SZAKMAI - TUDOMÁNYOS ROVAT






            A bizalmasság, sértetlenség és rendelke- megközelítést kell tehát alkalmazni. Ennek
            zésre állás (BSR elv), valamint a megelőző,  alapját az IBIR kialakítása jelenti, amely egy
            felismerő és elhárító (PreDeCo) módszertan  átfogó irányítási és szabályozási keretrend-
            mentén felépített információbiztonsági irá- szer, amelynek célja, hogy a szervezet mű-
            nyítási rendszer (IBIR) – tudatos és helyes al- ködésébe beépítésre kerüljön a kiberbiz-
            kalmazás esetén – képes megfelelő ellenálló  tonsági kockázatok azonosítása, kezelése,
            képességgel felruházni a szervezeteket, a le- felügyelete és folyamatos fejlesztése. A rend-
            hető legalacsonyabbra csökkentve a kiber- szer kiépítésének alapköve a belső szabá-
            térből érkező fenyegetések kockázatát. Ha  lyozói környezet létrehozása — olyan belső
            pedig mégis bekövetkezik az incidens, akkor  szabályzatok, eljárásrendek és felelősségi
            a szervezet gyorsan és hatékonyan reagálva  körök kialakítása, amelyek a kiberbiztonsá-
            képes azt elhárítani, illetve biztosítani, hogy  got a szervezet mindennapi működésének
            lényegesen kisebb kár keletkezzen, mintha  részévé teszik. Ide tartozik például az infor-
            nem épült volna ki az információbiztonsági  mációbiztonsági szabályzat, az incidenske-
            irányítási rendszer.                              zelési szabályzat, a hozzáférés-kezelési rend,
                                                              a mentési és helyreállítási eljárások, valamint
            A BSR elv az információbiztonság három  a munkavállalók biztonságtudatosságát elő-
            alapvető pillére; ezek kiegyensúlyozott ér- író belső irányelvek. A kiberbiztonság kiala-
            vényesítése határozza meg, milyen kocká- kítását a belső szabályozókban meghatáro-
            zatokat kezel a szervezet és milyen védelmi  zott intézkedések, folyamatok, felelősségek
            kontrollokat vezet be a rendszereiben és fo- mentén kell megvalósítani, hiszen a véde-
            lyamataiban. Az elv gyakorlati alkalmazása  kezés csak úgy tud hatékony lenni, ha egy-
            közvetlenül formálja az információbiztonsá- mást erősítve rendszerbe helyezzük, ezzel
            gi irányítási rendszert, az üzletmenet-folyto- garantálva az egyenszilárdságot.
            nosságot és a megfelelőséget.
                                                              A logikai védelmi intézkedések informáci-
            A  PreDeCo  módszertan  lényege,  hogy  ótechnológiai eszközökkel és eljárásokkal
            nem a fenyegetések teljes kizárására törek- (programokkal, protokollokkal) megvaló-
            szik, hanem a felettük gyakorolt kontrollra,  sított kontrollok, amelyek a digitális rend-
            ahol a kontrollok egymást kompenzálhatják  szerekhez, hálózatokhoz és adatokhoz való
            és a gyors észlelés és helyreállítás mérsékli  hozzáférést szabályozzák: ide tartozik a jo-
            a károkat. Az egymást kiegészítő megelőző– gosultságkezelés, a hitelesítés, a titkosítás,
            felismerő–elhárító kontrollokkal egyszerre  a hálózati szegmentáció, a behatolásérzé-
            csökkenti az incidensek bekövetkezési való- kelő rendszerek (IDS/IPS), valamint a folya-
            színűségét és üzleti hatását, miközben rugal- matos monitorozás és naplózás. Ezek célja,
            masan illeszthető a szervezet erőforrásaihoz  hogy a támadások már a kibertérben észlel-
            és kockázati profiljához.                         hetők és kezelhetők legyenek, mielőtt a kri-
                                                              tikus rendszerekhez elérnének.
            A kiberreziliencia megteremtéséhez szer-
            vezeti szinten is rendszerszemléletű





                                                                                                           29