Kritikus infrastruktúra kiberbiztonsági felkészítése

Bizonyos gyártók/szolgáltatók a magyar gazdaság és társadalom szempontjából olyan rendszereket üzemeltetnek, melyeket törvényileg létfontosságúnak minősítenek és a kritikus infrastruktúrák közé sorolják. A törvényi megfelelés egyik fontos követelménye egy Információbiztonsági Irányítási Rendszer kiépítése az érintett területen az ipari informatikai rendszerekre.

A projektre egy megyei vízmű szolgáltatónál került sor, melynek klasszikus lépései alkalmazhatók az ipari/termelési környezetben működő elektronikos információs rendszerek kibervédelmének kialakítására is:

  1. Projektindítás / Kick-off meeting:
    • projektben résztvevő munkatársainak áttekintő képzés az IBIR alapjairól, az alkalmazott munkamódszerről,
    • projekt szkópjának rögzítése, feladatok megbeszélése,
  1. Aktuális információbiztonsági szabályozási rendszer megismerése (ha van már ilyen):
    • az érvényben lévő szabályozási rendszer dokumentumainak felmérése
    • a legutolsó tanúsítási audit záró jelentésénem elemzése,
  1. Adatvagyon felmérés:
    • kijelölik az egyes üzleti folyamatok adatgazdáit,
    • az adatgazdák tájékoztatást kapnak a nyilvántartás elkészítésének a módjáról,
    • logikailag és kezelés szempontjából összetartozó adatok által meghatározott adatkörök azonosítása és nyilvántartásba vétele, illetve azok tulajdonságainak a meghatározása,
  1. Elektronikus információs rendszerek (EIR) felmérés:
    • EIR-k azonosítása és nyilvántartásba vétele,
    • EIR-ek tulajdonságainak a meghatározása,
  1. Elektronikus információs rendszerek biztonsági osztályba sorolása:
  2. Osztályba sorolás és védelmi intézkedés (OVI) táblák kitöltése:
    • a jellemző biztonsági osztályoknak megfelelő EIR-ek esetére egy-egy OVI tábla kitöltése,
    • a kitöltés eredménye képen létrejön az alkalmazandó védelmi intézkedés katalógus,
  1. OVI táblák szerinti védelmi katalógus alapján védelmi státusz (érettség) meghatározása:
    • az egyes védelmi intézkedéseknél megadandó, hogy a kitöltés időpontjában „teljesül” vagy „nem teljesült”,
    • amennyiben „teljesült”, úgy az érdemi bizonyíték megadása,
  1. Cselekvési terv elkészítése:
    • az OVI táblák szerinti védelmi státuszában a „nem teljesült” védelmi intézkedések felvétele,
  1. Eszköznyilvántartás leltár elkészítése:
    • a védendő eszközök körét az ISO/IEC 27005:2011 B.1 Melléklet szerinti rendszer alapján,
    • legalább az eszköz elemek felvétele a projekt ezen státuszában,
  1. Információ biztonsági szabályzat elkészítése:
    • az OVI táblák által meghatározott védelmi intézkedés katalógus alapján az Informatikai Biztonsági Szabályzat elkészítése,
    • az IBSz kiadása, életbe léptetése
  1. ITB oktatások megtartása:
    • oktatás az Információ Biztonság Irányítási Rendszerben (IBIR) közvetlenül résztvevők számára,
    • oktatás a teljes alkalmazotti állomány számára,
  1. Információ Biztonsági Felelősi pozíció kijelölése:
    • a szervezet EIR-inek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról való gondoskodás,
    • az előző pont szerinti tevékenységek tervezésének, szervezésének, koordinálásának és ellenőrzésének elvégzése vagy irányítása,
    • az Informatikai Biztonsági Szabályzat aktualizálása,
    • az EIR-k biztonsági osztályba sorolásának aktualizálása,
    • az EIR-ek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatainak és szerződéseinek a véleményezése,
    • kapcsolat tartása a hatósággal és az eseménykezelő központtal,
  1. Eljárásrendekkel kapcsolatos feladatok elvégzése:
    • eljárásrendek elkészítése (lásd Eljárásrendek),
    • eljárásrendek szerinti feladatok végrehajtása (pl. BCP terv elkészítése, eszköz alapú kockázat-elemzés elvégzése, stb.),

Kapcsolat

Menü

Termékeink

Partnereink

ipar40-logo
ivsz-logo
innoskart-logo-inverz