Biztonságos konfigurációs alapvonalak NIS2- és DORA-megfeleléshez
A péntek délutáni hibás konfiguráció, amely igazgatósági problémává vált
Pénteken 16:40-kor egy fintech platform mérnöki vezetője jóváhagyott egy rutinszerűnek tűnő tűzfalváltoztatást. Egy fizetéselemzési szolgáltatóval való integráció hibakereséséhez ideiglenes szabályt nyitottak meg. A jegyben ez állt: „tesztelés után eltávolítandó”. A teszt sikeres volt. A szabály maradt.
Három héttel később egy külső vizsgálat internet felől elérhető adminisztrációs interfészt talált. A szerver javítva volt. A normál felhasználóknál működött a többtényezős hitelesítés. A sérülékenységvizsgáló nem jelzett kritikus CVE-t. A rendszer mégsem volt biztonságos, mert a konfigurációja eltért a szervezet jóváhagyott, megerősített állapotától.
Hétfő reggelre az információbiztonsági vezető négy párhuzamos egyeztetést kezelt:
- A szabályozó hatóság azt akarta tudni, érintette-e az esemény az operatív rezilienciát.
- Az adatvédelmi tisztviselő azt akarta tudni, hogy kerültek-e személyes adatok kitettségbe.
- Az igazgatóság azt akarta tudni, miért nem észlelték az „ideiglenes” változtatásokat.
- Az ISO/IEC 27001:2022 belső auditor bizonyítékot kért arra, hogy a biztonságos alapvonalak meghatározottak, jóváhagyottak, bevezetettek és felügyeltek.
Sok biztonsági program ezen a ponton szembesül egy kellemetlen ténnyel. A biztonságos konfiguráció nem pusztán technikai rendszermegerősítési ellenőrzőlista. 2026-ban a biztonságos konfigurációs alapvonal irányítási kérdés, kiberhigiéniai kérdés, IKT-kockázati kérdés, auditbizonyítéki kérdés és igazgatósági elszámoltathatósági kérdés.
Ugyanez a probléma sok szabályozott szervezetnél más formában jelenik meg. Maria, egy növekvő B2B fizetésfeldolgozó információbiztonsági vezetője erős mérnöki csapattal, javított rendszerekkel és felhőalapú bevált gyakorlatokkal rendelkezik. A NIS2- és DORA-felkészültségi értékelés azonban egy piros megállapítást emel ki: nincs formalizált biztonságos konfigurációs alapvonal. A csapat tudja, hogyan kell szervereket megerősíteni, de a tudás jelentős része a mérnökök fejében van, nem jóváhagyott szabványokban, automatizált ellenőrzésekben vagy bizonyítékcsomagokban.
Ez a hiányosság már nem védhető. A NIS2 előírja, hogy az irányító testületek hagyják jóvá és felügyeljék a kiberbiztonsági kockázatkezelési intézkedéseket. A DORA dokumentált IKT-kockázatkezelési keretrendszert és reziliens IKT-működést követel meg. A GDPR megfelelő technikai és szervezeti intézkedéseket ír elő. Az ISO/IEC 27001:2022 kockázatalapú kontrollkiválasztást, bevezetést, monitorozást, auditot és folyamatos fejlesztést követel meg.
A biztonságos konfigurációs alapvonalak mindezeket a kötelezettségeket egy gyakorlati kontrollrendszerbe kapcsolják össze: az alapvonal meghatározása, felelősség hozzárendelése, érvényesítés a hozzáférés-kiosztás vagy üzembe helyezés során, kivételek irányítása, konfigurációs sodródás észlelése, bizonyítékok igazolása, valamint auditok vagy incidensek utáni javítás.
Ahogyan a Clarysec Zenith Blueprint: Egy auditor 30 lépéses ütemterve fogalmaz a Kontrollok működésben fázis 19. lépésében, Technikai kontrollok I. témában:
„Sok incidens nem szoftverhibából ered, hanem rossz konfigurációs döntésekből. Változatlanul hagyott alapértelmezett jelszavak, engedélyezett nem biztonságos szolgáltatások, szükségtelenül nyitott portok vagy indoklás nélkül internet felé kitett rendszerek.”
Ez a mondat jól mutatja, miért váltak a biztonságos konfigurációs alapvonalak alapvető rezilienciakontrollá. Meghatározzák, mit jelent a biztonságos állapot, még mielőtt auditor, szabályozó, ügyfél vagy támadó kérdezné meg.
Mit jelent valójában a biztonságos konfigurációs alapvonal
A biztonságos konfigurációs alapvonal egy adott rendszertípus jóváhagyott, dokumentált és megismételhető biztonsági beállításkészlete. Alkalmazható Windows szerverekre, Linux gazdagépekre, hálózati eszközökre, SaaS-bérlőkre, felhőalapú tárolásra, Kubernetes-klaszterekre, adatbázisokra, tűzfalakra, végponti eszközökre, identitásplatformokra, IoT-eszközökre és operatív technológiára.
Egy erős alapvonal gyakorlati kérdésekre ad választ:
- Mely szolgáltatásokat kell alapértelmezetten letiltani?
- Mely portok lehetnek külső irányból elérhetők?
- Mely hitelesítési és többtényezős hitelesítési beállítások kötelezőek?
- Mely naplózási beállításokat kell engedélyezni?
- Mely titkosítási beállítások szükségesek?
- Mely adminisztrációs interfészeket kell korlátozni?
- Mely felhőerőforrások lehetnek nyilvánosak, és kinek a jóváhagyásával?
- Mely eltérések igényelnek kockázatelfogadást?
- Milyen gyakran kell ellenőrizni a konfigurációs sodródást?
- Milyen bizonyíték igazolja, hogy az alapvonal működik?
A leggyakoribb hiba az, hogy az alapvonalakat mérnöki preferenciaként kezelik, nem irányított kontrollként. Egy Linux rendszergazdai ellenőrzőlista, egy felhőbiztonsági architektúra wikioldala vagy egy hálózati mérnök tűzfalszabályozási gyakorlata hasznos lehet, de csak akkor válik auditálhatóvá, ha jóváhagyott, kockázathoz rendelt, következetesen alkalmazott és felügyelt.
Ezért olyan hasznos hivatkozási alap az ISO/IEC 27001:2022. A 4.1–4.3 pontok előírják, hogy a szervezetek értsék a belső és külső tényezőket, az érdekelt feleket és az IBIR alkalmazási területét, beleértve a jogi, szabályozási, szerződéses és harmadik félhez kapcsolódó követelményeket. A 6.1.2 és 6.1.3 pontok információbiztonsági kockázatértékelést, kockázatkezelést, kontrollkiválasztást, alkalmazhatósági nyilatkozatot és kockázatgazdai jóváhagyást követelnek meg. A 8.2 és 8.3 pontok előírják a kockázatértékelések és a kockázatkezelés megismétlését tervezett időközönként vagy jelentős változások után.
Az A melléklet ezt követően az A.8.9 Konfigurációkezelés kontrollon keresztül teszi konkréttá a technikai elvárást, amelyet az eszköznyilvántartás, a sérülékenységkezelés, a változáskezelés, a naplózás, a monitorozás, a hozzáférés-szabályozás, a kriptográfia, a felhőhasználat és a dokumentált üzemeltetési eljárások támogatnak.
Az eredmény egy egyszerű, de erős irányítási állítás: ha a szervezet nem tudja bemutatni, mit jelent a biztonságos állapot az egyes fő rendszertípusoknál, nem tudja meggyőzően igazolni a NIS2 szerinti kiberhigiéniát, a DORA szerinti IKT-kockázati kontrollt, a GDPR szerinti elszámoltathatóságot vagy az ISO/IEC 27001:2022 szerinti kontrollhatékonyságot.
Miért teszi elkerülhetetlenné a NIS2, a DORA és a GDPR az alapvonalakat
A NIS2, a DORA és a GDPR eltérő nyelvezetet használ, de ugyanarra az operatív követelményre fut ki: a rendszereket biztonságosan kell konfigurálni, folyamatosan felügyelni kell, és elszámoltatható kockázatkezeléssel kell irányítani.
A NIS2 Article 20 előírja, hogy az alapvető és fontos szervezetek irányító testületei hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék azok végrehajtását, és kiberbiztonsági képzésben részesüljenek. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket követel meg. A biztonságos konfigurációs alapvonalak támogatják az Article 21(2)(a) szerinti kockázatelemzési és információs rendszerbiztonsági szabályzatokat, az Article 21(2)(e) szerinti hálózati és információs rendszerek beszerzésének, fejlesztésének és karbantartásának biztonságát, beleértve a sérülékenységek kezelését, az Article 21(2)(f) szerinti eredményességértékelési szabályzatokat és eljárásokat, az Article 21(2)(g) szerinti alapvető kiberhigiéniát és kiberbiztonsági képzést, az Article 21(2)(h) szerinti kriptográfiát, az Article 21(2)(i) szerinti hozzáférés-szabályozást és eszközkezelést, valamint az Article 21(2)(j) szerinti többtényezős hitelesítést és biztonságos kommunikációt.
A DORA 2025. január 17-től alkalmazandó, és az érintett pénzügyi szervezetek ágazatspecifikus operatív reziliencia szabálykönyveként működik. Az Articles 5 és 6 irányítást és dokumentált IKT-kockázatkezelési keretrendszert ír elő. Az Article 8 előírja az IKT-eszközök, információvagyon, IKT-val támogatott üzleti funkciók és függőségek azonosítását. Az Article 9 védelmi és megelőzési intézkedéseket követel meg, beleértve az IKT-rendszerekre vonatkozó biztonsági szabályzatokat, eljárásokat, protokollokat és eszközöket, a biztonságos adattovábbítást, a hozzáférés-szabályozást, az erős hitelesítést, a kriptográfiai kulcsok védelmét, a változáskezelést, valamint a javítások telepítését és a frissítéseket. Az Articles 10–14 kiterjeszti a modellt az észlelésre, reagálásra, helyreállításra, biztonsági mentésre, visszaállításra, tanulásra és kommunikációra.
A GDPR ehhez adatvédelmi nézőpontot ad. Az Articles 5 és 32 sértetlenséget, bizalmasságot, az adatkezelés biztonságát és elszámoltathatóságot követel meg megfelelő technikai és szervezeti intézkedésekkel. A nyilvános felhőtárolók, túlzottan kitett adatbázisok, nem biztonságos alapértelmezések és túl széles adminisztrátori hozzáférések nem csupán infrastruktúra-gyengeségek. Személyesadat-védelmi hibává válhatnak.
Egyetlen biztonságos konfigurációs alapvonalprogram mindhárom rezsimet támogathatja anélkül, hogy párhuzamos bizonyítékfolyamokat hozna létre.
| Követelményterület | A biztonságos konfiguráció hozzájárulása | Tipikus bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 kockázatkezelés | Bemutatja a biztonságos rendszerállapotokhoz kiválasztott és bevezetett kontrollokat | Kockázatkezelési terv, alkalmazhatósági nyilatkozat, jóváhagyott alapvonal |
| NIS2 kiberhigiénia | Igazolja a biztonságos alapértelmezett beállításokat, a szabályozott kitettséget és az eredményességértékelést | Alapvonal-nyilvántartás, konfigurációs sodródási jelentések, vezetői jelentéstétel |
| DORA IKT-kockázatkezelés | Összekapcsolja az IKT-eszközök védelmét, a változáskontrollt, a javításkezelést és a monitorozást | IKT-eszköz megfeleltetés, változtatási jegyek, konfigurációmegfelelési jelentések |
| GDPR elszámoltathatóság | Bemutatja a személyes adatokat kezelő rendszerek megfelelő intézkedéseit | Adatrendszer-megfeleltetés, titkosítási beállítások, hozzáférés-felülvizsgálatok |
| Ügyfélbizonyosság | Megismételhető bizonyítékot ad az átvilágítási kérdőívekhez | Bizonyítékcsomag, képernyőképek, exportok, kivételnyilvántartás |
A Clarysec alapvonalmodellje: szabályzat, eljárás és platformbizonyíték
A Clarysec a biztonságos konfigurációt megismételhető kontrollrendszerként kezeli, nem egyszeri rendszermegerősítési projektként. Az alapvonalat szabályzatban kell előírni, eljárásokra kell lefordítani, technikai kontrollokkal kell bevezetni, és bizonyítékokkal kell igazolni.
Az Információbiztonsági szabályzat vállalati szinten rögzíti ezt az elvárást:
„A szervezetnek fenn kell tartania egy minimum kontrollalapvonalat, amely az ISO/IEC 27001 A mellékletéből származik, és amelyet szükség szerint az ISO/IEC 27002, a NIST SP 800-53 és a COBIT 2019 kontrolljai egészítenek ki.”
A „Kockázatkezelés és kivételek” szakasz 7.2.1 szabályzati pontjából.
Ez a pont megakadályozza, hogy a konfigurációs rendszermegerősítés személyes preferenciák gyűjteményévé váljon. Az elismert keretrendszerekhez köti a minimum kontrollalapvonalat.
Felhőkörnyezetek esetében a Felhőszolgáltatások használatára vonatkozó szabályzat pontosítja a követelményt:
„Minden felhőkörnyezetnek meg kell felelnie a felhőbiztonsági architekt által jóváhagyott, dokumentált alapvonalnak.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.3.1 szabályzati pontjából.
Az Audit- és megfelelőségmonitorozási szabályzat ezt követően az alapvonalat felügyelt kontrollá alakítja:
„Automatizált eszközöket kell alkalmazni a konfigurációmegfelelés, a sérülékenységkezelés, a javításkezelési állapot és az emelt jogosultságú hozzáférés monitorozására.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.4.1 szabályzati pontjából.
A konfiguráció elválaszthatatlan a sérülékenység- és javításkezeléstől is. A Sérülékenység- és javításkezelési szabályzat kimondja:
„A sérülékenységek javításának összhangban kell állnia az alapvonallal és a rendszermegerősítési szabványokkal.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.4.1 szabályzati pontjából.
Ez lényeges. Egy rendszer lehet naprakészen javított, és mégis maradhat nem biztonságos, ha az SMBv1 engedélyezett, az adminisztrációs interfészek kitettek, a naplózás letiltott, vagy gyenge hitelesítési beállítások maradnak érvényben. A Zenith Controls: A keresztmegfelelőségi útmutató a konfigurációkezelést megelőző kontrollként kezeli, amely a bizalmasságot, a sértetlenséget és a rendelkezésre állást védi a biztonságos konfiguráció operatív képességén keresztül. A Zenith Controls a konfigurációkezelés és a sérülékenységkezelés közötti függőséget is kifejti:
„A sérülékenységkezelés ismert konfigurációktól függ. Meghatározott alapvonal nélkül nem biztosítható, hogy a javítások következetesen kerüljenek alkalmazásra.”
Ez az a bizonyítéki történet, amelyet az auditorok és szabályozók egyre inkább elvárnak: kontrollrendszer, nem elszigetelt technikai feladatok.
Az ISO/IEC 27001:2022 A.8.9 megfeleltetése a támogató kontrollokhoz
Az ISO/IEC 27001:2022 A melléklet A.8.9 Konfigurációkezelés kontrollja a kiindulópont, de nem kezelhető kis, önálló dokumentumként. Szélesebb kontrollcsaládtól függ.
| ISO/IEC 27001:2022 A melléklet kontroll | Miért fontos a biztonságos konfigurációs alapvonalakhoz |
|---|---|
| A.5.9 Információk és egyéb kapcsolódó vagyonelemek nyilvántartása | Minden ismert vagyonelemhez alapvonalat kell rendelni. Az ismeretlen vagyonelemek ismeretlen konfigurációs kockázatot teremtenek. |
| A.8.8 Technikai sérülékenységek kezelése | A vizsgálat és a javításkezelés ismert konfigurációktól és elvárt rendszerállapotoktól függ. |
| A.8.32 Változáskezelés | Az alapvonalak meghatározzák a jóváhagyott állapotokat, a változáskezelés pedig kontrollálja az állapotok közötti jóváhagyott mozgást. |
| A.8.1 Felhasználói végponti eszközök | A végponti telepítési alapkonfigurációkhoz megerősített beállításokra, titkosításra, biztonsági ügynökökre és korlátozott szolgáltatásokra van szükség. |
| A.8.2 Emelt jogosultságú hozzáférési jogok | Csak engedélyezett rendszergazdák módosíthatnak konfigurációkat, az alapértelmezett fiókokat pedig el kell távolítani vagy biztonságossá kell tenni. |
| A.8.5 Biztonságos hitelesítés | A jelszó-, zárolási, többtényezős hitelesítési és munkamenet-szabályok gyakran alapvonal-elemek. |
| A.8.15 Naplózás | A biztonsági, adminisztratív és konfigurációs eseményeket bizonyíték és kivizsgálás céljából rögzíteni kell. |
| A.8.16 Monitorozási tevékenységek | A konfigurációs sodródás és a gyanús konfigurációváltozások észleléséhez aktív monitorozás szükséges. |
| A.5.37 Dokumentált üzemeltetési eljárások | A telepítési eljárások, konfigurációs ellenőrzőlisták és felülvizsgálati lépések megismételhetővé teszik az alapvonalak betartatását. |
| A.5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak | A megfelelőségi ellenőrzések igazolják, hogy a rendszerek továbbra is megfelelnek a jóváhagyott alapvonalaknak. |
Ez a kontrollok közötti kapcsolat az oka annak, hogy a Clarysec a biztonságos konfiguráció IBIR-képességként való kezelését javasolja, felelősökkel, bizonyítékokkal, mutatókkal és vezetői jelentéstétellel.
Egy szélesebb megfeleltetés segít ugyanazt az alapvonalprogramot más keretrendszerekre is lefordítani.
| Keretrendszer | Releváns követelmény vagy kontroll | Biztonságos konfigurációs bizonyíték |
|---|---|---|
| NIS2 | Article 21 kiberbiztonsági kockázatkezelési intézkedések, beleértve a kiberhigiéniát, a biztonságos karbantartást, a sérülékenységek kezelését, az eredményességértékelést, a hozzáférés-szabályozást és az eszközkezelést | Alapvonal-szabványok, konfigurációs sodródási jelentések, kivételbejegyzések, vezetői felügyelet |
| DORA | Articles 6, 8 és 9 az IKT-kockázatkezelésről, az IKT-eszközök azonosításáról, valamint a védelemről és megelőzésről | IKT-alapvonal-nyilvántartás, eszköz–alapvonal megfeleltetés, változás- és javításkezelési bizonyítékok |
| GDPR | Articles 5 és 32 a sértetlenségről, bizalmasságról, az adatkezelés biztonságáról és az elszámoltathatóságról | Titkosítási beállítások, hozzáférési beállítások, biztonságos felhőkonfiguráció, felülvizsgálati nyilvántartások |
| NIST SP 800-53 Rev. 5 | CM-2 Baseline Configuration, CM-3 Configuration Change Control, CM-6 Configuration Settings, CM-7 Least Functionality, RA-5 Vulnerability Monitoring and Scanning, SI-4 System Monitoring | Konfigurációs alapvonalak, változásnyilvántartások, sérülékenységvizsgálati eredmények, monitorozási kimenetek |
| COBIT 2019 | APO13 Managed Security, BAI06 Managed IT Changes, BAI10 Managed Configuration, DSS05 Managed Security Services, MEA03 Managed Compliance With External Requirements | Irányítási mutatók, jóváhagyott változtatások, konfigurációs nyilvántartások, megfelelőségi jelentéstétel |
Gyakorlati alapvonalstruktúra, amelyet még ebben a hónapban bevezethet
A leggyakoribb hiba az, hogy a szervezet egy tökéletes, 80 oldalas rendszermegerősítési szabványt próbál megírni, mielőtt bármit érvényesítene. Induljon minden fő technológiai családnál minimális, de auditálható alapvonallal, majd automatizálással és felülvizsgálattal érlelje tovább.
| Alapvonal-elem | Példakövetelmény | Megőrzendő bizonyíték |
|---|---|---|
| Hatály | Windows szerverek, Linux szerverek, végpontok, tűzfalak, felhőalapú tárolás, identitásbérlő és adatbázisok | Alapvonal-nyilvántartás eszközkategóriákkal |
| Felelősség | Minden alapvonalhoz tartozik műszaki felelős, kockázatgazda és jóváhagyási hatáskör | RACI vagy kontrollfelelősségi mátrix |
| Jóváhagyott telepítési alap | Megerősített rendszerkép, infrastruktúra mint kód sablon, GPO, MDM-profil vagy manuális telepítési ellenőrzőlista | Sablonexport, képernyőkép, adattári commit vagy ellenőrzőlista |
| Hálózati kitettség | Csak jóváhagyott portok és szolgáltatások tehetők külső irányból elérhetővé | Tűzfalszabály-export, felhőbiztonsági csoport jelentés |
| Hitelesítés | Többtényezős hitelesítés adminisztrátori hozzáféréshez, alapértelmezett fiókok kizárása, biztonságos jelszó- és zárolási beállítások | Identitásszabályzat-képernyőkép, adminisztrátori hozzáférés-felülvizsgálat |
| Naplózás | Biztonsági, adminisztrátori, hitelesítési és konfigurációváltozási naplók engedélyezése | SIEM-irányítópult, naplóforrás-nyilvántartás |
| Titkosítás | Tárolt és továbbított adatok titkosítása ott, ahol szükséges | Konfigurációs képernyőkép, kulcskezelési nyilvántartás |
| Változáskontroll | Az alapvonal-változtatásokhoz és kivételekhez jegy, jóváhagyás, tesztelés és visszaállítási terv szükséges | Változtatási jegy és jóváhagyási előzmények |
| Konfigurációs sodródás monitorozása | Automatizált vagy ütemezett ellenőrzések hasonlítják össze a tényleges beállításokat a jóváhagyott alapvonallal | Konfigurációmegfelelési jelentés |
| Felülvizsgálati ütemezés | Az alapvonalakat legalább évente, valamint jelentős incidensek, architekturális változások vagy szabályozási változások után felül kell vizsgálni | Felülvizsgálati jegyzőkönyvek, frissített verzióelőzmények |
Egy felhőalapú tárolási alapvonal első verziója például tartalmazhatja, hogy a nyilvános hozzáférés alapértelmezetten tiltott, a tárolt adatok titkosítása engedélyezett, a hozzáférési naplózás bekapcsolt, az adminisztrátori hozzáférés jóváhagyott csoportokra korlátozott, az emelt jogosultságú konzolhozzáféréshez többtényezős hitelesítés szükséges, a verziózás engedélyezett, ahol azt a helyreállítási követelmények megkövetelik, a replikáció jóváhagyott régiókra korlátozott, és a változtatások csak jóváhagyott infrastruktúra mint kód folyamatokon keresztül történhetnek.
Egy fizetésfeldolgozást támogató Windows Server 2022 alapvonal első verziója tartalmazhatja az SMBv1 letiltását, a nem alapvető szolgáltatások tiltását, az RDP korlátozását megerősített ugrószerverre, a Windows Defender Firewall engedélyezését alapértelmezett tiltási szabályokkal, a helyi rendszergazdai fiókok kontrollját, az eseménynaplók SIEM-be továbbítását, a végpontvédelem engedélyezését és az adminisztratív változtatások jóváhagyott jegyekhez kötését.
Minden alapvonalhoz hozzon létre egy kis bizonyítékcsomagot:
- A jóváhagyott alapvonal-dokumentumot.
- Egy képernyőképet vagy exportált szabályzatot, amely bemutatja az alkalmazott konfigurációt.
- Az alapvonal hatálya alá tartozó eszközök listáját.
- Egy változtatási jegyet, amely bemutatja, hogyan hagyják jóvá a frissítéseket.
- Egy konfigurációmegfelelési jelentést vagy manuális felülvizsgálati bejegyzést.
Ez közvetlenül illeszkedik a Zenith Blueprint Kontrollok működésben fázisának 19. lépéséhez, ahol a Clarysec azt javasolja, hogy a szervezetek hozzanak létre konfigurációs ellenőrzőlistákat a fő rendszertípusokra, következetesen alkalmazzák a beállításokat a hozzáférés-kiosztás vagy üzembe helyezés során — lehetőség szerint automatizálással —, majd rendszeresen auditálják a telepített rendszereket. A Blueprint gyakorlati auditmódszert is ad:
„Válasszon néhány reprezentatív rendszert (például egy szervert, egy kapcsolót, egy végfelhasználói PC-t), és ellenőrizze, hogy konfigurációjuk megfelel-e a biztonságos alapvonalnak. Dokumentálja az eltéréseket és a helyesbítő intézkedést.”
KKV-k esetében ez a reprezentatív mintavételi megközelítés gyakran a leggyorsabb út az informális rendszermegerősítéstől az auditra való felkészültséget biztosító bizonyítékokig.
KKV rendszermegerősítési példák, amelyek gyorsan csökkentik a kockázatot
A biztonságos konfiguráció nem csak nagyvállalati felhőkérdés. A KKV-k gyakran néhány világos alapvonal-szabállyal érik el a legnagyobb kockázatcsökkenést.
A Hálózatbiztonsági szabályzat – KKV kimondja:
„Csak az alapvető portok (például HTTPS, VPN) tehetők elérhetővé a nyilvános internet felé; minden más portot zárni vagy szűrni kell.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.1.3 szabályzati pontjából.
Változásfegyelmet is előír:
„A hálózati konfigurációk minden változtatásának (tűzfalszabályok, kapcsoló ACL-ek, útválasztási táblák) dokumentált változáskezelési folyamatot kell követnie.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.9.1 szabályzati pontjából.
Felülvizsgálati ütemezést is meghatároz:
„Az IT-támogatási szolgáltatónak évente felül kell vizsgálnia a tűzfalszabályokat, a hálózatbiztonsági architektúrát és a vezeték nélküli konfigurációkat.”
Az „Irányítási követelmények” szakasz 5.6.1 szabályzati pontjából.
A végponti alapvonalak ugyanilyen figyelmet igényelnek. A Clarysec Végpontvédelmi és kártevővédelmi szabályzat – KKV kimondja:
„Az eszközökön le kell tiltani az elavult protokollokat (például SMBv1), amelyeket malware kihasználhat.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.2.1.3 szabályzati pontjából.
IoT- és OT-környezetekben a nem biztonságos alapértelmezések visszatérő kitettséget jelentenek. Az Internet of Things (IoT) / Operational Technology (OT) biztonsági szabályzat – KKV kimondja:
„Az alapértelmezett vagy beégetett jelszavakat az eszközök aktiválása előtt meg kell változtatni.”
Az „Irányítási követelmények” szakasz 5.3.2 szabályzati pontjából.
Ezek a szabályzati pontok nem elvont kijelentések. Olyan alapvonal-követelmények, amelyek tesztelhetők, bizonyítékkal alátámaszthatók és nyomon követhetők. Egy ügyféloldali átvilágításra, NIS2 beszállítói felülvizsgálatra, kiberbiztosításra vagy ISO/IEC 27001:2022 tanúsításra készülő KKV számára azonnali értéket teremtenek.
Kivételkezelés: a kontroll, amely elválasztja az érettséget a papírmunkától
Minden alapvonalnál lesznek kivételek. Egy örökölt alkalmazás igényelhet régi protokollt. Egy beszállítói berendezés nem feltétlenül támogatja a preferált titkosítási beállítást. Migrációhoz szükség lehet ideiglenes tűzfalnyitásra. A kérdés nem az, hogy vannak-e kivételek. A kérdés az, hogy irányítottak-e.
Egy érett kivételbejegyzés tartalmazza:
- A megsértett alapvonal-követelményt.
- Az üzleti indoklást.
- Az érintett eszközt és tulajdonosát.
- A kockázatértékelést.
- A kompenzáló kontrollokat.
- A jóváhagyási hatáskört.
- A lejárati dátumot.
- A monitorozási követelményt.
- A helyesbítő intézkedési tervet.
Itt kapcsolódik össze az ISO/IEC 27001:2022 kockázatkezelése és a DORA arányossági elve. Az ISO/IEC 27001:2022 megköveteli, hogy a kontrolldöntéseket kockázatértékeléssel, kockázatkezeléssel, az alkalmazhatósági nyilatkozattal és kockázatgazdai jóváhagyással indokolják. A DORA lehetővé teszi az arányos bevezetést a méret, a kockázati profil, valamint a szolgáltatások jellege, nagyságrendje és összetettsége alapján, de továbbra is dokumentált IKT-kockázatirányítást, monitorozást, folytonosságot, tesztelést és tudatosságot vár el.
Az arányosság nem felhatalmazás az alapvonalak kihagyására. Követelmény arra, hogy azokat ésszerűen méretezzék.
Egy egyszerűsített IKT-kockázati keretrendszer alá tartozó mikro- vagy kisebb pénzügyi szervezetnél az alapvonal lehet tömör, és manuális mintavétel támogathatja. Egy nagyobb pénzügyi szervezetnél ugyanaz a terület valószínűleg automatizált konfigurációs ellenőrzéseket, belső audit bevonását, éves tesztelést és az irányító testület felé történő jelentéstételt igényel.
A Változáskezelési szabályzat arra is emlékezteti a szervezeteket, hogy figyeljenek az alábbiakra:
„Konfigurációs sodródás vagy manipuláció jóváhagyott változtatások után”
A „Betartatás és megfelelés” szakasz 8.1.2.3 szabályzati pontjából.
Ez a kifejezés összekapcsolja a változáskontrollt a konfigurációs sodródás észlelésével. Egy változtatás lehet jóváhagyott, és mégis kockázatot teremthet, ha a megvalósított állapot eltér a jóváhagyott állapottól, vagy ha egy ideiglenes beállítás a változtatási ablak lezárása után is megmarad.
Egyetlen bizonyítéklánc több megfelelési kötelezettséghez
A biztonságos konfigurációs alapvonal nem hozhat létre öt külön megfelelőségi munkafolyamatot. A Clarysec modellje egyetlen bizonyítékláncot használ, amely több kötelezettséghez van megfeleltetve.
| Bizonyítéki artefaktum | ISO/IEC 27001:2022 felhasználás | NIS2 felhasználás | DORA felhasználás | GDPR felhasználás | NIST és COBIT 2019 felhasználás |
|---|---|---|---|---|---|
| Alapvonal-szabvány | Támogatja az A melléklet szerinti kontrollkiválasztást és kockázatkezelést | Bemutatja a kiberhigiéniát és a biztonságos karbantartást | Támogatja az IKT-kockázati keretrendszert és a biztonságos IKT-működést | Bemutatja a megfelelő technikai intézkedéseket | Támogatja a konfigurációs beállításokat és irányítási célokat |
| Eszköz–alapvonal megfeleltetés | Támogatja az eszköznyilvántartást és a hatályt | Igazolja, hogy a szolgáltatásnyújtáshoz használt rendszerek kontrolláltak | Támogatja az IKT-eszközök és függőségek azonosítását | Azonosítja a személyes adatokat kezelő rendszereket | Támogatja a nyilvántartásokat és a komponenskezelést |
| Változtatási jegyek | Bemutatja a szabályozott bevezetést és eltéréseket | Bemutatja a kockázatalapú operatív kontrollt | Támogatja a változáskezelést, a javításkezelést és a frissítéseket | Igazolja a személyes adatokat érintő változtatások elszámoltathatóságát | Támogatja a változáskontrollt és az auditnyomokat |
| Konfigurációs sodródási jelentések | Bemutatja a monitorozást és az eredményességértékelést | Bemutatja a technikai intézkedések értékelését | Bemutatja a folyamatos monitorozást és kontrollt | Bemutatja az adatok folyamatos védelmét | Támogatja a folyamatos monitorozást és megfelelőséget |
| Kivételnyilvántartás | Bemutatja a maradványkockázat kockázatgazdai jóváhagyását | Bemutatja az arányos kockázatkezelést | Bemutatja az IKT-kockázat elfogadását és a helyesbítő intézkedések nyomon követését | Bemutatja az elszámoltathatóságot és a védelmi intézkedéseket | Támogatja a kockázatkezelési választ és a vezetői felügyeletet |
| Felülvizsgálati jegyzőkönyvek | Támogatja a vezetőségi felülvizsgálatot és a folyamatos fejlesztést | Támogatja az Article 20 szerinti vezetői felügyeletet | Támogatja az irányító testület elszámoltathatóságát | Támogatja az intézkedések felülvizsgálatát és frissítését | Támogatja az irányítási jelentéstételt és mutatókat |
A kulcs a visszakövethetőség. A Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisának 24. lépése előírja a szervezeteknek, hogy frissítsék az alkalmazhatósági nyilatkozatot, és vessék össze a kockázatkezelési tervvel. Ha egy kontroll alkalmazható, indoklás szükséges. Ennek az indoklásnak kockázathoz, jogi kötelezettséghez, szerződéses követelményhez vagy üzleti igényhez kell kapcsolódnia.
Biztonságos konfiguráció esetén az A.8.9 SoA-bejegyzésnek hivatkoznia kell a biztonságos konfigurációs alapvonal-szabványra, az érintett eszközkategóriákra, az alapvonalak felelőseire, a változáskezelési eljárásra, a monitorozási módszerre, a kivételkezelési folyamatra, a felülvizsgálati ütemezésre és a keresztmegfelelési kötelezettségekre, például NIS2 Article 21, DORA Articles 6, 8 és 9, GDPR Article 32 és ügyfélvállalások.
Hogyan tesztelik az auditorok a biztonságos konfigurációs alapvonalakat
A biztonságos konfiguráció vonzó az auditorok számára, mert bizonyítékokban gazdag. Dokumentumokon, interjúkon, mintavételen és technikai ellenőrzésen keresztül tesztelhető.
| Auditori nézőpont | Mit fog kérdezni az auditor | Működő bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 IBIR-auditor | A konfigurációkezelés hatályban van-e, kockázatértékelt-e, szerepel-e az SoA-ban, bevezetett és felügyelt-e? | SoA-bejegyzés, kockázatkezelési terv, alapvonal-szabvány, mintarendszer-bizonyíték, belső audit eredmények |
| Technikai auditor | A tényleges rendszerek megfelelnek-e a jóváhagyott alapvonalaknak, és javítják-e az eltéréseket? | Konfigurációexportok, képernyőképek, GPO-exportok, konfigurációs sodródási jelentések, helyesbítő intézkedési nyilvántartások |
| NIST értékelő | Dokumentáltak-e az alapkonfigurációk, érvényesülnek-e a biztonságos beállítások, fenn vannak-e tartva a nyilvántartások, és figyelik-e az eltéréseket? | Rendszermegerősítési ellenőrzőlisták, CMDB, automatizált megfelelőségi jelentések, benchmark vizsgálati kimenetek |
| COBIT 2019 auditor | A konfigurációs alapvonalak irányítottak, jóváhagyottak, felügyeltek és a vezetés felé jelentettek-e? | Irányítási mutatók, vezetői jelentések, változtatási jegyek, kivételnyilvántartás |
| ISACA ITAF-hoz igazított auditor | Van-e elegendő és megfelelő bizonyíték arra, hogy a kontroll megfelelően van kialakítva és hatékonyan működik? | Interjúk, helyszíni bejárások, konfigurációs auditnyilvántartások, hibás konfigurációhoz kapcsolódó incidensnyilvántartások |
A gyakorlati kérdések előre láthatók:
- Használnak-e rendszermegerősítési ellenőrzőlistát új szerverek telepítésekor?
- Hogyan akadályozzák meg, hogy nem biztonságos szolgáltatások, például Telnet fussanak az útválasztókon?
- A felhőalapú tárolási erőforrások alapértelmezetten privátak-e?
- Ki hagyhat jóvá eltérést az alapvonaltól?
- Hogyan észlelik a konfigurációs sodródást egy változtatás után?
- Be tudnak mutatni egy friss konfigurációs felülvizsgálatot?
- Be tudják mutatni, hogy egy észlelt eltérést javítottak?
- A hálózati és felhőkonfigurációkról készül-e biztonsági mentés, és verziózottak-e?
- Dokumentáltak és teszteltek-e a visszaállítási eljárások?
A legerősebb szervezetek minden fő rendszerkategóriához fenntartanak alapvonal-bizonyítékcsomagot. Ez lerövidíti az auditokat, javítja az ügyféloldali átvilágítási válaszokat, és segít a vezetésnek megérteni a tényleges kontrollteljesítményt.
Alakítsa a konfigurációs sodródást igazgatósági szintű kiberhigiéniai mutatóvá
Az igazgatóságnak nincs szüksége minden tűzfalszabályra. Azt viszont tudnia kell, hogy a kiberhigiénia javul vagy romlik.
Egy hasznos biztonságos konfigurációs irányítópult tartalmazza:
- A jóváhagyott alapvonalhoz rendelt eszközök arányát.
- Az alapvonal-ellenőrzéseken megfelelt eszközök arányát.
- A kritikus alapvonal-eltérések számát.
- A nyitott eltérések átlagos korát.
- A lejárt kivételek számát.
- Az észlelt jogosulatlan konfigurációváltozások számát.
- A jóváhagyott jeggyel rendelkező emelt jogosultságú konfigurációváltozások arányát.
- A nyilvános felhőkitettségi kivételeket.
- Az alapvonal-felülvizsgálati státuszt technológiai családonként.
Ezek a mutatók támogatják az ISO/IEC 27001:2022 teljesítményértékelését, a NIS2 vezetői felügyeletét és a DORA IKT-kockázati jelentéstételét. Természetesen illeszkednek a NIST CSF 2.0 irányítási eredményeihez és a COBIT 2019 monitorozási és megfelelési célkitűzéseihez is.
Egy egyszerű vezetői szabály segít: kritikus rendszer nem indulhat élesben alapvonal-bizonyíték nélkül. Ez érvényesíthető változáskezelésen, CI/CD kényszerítő kapukon, felhőszabályzat-ellenőrzéseken, infrastruktúra mint kód felülvizsgálaton, MDM-megfelelésen, GPO-kikényszerítésen vagy hálózati konfigurációs felülvizsgálaton keresztül. Az érettségi szint eltérhet, de a kontrolllogika nem.
A 90 napos biztonságos konfigurációs alapvonal-forgatókönyv
Ha nulláról indul, ne próbáljon egyszerre minden konfigurációs problémát megoldani. Használjon 90 napos tervet.
1–30. nap: a minimum alapvonal meghatározása
Azonosítsa a kritikus eszközkategóriákat. Mindegyikhez rendeljen műszaki felelőst, kockázatgazdát és jóváhagyási hatáskört. Hozzon létre első alapvonalat a zsarolóvírus-reziliencia, felhőkitettség, emelt jogosultságú hozzáférés, naplózás, titkosítás és adatvédelem szempontjából legfontosabb beállításokra.
Hozza létre az alapvonal-nyilvántartást, és feleltesse meg az IBIR alkalmazási területének, a kockázati nyilvántartásnak és az alkalmazhatósági nyilatkozatnak. Ha a szervezetre vonatkozik a NIS2, azonosítsa, hogy alapvető vagy fontos szervezet-e, illetve hogy az ügyfelek NIS2-vel összhangban álló kiberhigiéniát várnak-e el. Ha DORA hatálya alá tartozó pénzügyi szervezet, azonosítsa, mely IKT-eszközök támogatnak kritikus vagy fontos funkciókat. Ha személyes adatokat kezel, feleltesse meg a rendszereket a GDPR szerinti adatkezelési tevékenységeknek és adatkategóriáknak.
31–60. nap: érvényesítés és bizonyítékgyűjtés
Alkalmazza az alapvonalat magas kockázatú rendszerek mintáján. Használjon automatizálást, ahol lehetséges, de ne várjon a tökéletes eszközkészletre. Exportálja a konfigurációkat, készítsen képernyőképeket, mentse a szabályzatbeállításokat, és rögzítse a változtatási jegyeket.
Minden kivételhez hozzon létre kockázati bejegyzést lejárati dátummal. Minden eltéréshez hozzon létre helyesbítő intézkedési jegyet.
61–90. nap: monitorozás, jelentéstétel és fejlesztés
Végezzen konfigurációs felülvizsgálatot. Mintavételezzen egy szervert, egy végpontot, egy hálózati eszközt és egy felhőkörnyezetet. Hasonlítsa össze a tényleges beállításokat a jóváhagyott alapvonallal. Dokumentálja az eltéréseket és a helyesbítő intézkedéseket.
Jelentse az alapvonalaknak való megfelelést a vezetésnek. Frissítse az alkalmazhatósági nyilatkozatot és a kockázatkezelési tervet. A visszatérő eltéréseket vezesse be a gyökérok-elemzésbe. Ha hibás konfiguráció okozott vagy elősegített egy incidenst, a levont tanulságok részeként frissítse az érintett alapvonalat.
Ez az auditoroknak tesztelhető, a szabályozóknak érthető, a vezetésnek pedig irányítható eredményt ad.
Záró gondolat: a biztonságos konfiguráció bizonyítékkal alátámasztott kiberhigiénia
A NIS2 a kiberbiztonsági kockázatkezelési intézkedések és az alapvető kiberhigiénia nyelvezetét használja. A DORA az IKT-kockázat, a reziliencia, a monitorozás, a folytonosság és a tesztelés nyelvezetét használja. A GDPR a megfelelő intézkedések és az elszámoltathatóság nyelvezetét használja. Az ISO/IEC 27001:2022 a kockázatkezelés, a kontrollok, a dokumentált információk, a teljesítményértékelés és a folyamatos fejlesztés nyelvezetét használja.
A biztonságos konfigurációs alapvonalak mindezeket összekapcsolják.
Megmutatják, hogy a rendszereket nem nem biztonságos alapértelmezésekkel vezetik be. Megmutatják, hogy a változtatások kontrolláltak. Megmutatják, hogy a konfigurációs sodródást észlelik. Megmutatják, hogy a kivételek kockázatelfogadással kezeltek. Megmutatják, hogy a bizonyíték már az auditor kérdése előtt rendelkezésre áll.
A legfontosabb, hogy csökkentik a valós működési kockázatot. A péntek délutáni tűzfalszabály, a nyilvános felhőtároló, az elfelejtett SMBv1 beállítás, az alapértelmezett IoT-jelszó és a naplózatlan adminisztrációs konzol nem elméleti auditmegállapítás. Gyakorlati hibapontok.
A Clarysec segít a szervezeteknek ezeket a hibapontokat kontrollált, felügyelt és auditálható alapvonalakká alakítani.
Következő lépések
Ha szervezetének bizonyítania kell a biztonságos konfigurációt ISO/IEC 27001:2022, NIS2 szerinti kiberhigiénia, DORA szerinti IKT-kockázatkezelés, GDPR szerinti elszámoltathatóság vagy ügyfélbizonyosság céljából, kezdje a Clarysec eszközkészletével:
- Használja a Zenith Blueprint: Egy auditor 30 lépéses ütemterve anyagot a konfigurációkezelés bevezetéséhez a Kontrollok működésben fázis 19. lépésében, majd validálja azt az Audit, felülvizsgálat és fejlesztés fázis 24. lépésében.
- Használja a Zenith Controls: A keresztmegfelelőségi útmutató anyagot a konfigurációkezelés megfeleltetéséhez az azt támogató ISO/IEC 27001:2022 kontrollokhoz, NIS2, DORA, GDPR, NIST SP 800-53, COBIT 2019 követelményekhez és auditmódszertanokhoz.
- Használja a Clarysec szabályzatait, például az Információbiztonsági szabályzatot, a Felhőszolgáltatások használatára vonatkozó szabályzatot, az Audit- és megfelelőségmonitorozási szabályzatot, a Sérülékenység- és javításkezelési szabályzatot, a Hálózatbiztonsági szabályzat – KKV, a Végpontvédelmi és kártevővédelmi szabályzat – KKV és az Internet of Things (IoT) / Operational Technology (OT) biztonsági szabályzat – KKV dokumentumokat az alapvonal-követelmények meghatározásához, érvényesítéséhez és bizonyításához.
A biztonságos alapvonal nem pusztán rendszermegerősítési ellenőrzőlista. Bizonyíték arra, hogy a szervezet tudja, mit jelent számára a biztonságos állapot, azt következetesen alkalmazza, és szükség esetén igazolni is tudja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
