Avagy miért nem a szabályzatod fog átmenni az auditon, hanem a mappáid rendje
A NIS2 felkészülés egyik legnagyobb félreértése az, hogy a megfelelés „szabályzatírással” kezdődik. Pedig a valóság egészen más. A NIS2 audit nem azt szeretné látni, hogy van-e egy szép policy csomagod, hanem azt, hogy a kiberbiztonság bizonyíthatóan működik-e. Márpedig amit nem tudsz bizonyítani, az audit szempontból olyan, mintha nem is létezne.
Pont ezért a NIS2 felkészülés egyik legjobb döntése az, ha már a legelején felépítesz egy audit evidenciacsomagot. Ez nem egy „extra adminisztráció”, hanem valójában a túlélőkészleted: egy olyan logikus mappastruktúra és bizonyítékgyűjtési rend, amivel az auditor kérdéseire nem pánikból válaszolsz, hanem nyugodtan megmutatod, amit kér.
Ebben a cikkben azt mutatom meg neked, hogyan néz ki egy jól felépített NIS2 audit evidenciacsomag, milyen mappákra van szükséged, milyen típusú dokumentumokat kell gyűjtened, és mire figyelj, hogy a bizonyíték ne „szétszórt fájlok halmaza” legyen, hanem auditképes rendszer.
Miért bukhat el a NIS2 audit a legtöbbször?
Nagyon egyszerű okból: mert a szervezet nem tud bizonyítani. Sok cégnél megvan a szándék, megvan a szakértelem, sőt gyakran még a kontrollok is léteznek. A gond ott kezdődik, hogy nincs evidenciacsomag, ezért a bizonyítékok:
- szétszórtan vannak (külön levelezésekben, ticketekben, laptopokon),
- nem visszakereshetőek,
- nincs verziójuk, dátumuk, felelősük,
- vagy egyszerűen audit előtt „utólag próbálják összeszedni”.
A NIS2 audit azonban nem megérzésre épül. Az audit logikája tényekből dolgozik. Ha például azt mondod, hogy „van mentés”, akkor jön a következő kérdés: „mikori restore tesztet tudsz mutatni?” Ha azt mondod, hogy „kezeljük a hozzáféréseket”, akkor jön a következő kérdés: „hol van az admin jogosultságok felülvizsgálatának nyoma?” Ez a fajta kérdezési lánc addig tart, amíg eljuttok a konkrét bizonyítékig. Éppen ezért a NIS2 audit nem ott dől el, hogy milyen szép a szabályzatod, hanem ott, hogy milyen gyorsan és milyen minőségben tudsz bizonyítani.
Mi az a NIS2 evidenciacsomag, és miért nem „plusz munka”?
A NIS2 audit evidenciacsomag egy központi, egységesen felépített mappastruktúra, amelyben minden kontrollhoz hozzá van rendelve a bizonyíték. Nem csak dokumentumok vannak benne, hanem auditnyomok, például:
- restore teszt jegyzőkönyvek,
- patching riportok,
- log review igazolások,
- hozzáférés-jóváhagyások,
- incidens tabletop gyakorlat jegyzőkönyvek,
- beszállítói hozzáféréslisták,
- képzési jelenléti ívek.
A jó evidenciacsomag tehát nem a „papírmunkát” növeli, hanem valójában a káoszt csökkenti. Ha egyszer jól összerakod, akkor utána a rendszer működése automatikusan termelni fogja az auditanyagot. Ez a lényege.
Hogyan néz ki egy auditképes mappastruktúra?
A mappastruktúránál a legjobb trükk az, ha auditlogikában gondolkodsz. Vagyis nem úgy rendszerezel, ahogy az IT szereti („server”, „network”, „project”), hanem úgy, ahogy az auditor kérdez („scope”, „governance”, „access”, „backup”, „supplier”, „incident”).
1) Governance: legyen nyoma annak, hogy a vezetés irányít
Az első mappában azt kell tudnod bizonyítani, hogy a NIS2 nem IT-hóbort, hanem vezetői felelősségű rendszer. Itt kap helyet például a scope jóváhagyás, a felelősségi mátrix (RACI), a projektterv, és a vezetői review jegyzőkönyvek.
2) Scope és EIR nyilvántartás és szabályzatok: tudd megmutatni, mit auditálnak
A scope, az EIR-ek és a szabályzatok mappa a NIS2 audit alapja. Itt szerepel a hatálydokumentum, az elektronikus információs rendszerek nyilvántartása, a kritikus rendszerek függőségi térképe és az adatkezelési áttekintés. Ha ezt a részt nem tudod egyértelműen bizonyítani, akkor a teljes audit bizonytalan terepre kerül.
3) Eszköz- és szoftverleltár: ami nincs listán, az nincs kontroll alatt
Ez az egyik legfájdalmasabb pont, de nagyon egyértelmű: ha nincs leltár, nincs patching lefedettség, nincs jogosultságkontroll, és nincs beszállítói hozzáféréskezelés sem. A leltár nem adminisztráció, hanem alapanyag.
4) Jogosultságkezelés: itt szoktak a legtöbben elcsúszni
A hozzáférések és admin jogosultságok területén az auditor mindig konkrét bizonyítékot kér. Nem elég, hogy van eljárás, azt is látni kell, hogy működik. Ezért külön mappa kell a hozzáférés-jóváhagyásoknak, külön mappa az admin listának, és külön mappa a belépés–kilépés kontrollok bizonyítékainak.
5) Mentések és restore tesztek: a NIS2 egyik legkritikusabb bizonyítéka
A mentések esetében a kulcs az, hogy legyen restore teszt nyom. Mert mentése mindenkinek van. Visszaállítani viszont már kevesen tudnak bizonyíthatóan. Egy jól dokumentált restore teszt auditon aranyat ér, mert azt mutatja: a szervezet krízishelyzetben is kontrollált.
6) Patching, monitoring, incidenskezelés: működésnyomok kellenek
Ezeknél a kontrolloknál az auditor tipikusan azt vizsgálja, hogy van-e rendszeresség, van-e felelős, és van-e nyoma annak, hogy ténylegesen foglalkoztok vele. Ide tartoznak a patching riportok, vulnerability scan jelentések, log reviewk, riasztáskezelési ticketek, valamint incidens tabletop gyakorlatok.
7) Beszállítók: a valós kockázati bomba
A beszállítói hozzáférések területe az egyik leggyakoribb auditgyenge pont. Egy jó evidenciacsomagban ezért szerepel beszállítói nyilvántartás, kockázati besorolás, külső hozzáférések listája, és szerződéses security követelmények. Ezt nem lehet félvállról venni, mert a beszállító gyakran nagyobb kockázat, mint bármelyik belső munkatárs.
8) Oktatás és tudatosság: ha nincs bizonyíték, nem is volt oktatás
A képzések esetében az auditor nem azt kérdezi, hogy „volt-e oktatás”, hanem azt, hogy „ki mikor mit kapott, és ez hogyan követhető vissza”. Ezért kell oktatási terv, jelenléti ívek vagy LMS export, illetve például phishing awareness kampány eredménye.