Egy közös vonás, amely kiemelkedik, amikor a Cisco hálózati routerekről és kapcsolókról beszélünk: a híres Internetwork Operating System (IOS). Ez az erőteljes "motor" az, ami ezeket az eszközöket hajtja, biztosítva…

A mesterséges intelligencia, a virtuális valóság, a készpénzmentes fizetések, a dolgok internete és sok más információtechnológiai ág naponta növekszik.

Növekedésükkel és terjeszkedésükkel új fenyegetési vektorok és sebezhetőségek jelennek meg a kiber térben. A 2022-es kiberbiztonsági trendekről szóló jelentésében a Világgazdasági Fórum kijelentette, hogy “ahogy a digitalizáció tovább terjed és új technológiák kerülnek bevezetésre, a kockázat elkerülhetetlenül növekedni fog”. Felméréseik alapján megjegyezték, hogy “bár a köz- és magánszektor […] elkötelezett a magasabb kiberreziliencia elérése iránt, erőfeszítéseiket gyakran különféle […] szabályozási akadályok hátráltatják”.

A szabályozási követelmények megértése valójában nagy akadályt jelenthet a vállalatok számára, különösen azok számára, akik nemzetközi szintre kívánnak lépni. Az alábbi cikkekben áttekintést nyújtunk arról, hogyan közelítsük meg a kiberbiztonsági szabályozásokat, melyek a leggyakoribbak és hogyan közelítsük meg őket.

II. Szabályozások és szabványok

2005-ben a Nemzetközi Távközlési Egyesület tanulmányt végzett a nemzeti szintű kiberbiztonsági kezdeményezésekről 14 nagy világgazdaságban és közel 30 iparágban. Becsléseik szerint több mint 174 kezdeményezés volt aktív, amelyek jövőbeli politikákhoz vezethettek volna. Ma, a világszerte jelen lévő szabályozások és szabványok száma alapján valószínű, hogy a világszerte érvényben lévő kiberbiztonsági politikák minimális száma ezrekben mérhető.

Azonban fontos megérteni a különbséget a szabályozások és szabványok között, mivel a szervezeteket kötelezhetik az egyik vagy mindkettő betartására. A kiberbiztonsági szabályozás egy jogilag kötelező érvényű szabály (vagy szabályok halmaza), amelyet egy szervezetnek követnie kell. E szabályozásoknak való megfelelés kötelező, és a nem megfelelés esetén a szervezetek büntetésekkel, például pénzbírságokkal vagy jogi lépésekkel nézhetnek szembe a kormányzati szervek részéről.

Másrészt a kiberbiztonsági szabvány egy iránymutatások vagy bevált gyakorlatok halmaza, amelyet egy szervezet követhet a kiberbiztonsági helyzetének javítása érdekében. E szabványoknak való megfelelés önkéntes, de követésük segíthet a szervezeteknek bemutatni ügyfeleik, partnereik és szabályozóik számára a kiberbiztonsági helyzetük következetességét.

In summary, regulations are legally binding and enforceable by law while standards are not. However, as standards are more frequently updated, being compliant with a standard can help an organization comply with a regulation. Additionally, given that regulations usually have broader scope, compliance with standards specific to an organization’s sector can help it stand out from competitors.

Therefore, depending on an organization’s activity, it may need to comply with a specific standard or regulation. However, it is safe to assume that any modern business must comply with data protection and cybersecurity. For this reason, I have summarized key points from two regulations in Europe and two commonly requested standards across companies worldwide: the General Data Protection Regulation (GDPR), the Network and Information Systems (NIS) Directive, ISO 27k, and the National Institute of Standards and Technology (NIST).

Szabályozások és szabványok megértése

Ha nem ismeri az összes fent említett politikát, rövid bevezetést adok négy közülük:

• GDPR (Általános Adatvédelmi Rendelet): Ez az EU rendelete, amely a személyes adatok védelmét és az egyének jogait szabályozza a személyes adataikkal kapcsolatban. Alkalmazandó bárkire, aki EU állampolgárok személyes adatait kezeli, függetlenül attól, hogy hol található. Ez azt jelenti, hogy bárki, aki európai állampolgárok személyes adatait kezeli, köteles betartani a GDPR-t. A GDPR cikkei többek között szabályozzák a személyes adatok védelmére hozott intézkedéseket, az adatvédelmi tisztviselő kinevezését, valamint az adatvédelmi incidensek kezelésének és jelentésének folyamatát.
• NIS Irányelv (Hálózati és Információs Rendszerek Irányelv): Ez az EU irányelve, amely az alapvető infrastruktúra és alapvető szolgáltatások biztonsági alapvonalának biztosítására összpontosít Európa-szerte. Az irányelv követése érdekében minden kritikus iparágban működő vállalatnak (például energia, közlekedés és egészségügy) és digitális szolgáltatóiknak (például keresőmotorok és felhőszolgáltatások) megfelelő biztonsági intézkedéseket kell bevezetniük. Ezenkívül az irányelv megköveteli az EU tagállamaitól, hogy rendelkezzenek nemzeti kiberbiztonsági stratégiákkal és incidenskezelési tervekkel, amelyek legalább egyenlőek vagy szélesebbek, mint a NIS Irányelv. Ez azt jelenti, hogy az összes EU államnak olyan szabályozásokat kell bevezetnie, amelyeknek legalább a NIS Irányelv összes tárgyát le kell fedniük, de lehetnek (és kell is lenniük) kiterjedtebbek.
• ISO 27000 szabvány a kiberbiztonságra: Más néven ISO 27k, ez egy nemzetközi szabvány, amely egy információbiztonsági irányítási rendszer (ISMS) keretrendszerét vázolja fel. Szisztematikus megközelítést biztosít az érzékeny vállalati információk kezelésére, hogy azok biztonságban maradjanak. Magában foglal egy sor szabályzatot és eljárást, amelyeket a szervezetek használhatnak a bizalmas adataik védelmére, valamint iránymutatásokat a kockázatkezeléshez és a megfeleléshez.
• NIST (National Institute of Standards and Technology) cybersecurity Framework: NIST is a U.S. government agency that publishes a wide range of cybersecurity standards, guidelines, and best practices. NIST’s Cybersecurity Framework provides a risk-based approach to managing cybersecurity. The Standard is structured by detailing five core courses of action to be compliant: Identify, Protect, Detect, Respond, and Recover.

A GDPR, a NIS Irányelv, az ISO 27k és a NIST mind a kiberbiztonsággal és az adatvédelemmel foglalkoznak. Bár terjedelemben és követelményekben eltérhetnek, egy közülük való foglalkozás kulcsfontosságú lépés lehet a többiek eléréséhez. Például:

• Ha az ISO 27k-t és a NIST-et vesszük, láthatjuk, hogy mindkét szabvány széles körben elfogadott és elismert bevált gyakorlatként a kiberbiztonság terén. Azonban az ISO 27k egy folyamat-alapú szabvány, amely iránymutatásokat nyújt az érzékeny vállalati információk kezelésére. Másrészt a NIST egy kockázat-alapú megközelítésre épül, és célja a kiberbiztonsági sebezhetőségekből eredő kockázatok azonosítása, kezelése és csökkentése.
• Ha a NIS Irányelvet és a GDPR-t vesszük, láthatjuk, hogy útmutatást és követelményeket nyújtanak a kiberbiztonsági helyzet javítására. Valójában a kettő bizonyos szempontokban átfedi egymást. Azonban meg kell jegyezni, hogy a GDPR célja a személyes adatok védelme minden szinten, míg a NIS Irányelv célja az információbiztonsággal kapcsolatos összes szempont útmutatása, de csak iparág-specifikus terjedelemben.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

Hogyan kezeljük a megfelelést a szabályzatokkal és szabályozásokkal? Kihívások és megoldások

Az említett politikák végrehajtása jogi követelmények vagy egy közelgő audit miatt szükséges lehet. Lehet, hogy változtatásokat kell végrehajtania a folyamataiban és struktúrájában, hogy megfeleljen a vonatkozó politikának. Azonban mielőtt ezt megtenné, van néhány általános lépés, amelyeket megtehet az ezekre való felkészülés érdekében:

• Leltár és eszközkezelés: A szervezetek általában felmérik jelenlegi rendszereiket, folyamataikat és eljárásaikat, hogy meghatározzák megfelelőségi szintjüket. Ez magában foglalja a nem megfelelőség ismert területeinek és a jelenlegi infrastruktúrájukban ismert kockázatok és sebezhetőségek azonosítását.
• Képzés és kommunikáció: Az erőforrások felkészítése a közelgő változásokra kulcsfontosságú annak biztosítása érdekében, hogy mindenki a szervezetében megértse a szükséges változásokat. Egy audit vagy infrastruktúra frissítés zavarokat okozhat, és szükségessé teheti az alkalmazottak számára új készségek elsajátítását. Ezeknek az ügyeknek a tudatossága segíthet időt megtakarítani a prioritások meghatározásában és a lehetséges megoldások tervezésében.
• Harmadik fél és szállítókezelés: Ez egy gyakran figyelmen kívül hagyott szempont. Valószínűleg részletes és frissített leltárra lesz szükség a szállítókról a legtöbb szabvány és szabályozásnak való megfelelés biztosítása érdekében. Még ha egy politika közvetlenül nem is foglalkozik egy harmadik féllel, mégis közvetetten változtatásokat követelhet meg a külső szolgáltatókkal kötött megállapodások feltételeiben.
• Hiányosság elemzés: Ha egy szabályozásnak vagy szabványnak való megfelelést ellenőriz, fontos, hogy felkészüljön egy hiányosság elemzés elvégzésére, hogy azonosítsa azokat a területeket, ahol kritikus módosításokra van szükség. Ez az első lépés a megfelelés felé, és a legjobb, ha külső tanácsadók végzik, akiknek speciális ismereteik vannak az elérni kívánt megfelelésről.

Összefoglalva, a szabályozásoknak és szabványoknak való megfelelés nehéz és költséges lehet. Lehet, hogy külső tanácsadókra kell támaszkodnia a megfelelés eléréséhez, ha nincs meg a szükséges belső kompetencia. Azonban a politikák és szabályozások közötti különbségek megértése és egy stratégia megléte gördülékenyebbé teheti a folyamatot, és segíthet meghatározni, mikor érdemes egy szabványt javítani, és mikor szükséges megfelelni a szabályozásoknak.