top of page
Vyhľadávanie

NIS2 checklist: čo si skontrolovať, aby ste obstáli pri dohľade

  • 7 days ago
  • 4 minút čítania

Tento checklist nie je spravený na odškrtávanie papiera. Pri každom bode by ste si mali vedieť odpovedať na jednoduchú otázku: vieme to preukázať dôkazom, alebo je to zatiaľ len „v hlave“?


NIS2 checklist

Práve v tom býva rozdiel medzi tým, čo vyzerá dobre na porade, a tým, čo viete obhájiť pri audite, kontrole alebo dohľade.


Ako NIS2 checklist používať

Skôr než začnete, doplňte si pri každom bode dve veci:

  • kto je vlastník témy, teda meno alebo rola,

  • kde je uložený dôkaz.

Ak je dôkaz „niekde v e-mailoch“, rátajte to ako nehotové. Najväčší zmysel má začať kritickými procesmi a kľúčovými rizikami. Až potom riešte zvyšok.


Pre vedenie a riadenie

Skontrolujte si, či máte:

  • určenú zodpovednú osobu za kybernetickú bezpečnosť a jasné kompetencie, teda kto rozhoduje a kto schvaľuje výnimky,

  • pravidelný prehľad kľúčových rizík pre vedenie a jasné vysvetlenie, prečo sú prioritou,

  • definované hranice akceptácie rizík, teda čo je neakceptovateľné, čo znižujete a čo zostáva zvyškové,

  • nastavený rytmus revízie, napríklad kvartálne, a dohľadateľný výstup z každej revízie,

  • jasne pomenované kľúčové procesy, ktoré musia fungovať aj v obmedzenom režime,

  • nastavený režim výnimiek, teda kto ich schvaľuje, na ako dlho platia, kde sa evidujú a kedy sa prehodnocujú.


Aktíva, riziká a priority

Overte si, či máte:

  • prehľad kritických aktív, teda systémov, účtov, dát a dodávateľov, a viete obhájiť, prečo sú kritické,

  • pri aktívach určených vlastníkov, nie všeobecne „IT“, ale konkrétneho vlastníka za prevádzku alebo rozhodovanie,

  • riziká popísané ako scenáre, teda čo sa stane a aký bude dopad, nie len všeobecné pojmy typu phishing,

  • jednotné hodnotenie rizík, vrátane škál a definícií stupňov, aby bolo jasné, čo u vás znamená nízky, stredný a vysoký dopad,

  • pri každom kľúčovom riziku rozhodnutie o stave a vývoji, teda či je neriešené, znížené, zvyškové alebo akceptované,

  • pravidlo, kedy sa riziká musia prehodnotiť, pravidelne aj po zmene systému, dodávateľa alebo procesu,

  • prepojenie medzi rizikami a prioritami, teda čo riešite teraz, čo neskôr a prečo.


Dodávatelia a externé prístupy

Pri dodávateľoch a externistoch si skontrolujte, či:

  • viete, ktorí dodávatelia a externisti majú prístup do systémov a v akom rozsahu,

  • máte pravidlá pre udeľovanie a rušenie prístupov tretích strán, najmä pri ukončení spolupráce,

  • máte režim pre privilegované prístupy dodávateľov, napríklad oddelené účty, časové obmedzenie a schvaľovanie,

  • pri kľúčových dodávateľoch máte definované minimálne bezpečnostné očakávania a kontakt pre bezpečnostné témy,

  • viete zmeny u dodávateľa premietnuť do rizík, napríklad pri novom prístupe, migrácii alebo zmene služby,

  • sú dodávateľské riziká súčasťou vášho hodnotenia rizík, nie len samostatný zoznam bez priorít.


Technické minimum, ktoré musí byť obhájiteľné

Skontrolujte si, či máte:

  • viacfaktorové overovanie na účtoch s vysokým dopadom, napríklad na e-mailoch, v cloude a pri administrátorských účtoch,

  • oddelené administrátorské účty a jasné pravidlá pre privilegované prístupy,

  • režim správy zraniteľností a aktualizácií, teda čo je kritické, kto zodpovedá a aký je rytmus,

  • základnú ochranu koncových zariadení, vrátane pravidiel, aktualizácií a ochrany pred malvérom,

  • ochranu e-mailu proti bežným útokom a jasný spôsob nahlasovania podozrivých správ,

  • segmentáciu alebo aspoň obmedzenie šírenia problému v prostredí,

  • logovanie kľúčových udalostí a dohľadateľnosť, minimálne pri účtoch s vysokým dopadom a pri kritických systémoch,

  • pravidlá pre prácu so zariadeniami a vzdialený prístup, vrátane externistov, home office a práce s citlivými dátami.


Kontinuita a obnova

Pri kontinuite a obnove si overte, či:

  • viete, ktoré služby musia byť obnovené ako prvé a prečo,

  • máte aspoň orientačne definovaný prijateľný čas výpadku pre kľúčové procesy,

  • sú zálohy preukázateľné a obnova je reálne otestovaná,

  • viete fungovať v dočasnom režime, ak je to pre vás relevantné,

  • zmeny infraštruktúry spúšťajú revíziu, aby vám obnova nezostarla po migrácii alebo zmene dodávateľa.


Oznamovanie a dôkazný režim

Skontrolujte si, či máte:

  • jasné kritériá, čo považujete za významnú udalosť a kto rozhoduje o eskalácii,

  • určené roly pre komunikáciu dovnútra, k dodávateľom a k vedeniu,

  • minimum evidencie bez chaosu, teda časovú os, dotknuté systémy, dopad, rozhodnutia a ďalší krok,

  • pripravený formát reportu pre vedenie, teda dopad, priority, ďalšie rozhodnutie a čas ďalšej aktualizácie.


Dôkazy na kontrolu

Ak má byť checklist naozaj použiteľný, potrebujete mať pripravený aj jeden balík dôkazov, ktorý nebudete skladať deň pred kontrolou.

Minimum je mať poruke:

  • prehľad kľúčových rizík a ich stav či vývoj,

  • metodiku hodnotenia rizík, teda škály a definície,

  • zoznam kritických aktív a ich vlastníkov,

  • zoznam dodávateľov s prístupmi a pravidlá udeľovania či rušenia prístupov,

  • poslednú revíziu rizík, vrátane dátumu, rozhodnutí a zmien,

  • dôkaz o kontrole prístupov, minimálne pri privilegovaných účtoch a externistoch,

  • dôkaz o zálohách a teste obnovy, aspoň pri kritických službách,

  • evidenciu výnimiek, teda kto ich schválil, na ako dlho a kedy sa prehodnocujú.


Ako pomáha RiskMinder

NIS2 checklist sa najčastejšie rozpadne na konzistentnosti. Iné názvy, iné hodnotenia, chýbajúci vlastníci a po pár mesiacoch všetko zastará. RiskMinder pomáha udržať checklist ako systém.


RiskMinder podporuje najmä procesnú časť riadenia rizík:

  • vedenie registra aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

  • jednotné hodnotenie rizík naviazané na NIS2, zákon o kybernetickej bezpečnosti, požiadavky NBÚ a ISO 27001,

  • priraďovanie vlastníkov rizík a sledovanie stavu a vývoja riadených rizík, teda či sú neriešené, znížené, zvyškové alebo akceptované,

  • rozširovanie katalógov podľa potrieb zákazníka, napríklad pre hrozby, zraniteľnosti, následky a opatrenia,

  • generovanie výstupov použiteľných pre vedenie, audit a dohľad.


Ak máte NIS2 postavené na prehľade aktív, jednotnom hodnotení rizík a pravidelnej revízii, checklist sa z jednorazovej kontroly zmení na rutinu, ktorú viete udržať aj obhájiť pri dohľade.


 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page