NIS2 kiberbiztonsági audit esettanulmány: hogyan támogatja a gap elemzés az auditkész működést? 

Sok szervezetnél az informatikai környezet alapvetően működik, a napi üzemelés biztosított, mégis komoly hiányosságok maradnak a szabályzatok, a dokumentáció, a technikai kontrollok vagy éppen a fizikai biztonság területén. Ez a gyakorlatban sokáig rejtve maradhat, audit vagy megfelelőségi felkészülés során azonban gyorsan láthatóvá válik. 

Ilyenkor derül ki, hogy a látszólag funkcionáló gyakorlat önmagában nem elegendő. A kontrollokat dokumentáltan, visszakövethetően és bizonyítékokkal alátámasztva kell bemutatni. Ebben segít a gap elemzés (gap analysis, gap analízis): nemcsak a hiányosságokat tárja fel, hanem megalapozza azt a cselekvési tervet is, amellyel a szervezet eljuthat az auditkész állapotig. 

Cikkünkben bemutatjuk, hogyan zajlik nálunk a gap elemzés, milyen hiányosságok fordulnak elő leggyakrabban, és tapasztalatainkon keresztül megmutatjuk azt is, hogyan támogatja a felkészülést a NIS2 kiberbiztonsági auditra. 

Mi a célja a gap elemzésnek? 

Az auditfelkészülés folyamata során a gap elemzés és a sérülékenységvizsgálat egymást kiegészítő vizsgálatok. Bár sok esetben együtt jelennek meg a folyamatban, más-más nézőpontból adnak képet a szervezet aktuális állapotáról. 

sérülékenységvizsgálat elsősorban a technikai környezetre fókuszál. Azt mutatja meg, hogy a hálózatokban, rendszerekben és eszközökön milyen sérülékenységek találhatók, ezek milyen kockázatot jelentenek, és mely pontokon szükséges beavatkozás. A vizsgálat időtartama a hálózatok számától, a rajtuk található eszközök mennyiségétől és a feltárt sérülékenységek számától függ, de jellemzően néhány (kb. 2-4) munkanapot vesz igénybe. 

gap elemzés ezzel szemben tágabb képet ad. Nemcsak a technikai kontrollokat tekinti át, hanem a szabályzati, dokumentációs, szervezeti és fizikai biztonsági hiányosságokat is.  Arra ad választ, hogy a szervezet jelenlegi működése mennyire felel meg az elvárt biztonsági követelményeknek, hogyan történik ezek azonosítása és teljesítése, valamint mely területeken szükséges fejlesztés vagy hiánypótlás. A gap elemzést a kiberbiztonsági és információbiztonsági megfelelőség támogatására is alkalmazni lehet, NIS2 felkészülés esetén pedig különösen fontos, mert segít feltárni, hogy a szervezet hol tér el a jogszabályi, szabályozási és auditálhatósági elvárásoktól. 

A két vizsgálat együtt ad valódi értéket, mivel nemcsak azt mutatják meg, hol vannak a problémák, hanem azt is, hogy ezek milyen sorrendben és milyen logika mentén kezelhetők az audit felkészítés során. 

Hogyan zajlik nálunk a gap elemzés? 

A gap elemzés nálunk jellemzően helyszíni munkával indul. Ennek oka, hogy sok olyan működési, dokumentációs vagy fizikai hiányosság csak személyes jelenléttel, bejárással és a környezet közvetlen megismerésével tárható fel, amely távoli egyeztetésből nem látható teljes mélységében. 

A folyamat négy lépésből áll, az első lépés az aktuális állapot átfogó, részletesen végzett felmérése a hiányosságok azonosítani és a működés megérteni érdekében. 

1. Aktuális állapot felmérése

Az első lépés az aktuális állapot átfogó, részletes felmérése a hiányosságok azonosítása és a működés megértése érdekében. 

A gap elemzés a szervezet méretétől, összetettségétől, dokumentáltságától és érintett rendszereitől függő, strukturált vizsgálati folyamat. Ennek során áttekintjük a meglévő szabályzatokat, dokumentációkat, nyilvántartásokat, működési gyakorlatokat és a releváns technikai, illetve fizikai biztonsági elemeket. Interjúkat végzünk, kérdéseket teszünk fel az üzemeltetésről, a jogosultságkezelésről, a naplózásról, a végpontvédelemről és a szervezeti működésről, majd bejárással szemrevételezzük a kritikus helyiségeket és eszközöket is. Ilyenkor először a szervezeti folyamatokat és az érintett üzleti folyamatokat is feltérképezzük.

A sérülékenységvizsgálat eközben a technikai környezetre koncentrál. Itt a hálózatok, az azokon működő eszközök és rendszerek biztonsági állapotát tekintjük át. Ennek időtartama az infrastruktúra méretétől függ, de jellemzően 2-4 munkanap alatt végezhető el.

2. Megállapítások priorizálása

A feltárt megállapításokat prioritás szerint soroljuk be. A gyakorlatban leggyakrabban kritikus, magas és közepes szintű megállapításokkal dolgozunk. A besorolás határozza meg a javítások ütemét, a cselekvési terv felépítését és az auditfelkészítés sorrendjét is. 

3. Célállapot meghatározása

A következő lépés a kívánt jövőbeli állapot meghatározása, vagyis annak kijelölése, hogy az adott szervezetnek milyen szabályozási, dokumentációs, technikai és működési szintet kell elérnie az auditkész működéshez. A NIS2 irányelv szempontból ez azért lényeges, mert az elvárt kontrollokat nem elég részben vagy informálisan működtetni, azoknak dokumentáltan, visszakövethetően és bizonyíthatóan is rendelkezésre kell állniuk. 

4. Cselekvési terv kialakítása

A negyedik lépés a cselekvési terv elkészítése, amely a feltárt hiányosságokat konkrét feladatokra, felelősökre, határidőkre és státuszokra bontja. Így a gap elemzés nem egy statikus állapotfelmérés marad, hanem olyan gyakorlati eszközzé válik, amely támogatja az auditfelkészülés teljes folyamatát. 

Miből áll a cselekvési terv? 

Egy megfelelően elkészített biztonsági felmérés nem áll meg ott, hogy felsorolja a problémákat. A valódi értéket az adja, ha a feltárt hiányosságokból követhető, végrehajtható és auditálható feladatstruktúra épül. 

A cselekvési terv nálunk a megállapításokat prioritás, felelős, határidő és státusz szerint rendezi. Ettől válik a javítási folyamat átláthatóvá és visszakövethetővé. Konkrét teendőket jelöl ki, amelyekhez a megfelelés érdekében konkrét intézkedések, végrehajtási logika és időkeret is tartozik. 

A kritikus és magas prioritású megállapításoknál jellemzően 3 hónapos, a közepes megállapításoknál 6 hónapos határidővel számolunk. A felelősök kijelölése általában az ügyfél oldalán történik, de a priorizálás és a feladatok szakmai meghatározását az ITSecure szakemberei adják meg. 

Az audit felkészítésben különösen fontos, hogy a cselekvési terv ne csak működési lista legyen, hanem evidenciaalapú nyomonkövetési eszköz is. Audit előtt ugyanis nem elég azt állítani, hogy egy hiányosság kezelve lett, ennek dokumentált, visszanézhető és bizonyítható formában is rendelkezésre kell állnia. 

Milyen hiányosságok fordulnak elő leggyakrabban? 

A gap elemzés során bizonyos hiányosságok rendszeresen visszatérnek. A gap analízis segít azonosítani azokat a több érintett területeket és kapcsolódó folyamatokat, ahol a vállalat jelenlegi működése eltér az elvárt állapottól. 

Hiányzó szabályzatok 

Az egyik leggyakoribb és legsúlyosabb hiányosság a szükséges szabályzatok hiánya. Sok szervezetnél léteznek működő gyakorlatok, de ezek nincsenek formálisan rögzítve, jóváhagyva vagy hatályba léptetve. Audit és megfelelőségi felkészülés szempontjából ez jellemzően kritikus megállapítás. NIS2 szempontból ez azért kiemelten fontos, mert a kiberbiztonsági intézkedéseknek nemcsak működniük kell, hanem szabályozott, dokumentált és számonkérhető keretben kell megjelenniük. 

Katasztrófa- és üzletmenet-folytonossági tervek hiánya 

Szintén tipikus probléma, hogy a szervezetnek nincs megfelelően kialakított katasztrófaelhárítási vagy üzletmenet-folytonossági terve. Pedig nemcsak az számít, hogyan működik a rendszer normál állapotban, hanem az is, milyen előre definiált módon kezelhetők az incidensek, kiesések vagy meghibásodások. Ez a NIS2 incidenskezelési, kockázatkezelési és üzletmenet-folytonossági elvárásai szempontjából is kritikus, hiszen a szervezetnek fel kell készülnie a működést érintő biztonsági események kezelésére és a helyreállításra. 

Hiányos rendszerdokumentáció és nyilvántartások 

Gyakori megállapítás a rendszerdokumentációk, konfigurációs leírások, hardver- és szoftvernyilvántartások hiánya. Sok környezet részben személyes tudásra vagy informális működésre épül, ami üzemeltetési és auditoldalon is komoly kockázatot jelent. NIS2 megfelelés esetén ez azért problémás, mert az informatikai vagyon, az érintett rendszerek és a kapcsolódó felelősségek pontos ismerete nélkül a kockázatok sem értékelhetők megfelelően. 

Jogosultságkezelési és végpontvédelmi hiányosságok 

Rendszeresen találkozunk nem megfelelő jogosultságkezeléssel, valamint központilag menedzselhető végpontvédelem hiányával vagy hibás működésével. Ide tartozhat hibás beállítás, hiányos licencelés, kommunikációs probléma a kliensekkel vagy olyan konfigurációs hiba, amely csökkenti a védelem hatékonyságát. NIS2 megfelelés esetén ez azért problémás, mert az informatikai vagyon, az érintett rendszerek és a kapcsolódó felelősségek pontos ismerete nélkül a kockázatok sem értékelhetők megfelelően. 

Naplózás és naplóelemzés hiánya 

Sok szervezetnél a naplózás vagy a naplóelemzés nincs megfelelően kialakítva. Gyakori, hogy a naplók részben ugyan elérhetők, de nincs mögöttük olyan folyamat vagy erőforrás, amely ezek folyamatos elemzését biztosítaná. Ez különösen fontos biztonsági események felismerése és auditbizonyítékok szempontjából. NIS2 szempontból a naplózás és az események nyomon követése azért kritikus, mert a biztonsági események felismerése, kivizsgálása és bizonyítása ezek nélkül nem biztosítható megfelelően. 

Fizikai biztonsági hiányosságok 

A gap elemzés nem csak a digitális környezetet vizsgálja. A helyszíni bejárás során rendszeresen találkozunk olyan fizikai biztonsági hiányosságokkal is, mint a zárható szekrény hiánya, a kritikus helyiségekbe történő belépések követésének hiánya, riasztó hiánya, vagy füst-, tűz-, páratartalom- és nedvességérzékelők hiánya. A fizikai védelem a technikai kontrollok működőképességét is befolyásolja, ezért NIS2 felkészülés során nem kezelhető különálló, másodlagos területként. 

Bizonyos szervezeti besorolások esetén ennél szigorúbb elvárások is megjelenhetnek, például redundáns internetkapcsolat, extra áramellátás vagy egyéb üzletmenet-folytonossági megoldások formájában. 

Milyen konkrét megoldásokat adunk a feltárt hiányosságokra? 

A gap elemzés nálunk nem ér véget a megállapítások átadásával. A cél minden esetben az, hogy a hiányosságokhoz végrehajtható, auditálható és a napi működésbe beilleszthető megoldások kapcsolódjanak. 

Az egyik leggyakoribb támogatási forma a teljes szabályzatcsomag elkészítése. Ha a szükséges szabályozási háttér hiányzik vagy hiányos, nemcsak azonosítjuk ezt, hanem a szabályzatok kidolgozásában és hatályba léptetésében is támogatást ajánlunk. 

Szintén gyakori megoldás a dokumentációs sablonok biztosítása. Sok hiányosság nem abból ered, hogy a szervezet nem végezné el a szükséges feladatokat, hanem abból, hogy ezeket nem megfelelően dokumentálja. A sablonok abban segítenek, hogy az ügyfél a saját működésére szabva, strukturált módon tudja rögzíteni a szükséges információkat. 

A nyilvántartási és technikai kontrollok megerősítésére több esetben N-able RMM megoldást javaslunk és vezetünk be, amely támogatja a hardver- és szoftvernyilvántartást, a patch managementet, és hozzájárulhat a technikai környezet átláthatóbb kezeléséhez is. 

A naplózási és naplóelemzési hiányosságok kezelésére olyan esetekben, amikor az ügyfél oldalon nincs megfelelő belső kapacitás, SOC szolgáltatás is szerepet kaphat. Ez különösen hasznos ott, ahol a napi szintű logelemzés kiszervezett, folyamatos támogatással biztosítható hatékonyan. 

Ügyfélpélda: a gap-ek felmérésétől az auditkész állapotig 

Egy ügyfélprojektünk jól mutatja, milyen értéket képvisel a strukturált gap elemzés a gyakorlatban. 

Az anonim ügyfélpélda egy feldolgozóipari szektorban működő, közepes méretű, nagyságrendileg 50 felhasználós szervezethez kapcsolódik. A projekt célja az volt, hogy a szervezet a NIS2 fókuszú auditfelkészülés részeként átlátható képet kapjon a szabályozási, dokumentációs, technikai és fizikai biztonsági hiányosságairól, majd ezek alapján auditkész működést alakítson ki. 

A kiinduló helyzet egy működő, de szabályzati, dokumentációs és technikai kontrollok szintjén jelentős hiányosságokat mutató informatikai környezet volt. A napi működés biztosított volt, ugyanakkor audit- és megfelelőségi szempontból több kulcsterületen is hiánypótlásra volt szükség. 

A gap elemzés a projekt kezdeti szakaszában, a felkészülés első időszakában történt meg. A vizsgálat során a fő megállapítások a szabályzatok, a katasztrófa- és üzletmenet-folytonossági tervek, a rendszerdokumentációk, a nyilvántartások, a jogosultságkezelés, a naplózás, a végpontvédelem és a fizikai biztonság területén jelentkeztek. 

A felmérés eredményeként 37 kritikus, 180 magas és 29 közepes prioritású megállapítás került rögzítésre. A kritikus megállapítások elsősorban a hiányzó vagy nem hatályosított szabályzatokat, az üzletmenet-folytonossági és katasztrófaelhárítási dokumentáció hiányát, valamint a naplózási és jogosultságkezelési kontrollok hiányosságait érintették. A magas prioritású megállapítások között több dokumentációs, nyilvántartási és végpontvédelmi eltérés is szerepelt. 

A feltárt hiányosságok alapján egy strukturált cselekvési terv készült, amely a teendőket prioritás, határidő, felelős és státusz szerint rendezte. Ez azért volt különösen fontos, mert a javítási folyamat így nem általános javaslatokra épült, hanem konkrétan követhető feladatlistává vált. 

A projekt megoldási oldalán teljes szabályzatcsomag, dokumentációs sablonok, N-able RMM alapú nyilvántartási és patch management támogatás, valamint a naplózási feladatok támogatására SOC szolgáltatás is szerepet kapott. A hiánypótlás nemcsak végrehajtási szinten haladt, hanem dokumentált, státuszolt formában is követhető volt. 

A folyamat egyik fontos eleme az volt, hogy az auditot megelőző időszakban már rendelkezésre állt egy naprakész, evidenciaalapú állapotkép. Ez jól mutatta, hogy a kulcsterületek nagy része rendezett, dokumentált és auditálható állapotba került. A korábban jelentős számú nemmegfelelőséget mutató környezetből így egy átláthatóbb, kontrolláltabb és bizonyíthatóbb működés jött létre. 

A projekt egyik legfontosabb tanulsága az volt, hogy az auditon nem elég a működő gyakorlat. A kontrollokat dokumentáltan, visszakövethetően és megfelelő bizonyítékokkal alátámasztva kell bemutatni. 

Mennyi idő alatt lehet auditkész állapotba kerülni? 

Erre nincs minden szervezetre érvényes, egységes válasz. A gap analízis és az abból épített cselekvési terv időtartama mindig függ a kiinduló állapottól, a feltárt hiányosságok számától, az érintett rendszerek összetettségétől és attól is, hogy az ügyfél milyen korán kezdi meg a felkészülést. A folyamatot érdemes részletesen a hazai szabályozási környezethez és a jogszabályi követelményekhez igazítani, mert a NIS2 megfelelés jogi kötelezettség a szervezetek számára. 

Sok esetben az ügyfelek már az audit hivatalos ütemezése előtt megkeresnek bennünket biztonsági felméréssel kapcsolatban. Ilyenkor a hiányosságok kezelésére több idő áll rendelkezésre, ami jelentősen egyszerűbbé és gyorsabbá teheti a felkészülést. Ez a vállalat számára a következő lépés kijelölése és a megfelelő intézkedések üzleti célok érdekében történő ütemezése miatt fontos. A lényeg nem az, hogy mindenkinél ugyanannyi ideig tartson a folyamat, hanem az, hogy időben induljon el, és a szervezet a valóban fontos hiányosságokat megfelelő sorrendben kezelje. 

Miért érdemes időben elindítani a biztonsági felmérést? 

Az egyik legnagyobb kockázat az, amikor a szervezet csak közvetlenül audit előtt kezd foglalkozni a hiányosságokkal. Ilyenkor gyakran egyszerre kellene pótolni szabályzatokat, dokumentációt, technikai kontrollokat és működési bizonyítékokat, ami felesleges nyomást és kapkodást eredményez. 

Egy időben megkezdett gap elemzés ezzel szemben lehetőséget ad arra, hogy a szervezet már jóval az audit előtt tisztán lássa a hiányosságait, egy hazai vállalat működésére szabottan feltárja a jogszabályi követelményekhez kapcsolódó eltéréseket, és támogassa a megfelelés tervezhető javítását üzleti célok érdekében. Így van tér a priorizálásra, a megvalósításra, az evidenciák összegyűjtésére és arra is, hogy a szükséges technikai vagy dokumentációs fejlesztések valóban beépüljenek a napi működésbe. A NIS2 irányelv célja a szervezetek kibertámadásokkal szembeni ellenálló képességének növelése, ezt pedig csak dokumentált, működő és rendszeresen felülvizsgált kontrollokkal lehet alátámasztani. 

A tapasztalat azt mutatja, hogy az auditkész állapot nem egyetlen dokumentum vagy gyors javítóintézkedés eredménye, hanem egy következetesen végigvitt folyamaté. 

Összegzés 

gap elemzés valódi értéke nem pusztán abban áll, hogy feltárja a hiányosságokat. Strukturált képet ad a szervezet aktuális állapotáról, priorizált cselekvési tervet épít, és támogatja azt, hogy a szükséges kontrollok ne csak működjenek, hanem auditálható, bizonyítható formában is rendelkezésre álljanak. 

A technikai sérülékenységek, a szabályzati hiányok, a dokumentációs problémák, a naplózási hiányosságok vagy a fizikai biztonsági kockázatok önmagukban is fontosak. A valódi eredményt azonban az hozza meg, ha ezek kezelésére konkrét megoldások, felelősök, határidők és bizonyítékok társulnak. 

Egy jól felépített folyamat végén nem csupán kevesebb hiányosság marad nyitva, hanem egy átlátható, rendezett és auditkész működés jön létre. 

Ha szeretnék átlátni, hogy szervezetük készen áll-e egy audit vagy megfelelőségi felmérés előtt, vegyék fel szakértőinkkel a kapcsolatot! 

További tartalmaink

Üzletmenet-folytonosság: az IT nem állhat le (Checklist)

Üzletmenet-folytonosság: az IT nem állhat le (Checklist)

Egy váratlan rendszerkiesés, szolgáltatói hiba, kulcsember kiesése vagy kibertámadás nemcsak technikai probléma, hanem közvetlen üzleti kockázat is. Bemutatjuk, milyen kérdéseket érdemes cégvezetőként végiggondolni a kritikus folyamatok, IT-függőségek, mentések, kommunikáció, külső szolgáltatók és kiberbiztonsági forgatókönyvek kapcsán

Security Operations Center

Mi az a SOC? Így működik a Security Operations Center a gyakorlatban  

A SOC a mindennapi kiberbiztonsági védelem egyik legfontosabb eleme. A központi loggyűjtésre, naplóelemzésre és riasztáskezelésre épülő működés segít felismerni a valós fenyegetéseket, kiszűrni a fals pozitív eseményeket, valamint támogatni az incidensek kivizsgálását és az ügyfél gyors értesítését.

11 sérülékenység blog

11 gyakori vállalati sérülékenység és kockázat

A vállalati rendszerekben számos olyan sérülékenységtípus fordulhat elő, amely első ránézésre nem mindig látható, mégis komoly üzleti és biztonsági kockázatot jelenthet. Cikkünkben 11 gyakori és tanulságos példán keresztül mutatjuk be, milyen hibák gyengíthetik a szervezetek védelmét, és miért fontos ezek időben történő feltárása.