Az US szövetségi megfelelőség mögötti biztonsági keretrendszer — és a NIS2 Magyarországon.
A NIST SP 800-53 az USA szövetségi kormányának elsődleges kiberbiztonsági kontrollkeretrendszere. Kötelező a szövetségi ügynökségek és vállalkozók számára — és Magyarország NIS2-implementációjának műszaki alapját képezi. Az Audit41 Readiness felméri hiányosságait a NIST SP 800-53 Rev. 5 alapján.
A keretrendszer
Mi a NIST SP 800-53?
A NIST SP 800-53-at a Nemzeti Szabványügyi és Technológiai Intézet (NIST) teszi közzé, amely az USA Kereskedelmi Minisztériumán belüli szövetségi ügynökség. A keretrendszer biztonsági és adatvédelmi kontrollok katalógusát nyújtja információs rendszerek és szervezetek számára — elsősorban az US szövetségi információs rendszerekhez, de egyre inkább globálisan is elfogadott.
Az 5. revízió, amelyet 2020 szeptemberében tettek közzé, jelentős változást hozott: szétválasztotta a kontrollkatalógust az értékelési eljárásoktól, bármely szervezetre alkalmazhatóvá tette a keretrendszert (nem csak szövetségi ügynökségekre), és hozzáadott egy dedikált adatvédelmi kontrollfamíliát. Az 5. revízió eredményalapú kontrollokat vezetett be, amelyek arra összpontosítanak, mit kell elérni, nem a módszerre.
Az US szövetségi vállalkozók számára a NIST SP 800-53 megfelelőség nem opcionális — előfeltétele a szövetségi ellátási láncban való működésnek. A keretrendszer alapozza meg a FedRAMP, FISMA, CMMC és más US szövetségi megfelelőségi programokat. Nemzetközileg Magyarország fogadta el a NIS2 biztonsági osztályozások kötelező műszaki alapjaként.
Kiadó
NIST (National Institute of Standards and Technology)
US Kereskedelmi Minisztérium
Jelenlegi revízió
Rev. 5 — September 2020
Rev. 5.1 kezdeti nyilvános tervezet megjelent 2023-ban
Kötelező
US szövetségi ügynökségek + vállalkozók
Valamint: Magyar NIS2 (2024. évi LXIX. törvény)
Kontrollfamíliák
20 kontrollfamília
Kb. 1.000 egyedi kontroll az alapszintek között
20 kontrollfamília. Három alapszint.
A NIST SP 800-53 a kontrollokat 20 famíliába szervezi. Minden rendszerhez alapszintet rendelnek (Alacsony, Közepes vagy Magas), amely meghatározza, mely kontrollok alkalmazandók.
Alacsony alapszint
Minimálisan szükséges kontrollok. Azon rendszerekhez, ahol a bizalmasság, integritás vagy rendelkezésre állás elvesztése korlátozott negatív hatással jár.
Közepes alapszint
A legtöbb szövetségi rendszer. Azon rendszerekhez, ahol a kompromittálás komoly negatív hatással lenne a műveletekre, eszközökre vagy személyekre.
Magas alapszint
Kritikus rendszerek. Azon rendszerekhez, ahol a kompromittálás súlyos vagy katasztrofális negatív hatással lenne — beleértve a nemzetbiztonsági hatásokat.
US szövetségi ellátási lánc
Kinek kell megfelelnie a NIST SP 800-53-nak?
US szövetségi ügynökségek
Minden szövetségi ügynökség köteles a NIST SP 800-53 kontrollokat bevezetni a FISMA (Szövetségi Információbiztonsági Korszerűsítési Törvény) alapján. A nem-megfelelőség audit megállapításokat és költségvetési következményeket von maga után.
Szövetségi vállalkozók
Az USA szövetségi kormányával szerződő vállalatoknak igazolniuk kell a NIST SP 800-53 megfelelőséget minden Ellenőrzött Nem Minősített Információt (CUI) kezelő rendszernél. Ez CMMC 2.0-n keresztül érvényesített a védelmi vállalkozók esetén.
FedRAMP felhőszolgáltatók
Minden FedRAMP engedélyezést kérő felhőszolgáltatónak Közepes vagy Magas alapszinten kell bevezetnie a NIST SP 800-53 kontrollokat. A FedRAMP az US szövetségi felhőbeszerzés kapuőre.
EU vállalatok az US ellátási láncban
Az US szövetségi ügynökségeknek, védelmi vállalkozóknak vagy FedRAMP ügyfeleknek szolgáltatásokat nyújtó európai vállalatoknak igazolniuk kell a NIST megfelelőséget — függetlenül attól, hol van a székhelyük.
Magyarország kötelezővé tette a NIST SP 800-53-at a NIS2-megfelelőséghez.
Magyarország NIS2-implementációja (2024. évi LXIX. törvény) egyedülállóan megköveteli a szervezetektől elektronikus információs rendszereik alap-, jelentős vagy magas biztonsági szintbe sorolását — és a NIST SP 800-53 Rev. 5 kontrollok bevezetését az adott osztályozásnak megfelelően.
Ez azt jelenti, hogy a magyar NIS2 szervezetek nem választják meg biztonsági keretrendszerüket — a NIST SP 800-53-t törvény írja elő. Az SZTFH-minősített auditor, aki elvégzi a kötelező NIS2-auditot, a NIST SP 800-53 alapszintek alapján értékeli a kontrollokat, nem csupán a NIS2 21. cikk kontrolljai alapján.
Az Audit41 Readiness leképezi jelenlegi kontrollját a NIST SP 800-53 Rev. 5 alapján, így pontosan tudja, hol vannak hiányosságai, mielőtt az SZTFH-auditor megérkezik.
Hogyan segít az Audit41
Az alapszint kiválasztásától az audit-kész bizonyítékig.
Rés-elemzés
Minden kontrollfamília, minden alkalmazandó alapszint
Az Audit41 Readiness leképezi kontrollját a NIST SP 800-53 Rev. 5 alapján mind a 20 kontrollfamílián keresztül. Kiválasztja alapszintjét — Alacsony, Közepes vagy Magas — és az értékelés automatikusan alkalmazza a megfelelő kontrollkészletet.
Helyreállítási ütemterv
Kockázat és alapszint-követelmény szerint priorizálva
A hiányosságok a kontrollkövetelmény súlyossága és az operatív kockázati profil alapján rangsorolva. Az ütemterv megmondja, mely kontrollokat vezesse be először a célzott alapszint eléréséhez.
Bizonyítékstruktúra
FedRAMP, FISMA és SZTFH audithoz strukturálva
A rés-megállapítási jelentések az US szövetségi auditfolyamatok és a magyar SZTFH auditorok bizonyítéki elvárásainak megfelelően formázottak — két nagyon különböző, de egyformán szigorú szabvány.
Kezdje meg a NIST SP 800-53 rés-elemzést.
Mondja el szervezetéről és elküldjük mindazt, amire szüksége van az induláshoz — akár szövetségi vállalkozó, FedRAMP jelölt vagy magyar NIS2 szervezet.
Magyar NIS2 szervezetek: először erősítse meg NIS2 hatályát. NIS2 önvizsgálat indítása →