Az US szövetségi megfelelőség mögötti biztonsági keretrendszer, és a NIS2 Magyarországon.
A NIST SP 800-53 az USA szövetségi kormányának elsődleges kiberbiztonsági kontrollkeretrendszere. Kötelező a szövetségi ügynökségek és vállalkozók számára, és Magyarország NIS2-implementációjának műszaki alapját képezi. Az Audit41 Readiness felméri hiányosságait a NIST SP 800-53 Rev. 5 alapján.
A keretrendszer
Mi a NIST SP 800-53?
A NIST SP 800-53-at a Nemzeti Szabványügyi és Technológiai Intézet (NIST) teszi közzé, amely az USA Kereskedelmi Minisztériumán belüli szövetségi ügynökség. A keretrendszer biztonsági és adatvédelmi kontrollok katalógusát nyújtja információs rendszerek és szervezetek számára, elsősorban az US szövetségi információs rendszerekhez, de egyre inkább globálisan is elfogadott.
Az 5. revízió, amelyet 2020 szeptemberében tettek közzé, jelentős változást hozott: szétválasztotta a kontrollkatalógust az értékelési eljárásoktól, bármely szervezetre alkalmazhatóvá tette a keretrendszert (nem csak szövetségi ügynökségekre), és hozzáadott egy dedikált adatvédelmi kontrollfamíliát. Az 5. revízió eredményalapú kontrollokat vezetett be, amelyek arra összpontosítanak, mit kell elérni, nem a módszerre.
Az US szövetségi vállalkozók számára a NIST SP 800-53 megfelelőség nem opcionális. Előfeltétele a szövetségi ellátási láncban való működésnek. A keretrendszer alapozza meg a FedRAMP, FISMA, CMMC és más US szövetségi megfelelőségi programokat. Nemzetközileg Magyarország fogadta el a NIS2 biztonsági osztályozások kötelező műszaki alapjaként.
Kiadó
NIST (National Institute of Standards and Technology)
US Kereskedelmi Minisztérium
Jelenlegi revízió
Rev. 5 (September 2020)
Rev. 5.1 kezdeti nyilvános tervezet megjelent 2023-ban
Kötelező
US szövetségi ügynökségek + vállalkozók
Valamint: Magyar NIS2 (2024. évi LXIX. törvény)
Kontrollfamíliák
20 kontrollfamília
Kb. 1.000 egyedi kontroll az alapszintek között
20 kontrollfamília. Három alapszint.
A NIST SP 800-53 a kontrollokat 20 famíliába szervezi. Minden rendszerhez alapszintet rendelnek (Alacsony, Közepes vagy Magas), amely meghatározza, mely kontrollok alkalmazandók.
Alacsony alapszint
Minimálisan szükséges kontrollok. Azon rendszerekhez, ahol a bizalmasság, integritás vagy rendelkezésre állás elvesztése korlátozott negatív hatással jár.
Közepes alapszint
A legtöbb szövetségi rendszer. Azon rendszerekhez, ahol a kompromittálás komoly negatív hatással lenne a műveletekre, eszközökre vagy személyekre.
Magas alapszint
Kritikus rendszerek. Azon rendszerekhez, ahol a kompromittálás súlyos vagy katasztrofális negatív hatással lenne, beleértve a nemzetbiztonsági hatásokat.
US szövetségi ellátási lánc
Kinek kell megfelelnie a NIST SP 800-53-nak?
US szövetségi ügynökségek
Minden szövetségi ügynökség köteles a NIST SP 800-53 kontrollokat bevezetni a FISMA (Szövetségi Információbiztonsági Korszerűsítési Törvény) alapján. A nem-megfelelőség audit megállapításokat és költségvetési következményeket von maga után.
Szövetségi vállalkozók
Az USA szövetségi kormányával szerződő vállalatoknak igazolniuk kell a NIST SP 800-53 megfelelőséget minden Ellenőrzött Nem Minősített Információt (CUI) kezelő rendszernél. Ez CMMC 2.0-n keresztül érvényesített a védelmi vállalkozók esetén.
FedRAMP felhőszolgáltatók
Minden FedRAMP engedélyezést kérő felhőszolgáltatónak Közepes vagy Magas alapszinten kell bevezetnie a NIST SP 800-53 kontrollokat. A FedRAMP az US szövetségi felhőbeszerzés kapuőre.
EU vállalatok az US ellátási láncban
Az US szövetségi ügynökségeknek, védelmi vállalkozóknak vagy FedRAMP ügyfeleknek szolgáltatásokat nyújtó európai vállalatoknak igazolniuk kell a NIST megfelelőséget, függetlenül attól, hol van a székhelyük.
Magyarország kötelezővé tette a NIST SP 800-53-at a NIS2-megfelelőséghez.
Magyarország NIS2-implementációja (2024. évi LXIX. törvény) egyedülállóan megköveteli a szervezetektől elektronikus információs rendszereik alap-, jelentős vagy magas biztonsági szintbe sorolását, és a NIST SP 800-53 Rev. 5 kontrollok bevezetését az adott osztályozásnak megfelelően.
Ez azt jelenti, hogy a magyar NIS2 szervezetek nem választják meg biztonsági keretrendszerüket: a NIST SP 800-53-t törvény írja elő. Az SZTFH-minősített auditor, aki elvégzi a kötelező NIS2-auditot, a NIST SP 800-53 alapszintek alapján értékeli a kontrollokat, nem csupán a NIS2 21. cikk kontrolljai alapján.
Az Audit41 Readiness leképezi jelenlegi kontrollját a NIST SP 800-53 Rev. 5 alapján, így pontosan tudja, hol vannak hiányosságai, mielőtt az SZTFH-auditor megérkezik.
Hogyan segít az Audit41
Az alapszint kiválasztásától az audit-kész bizonyítékig.
Rés-elemzés
Minden kontrollfamília, minden alkalmazandó alapszint
Az Audit41 Readiness leképezi kontrollját a NIST SP 800-53 Rev. 5 alapján mind a 20 kontrollfamílián keresztül. Kiválasztja alapszintjét (Alacsony, Közepes vagy Magas) és az értékelés automatikusan alkalmazza a megfelelő kontrollkészletet.
Helyreállítási ütemterv
Kockázat és alapszint-követelmény szerint priorizálva
A hiányosságok a kontrollkövetelmény súlyossága és az operatív kockázati profil alapján rangsorolva. Az ütemterv megmondja, mely kontrollokat vezesse be először a célzott alapszint eléréséhez.
Bizonyítékstruktúra
FedRAMP, FISMA és SZTFH audithoz strukturálva
A rés-megállapítási jelentések az US szövetségi auditfolyamatok és a magyar SZTFH auditorok bizonyítéki elvárásainak megfelelően formázottak: két nagyon különböző, de egyformán szigorú szabvány.
Kezdje meg a NIST SP 800-53 rés-elemzést.
Mondja el szervezetéről és elküldjük mindazt, amire szüksége van az induláshoz, akár szövetségi vállalkozó, FedRAMP jelölt vagy magyar NIS2 szervezet.
Magyar NIS2 szervezetek: először erősítse meg NIS2 hatályát. NIS2 önvizsgálat indítása →