Hét év után a NIST végre frissítette alapvető biztonsági irányelveit – tele változásokkal, amelyek minden céget érintenek az adatvédelemben és a harmadik felek kockázataiban. Íme az öt legfontosabb fordulat, amit érdemes észben tartanod a biztonsági radarodon – még ha nem is vagy kormányzati beszállító.
Biztos hallottad már: újabb biztonsági szabvány jött. Kellenek ezek egyáltalán? Igen, muszáj figyelned rá. A NIST 800-53 ötödik revíziója olyan dokumentum, ami milliók munkáját irányítja. Ha IT-s vagy, compliance-szal foglalkozol, kockázatelemzést végzel vagy adatvédelmet, netán nagyvállalatokkal dolgozol – ez téged is érint.
Hét év után jött a frissítés. Nem csak kozmetikáztak. Újra gondolták a biztonságot és adatvédelmet. Lássuk, mi változott és miért számottevő.
Rég esedékes volt: a NIST bevallotta, senki sem áll egyedül.
Gondolj a saját cégedre. Felhőszolgáltatók, külső szoftverek, alvállalkozók, talán biztonsági outsource. Te is mások beszállítói vagy. Összekapcsolódó káosz, amit a régi verzió alig ismert el.
Az új kiadásban külön család az ellátási lánc kockázatokra (SR- előtaggal). 12 új szabály:
Ha van olyan partnered, akit használsz, de nem vizsgáltad – ez most lyuk a védelmedben. Szerencsére útmutatót kaptál a javításhoz.
Idegesít, ha a keretrendszerek csak felelőst neveznek ki.
Régebben: "Adjátok Janának a biztonsági csapattól. Kész." Valójában a adatbázis-admin, felhő-tervező, jogi csapat is kell. A régi verzió ezt figyelmen kívül hagyta.
Most a hangsúly azon van, működik-e a szabály. Nem ki felel érte. Ez óriási váltás.
Az iparban látjuk: unják a pipákat. A vezetők kérdezik: védve vagyunk? Nem: kitagoztuk-e? Ez főleg nem-kormányzati cégeknek jó, ahol nincs merev szervfelépítés.
Fontos technikai rész: géppel olvasható fájlok OSCAL-ban (XML, JSON, YAML).
A szkennereid, dashboardjaid frissítést igényelnek. Ha automatizáltan ellenőrzöl (és kell!), cseréld le őket.
Nem felesleges: régi eszközökkel hamis hiányokat látsz, vagy valódiakat hagysz figyelmen kívül.
Régóta furcsa volt: adatvédelem külön élt a biztonságtól. Kapcsolatuk szoros.
Negyedik verzióban csak odabiggyesztették. Most beépítették mindenbe. Új család a személyes adatokra (PT- előtaggal). Nyolc szabály:
Ez a valóság: GDPR büntet, CCPA Amerikában kötelez. A NIST hallgatott, most partnerek a biztonság és adatvédelem.
Trend: minden revízió több szabály, mert több a fenyegetés.
Több bonyodalom, de jobb védelem. Új támadások: ransomware, lánc támadások, felhő hibák, API gyengeségek – ezek hét éve ritkák voltak.
A biztonság fejlődik, a keretrendszerek is.
Szabályozott ágazatban, kormányzati munkánál vagy érzékeny adatoknál: kötelező pár éven belül. Útmutató:
Összefoglalva: ez nem ignorálható frissítés. Bemutatja a hetes fejlődést. Ha még nem gondolkodtál rajta, kezdj most.
Címkék: ['nist 800-53', 'cybersecurity compliance', 'security frameworks', 'privacy controls', 'supply chain risk', 'security standards', 'nist rev 5']