Kritikus infrastruktúra kiberbiztonsági felkészítése

Bizonyos gyártók/szolgáltatók a magyar gazdaság és társadalom szempontjából olyan rendszereket üzemeltetnek, melyeket törvényileg létfontosságúnak minősítenek és a kritikus infrastruktúrák közé sorolják. A törvényi megfelelés egyik fontos követelménye egy Információbiztonsági Irányítási Rendszer kiépítése az érintett területen az ipari informatikai rendszerekre.

A projektre egy megyei vízmű szolgáltatónál került sor, melynek klasszikus lépései alkalmazhatók az ipari/termelési környezetben működő elektronikos információs rendszerek kibervédelmének kialakítására is:

1. Projektindítás / Kick-off meeting:

• • projektben résztvevő munkatársainak áttekintő képzés az IBIR alapjairól, az alkalmazott munkamódszerről,
  • projekt szkópjának rögzítése, feladatok megbeszélése,

2. Aktuális információbiztonsági szabályozási rendszer megismerése (ha van már ilyen):

• • az érvényben lévő szabályozási rendszer dokumentumainak felmérése
  • a legutolsó tanúsítási audit záró jelentésénem elemzése,

3. Adatvagyon felmérés:

• • kijelölik az egyes üzleti folyamatok adatgazdáit,
  • az adatgazdák tájékoztatást kapnak a nyilvántartás elkészítésének a módjáról,
  • logikailag és kezelés szempontjából összetartozó adatok által meghatározott adatkörök azonosítása és nyilvántartásba vétele, illetve azok tulajdonságainak a meghatározása,

4. Elektronikus információs rendszerek (EIR) felmérés:

• • EIR-k azonosítása és nyilvántartásba vétele,
  • EIR-ek tulajdonságainak a meghatározása,

5. Elektronikus információs rendszerek biztonsági osztályba sorolása:
6. Osztályba sorolás és védelmi intézkedés (OVI) táblák kitöltése:

• • a jellemző biztonsági osztályoknak megfelelő EIR-ek esetére egy-egy OVI tábla kitöltése,
  • a kitöltés eredménye képen létrejön az alkalmazandó védelmi intézkedés katalógus,

7. OVI táblák szerinti védelmi katalógus alapján védelmi státusz (érettség) meghatározása:

• • az egyes védelmi intézkedéseknél megadandó, hogy a kitöltés időpontjában „teljesül” vagy „nem teljesült”,
  • amennyiben „teljesült”, úgy az érdemi bizonyíték megadása,

8. Cselekvési terv elkészítése:

• • az OVI táblák szerinti védelmi státuszában a „nem teljesült” védelmi intézkedések felvétele,

9. Eszköznyilvántartás leltár elkészítése:

• • a védendő eszközök körét az ISO/IEC 27005:2011 B.1 Melléklet szerinti rendszer alapján,
  • legalább az eszköz elemek felvétele a projekt ezen státuszában,

10. Információ biztonsági szabályzat elkészítése:

• • az OVI táblák által meghatározott védelmi intézkedés katalógus alapján az Informatikai Biztonsági Szabályzat elkészítése,
  • az IBSz kiadása, életbe léptetése

11. ITB oktatások megtartása:

• • oktatás az Információ Biztonság Irányítási Rendszerben (IBIR) közvetlenül résztvevők számára,
  • oktatás a teljes alkalmazotti állomány számára,

12. Információ Biztonsági Felelősi pozíció kijelölése:

• • a szervezet EIR-inek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról való gondoskodás,
  • az előző pont szerinti tevékenységek tervezésének, szervezésének, koordinálásának és ellenőrzésének elvégzése vagy irányítása,
  • az Informatikai Biztonsági Szabályzat aktualizálása,
  • az EIR-k biztonsági osztályba sorolásának aktualizálása,
  • az EIR-ek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatainak és szerződéseinek a véleményezése,
  • kapcsolat tartása a hatósággal és az eseménykezelő központtal,

13. Eljárásrendekkel kapcsolatos feladatok elvégzése:

• • eljárásrendek elkészítése (lásd Eljárásrendek),
  • eljárásrendek szerinti feladatok végrehajtása (pl. BCP terv elkészítése, eszköz alapú kockázat-elemzés elvégzése, stb.),