági vezetőnek egy olyan kérdésre, amit nap mint nap fel kell tennie magának: "Honnan tudhatom, hogy amit csinálok az elégséges-e?".

Információáramlás és döntési folyamatok egy szervezeten belül
(forrás: NIST Framework for Improving Critical Infrastructure Cybersecurity)

A Qualys biztonsági vezetője, Andrew Wild is elismerően nyilatkozott a keretrendszerről. Szerinte jól összefoglalja, hogy a szervezeteknek hogyan kellene alkalmazniuk a kockázatközpontú megközelítést a biztonság fokozásához. Persze – így Wild – egy dokumentum nem csodaszer. A legtöbb biztonságért felelős szakember eddig is átlátta, hogy miként kellene megvédenie a rábízott rendszereket. A baj inkább az erőforrások hiányával van, ugyanis a felső vezetés sokszor nem biztosít megfelelő feltételeket a védelem kialakításához – véli.

Nem újdonság, hanem a különböző szabványok összehangolása

A keretrendszer meghatározza az alapvető védelmi feladatokat, és összefoglalja a megvalósítási lehetőségeket, valamint a kiberbiztonsági stratégiákhoz, tervekhez kötődő integrálási kérdéseket. A magját a kategorizált tevékenységek adják (eszközmenedzsment, hozzáférés-szabályozás, fenyegetettségelemzés stb, valamint ezek alkategóriái).

A legfontosabb feladat az azonosítás – védelem – felismerés – reagálás – helyreállítás ötösfogat. Ez az öt alaptevékenység más ajánlásoknak is kulcseleme, végső soron a NIST is ezeket a már működő és elfogadott szabványokat vette alapul, csupán annyiban próbált továbbmenni, hogy valamiféle összhangot alakítsanak ki az egyes ajánlások között. Ezért sem részletezi a keretrendszer az egyes biztonsági teendőket, csupán hivatkozik a felhasznált szabványokra.

A végeleges szöveg hangsúlyozza is: "a keretrendszer nem helyettesíti vagy cseréli le a szervezetek által jelenleg is alkalmazott üzleti vagy kiberbiztonsági kockázatmenedzsment folyamatokat, hanem sokkal inkább kiegészíti azokat.". Az új ajánlások azonban segítenek abban, hogy a szervezetek a jelenlegi folyamataik mentén azonosíthatssák a kockázatokat, és így erősíthessék a kockázatmenedzsmentet.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)

Biztonság

Fél Ausztráliát letölthették egy hekkertámadásban

A kontinensnyi ország második legnagyobb telkójánál történt súlyos incidens. A vizsgálatok még tartanak, de akár 10 millió ügyfél személyes adata is illetéktelen kezekbe kerülhetett.
 
Hirdetés

Budapestre jön és munkatársakat keres az Innovecs

A cégek digitális transzformációját segítő, szédítő tempóban növekvő vállalatnál kiemelt figyelmet fordítanak a csapattagok igényeire és jólétére.

Hirdetés

A munkaerő képzése a vállalat sikerének egyik záloga

A piaci versenyben az a cég tud élen maradni, amely lépést tart a fejlődő technológiával. Ez azonban csak megfelelően képzett alkalmazottakkal lehetséges.

Ahogy megindult az IT-szakemberekért a harc a munkaerőpiacon, úgy váltak egyre szofisztikáltabbá a képzést végző intézmények szolgáltatásai.

a melléklet támogatója a Green Fox Academy

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.