Fejléc

Az ISO 27001:2022 és NIS2 irányelv követelményei és a SIEM megoldások alkalmazhatósága

Szerző ikon Tóth Tamás

Dátum ikon 2024.11.28

Az információbiztonsági megfelelési források – jelen esetben szabványok és jogszabályok – szempontjából fontos mérföldkőnek számított az elmúlt másfél-két év. Gondoljunk csak az „új” ISO 27001:2022 szabványra, a NIS2 irányelvre és a kapcsolódó Kibertantv.-re. A felsorolt követelményforrások egyrészt új, vagy átalakított követelményeket, másrészt kiterjesztett érintetti kört hoztak magukkal, amelyek a legtöbb információbiztonsági területen tevékenykedő szakértőt már érintenek, vagy érinteni fognak.
Ebben a cikkünkben a NIS2 irányelv/Kibertantv. és az ISO 27001:2022 szabvány követelmények nézőpontján keresztül mutatjuk be a Security Information and Event Management (SIEM) megoldások szükségességét és előnyeit. A jövőhéten megjelenőben pedig ehhez kapcsolódva magát a SIEM megoldást is.

ISO 27001 – új szabvány

ISO 27001:2013

Az információbiztonság irányítási rendszer (IBIR-ISMS) elemeit és kontrolljait tartalmazó ISO 27001 nemzetközi szabvány első verziója 2005-ben jelent meg, de a gyökerei egészen az 1990-es évekig nyúlnak vissza. Az ISO 27001 követelményei megkerülhetetlenné váltak az információbiztonsági területen, amit az ISO, vagyis a Nemzetközi Szabványügyi Szervezet 2022-ben készült hivatalos statisztikája is megerősít: nemzetközi szinten több, mint 71 ezer tanúsítvány lett kibocsátva a szabvány 2013-as verziójából, de sokan önkéntesen, tanúsítás nélkül is alkalmazzák az előírásokat.[1] A szabvány aktuális verziója 2022. októberében jelent meg, az átálláshoz a megjelenéstől számítva 3 év áll rendelkezésre, emiatt legkésőbb jövőre aktuális, de sok szervezet már idén esedékes auditok előtt átáll az új szabványra, hogy emiatt ne legyen szükség soron kívüli auditra.

A szabvány kontrollokat tartalmazó „A” melléklete jelentős változáson esett át a 2005-ös és 2013-as verziókhoz képest. A kontrollokat többek közt témák (People, Physical, Technological, Organizational), a NIST CSF-ből ismert kiberbiztonsági koncepciók (Identify, Protect, Detect, Respond, Recover) és műveleti képességek (pl. Governance, Application_security, Secure_configuration, Identity_and_access_management,System_and_network_security stb.) szerint is kategorizálták.
A szabvány 2013-as verziója az Üzemeltetés biztonsága (A.12) fejezeten belül az A.12.4 Naplózás és monitorozás alfejezeten belül határozta meg a naplózásra vonatkozó követelményeket:

  • A.12.4.1 Event logging: A felhasználói tevékenységeket, kivételeket, hibákat és információbiztonsági eseményeket rögzítő eseménynaplókat kell készíteni, megőrizni és rendszeresen felülvizsgálni.
  • A.12.4.2 Protection of log information: A naplózási eszközöket és a naplóadatokat védeni kell a manipuláció és a jogosulatlan hozzáférés ellen.
  • A.12.4.3 Administrator and operator logs: A rendszergazda és a rendszerüzemeltető tevékenységeit naplózni kell, a naplókat pedig védeni és rendszeresen ellenőrizni kell.
  • A.12.4.4 Clock synchronisation: A szervezeten belül az összes releváns információfeldolgozó rendszer óráját egyetlen referenciaidőforráshoz kell szinkronizálni.


A hivatkozott 2013-as verzióból – az alfejezet megnevezésén kívül – hiányzik a mára általánosnak vehető folyamatos monitorozás, reaktív a megközelítés. A felsorolt kontrollokban szereplő rendszeres felülvizsgálat/ellenőrzés során előfordulhat, hogy a szervezet későn – akár hetekkel, hónapokkal később – fedezi fel az információbiztonsági eseményekre utaló jeleket és emiatt már nem tud megfelelően reagálni. A szintén 2013-ban megjelent ISO 27002 szabvány megvalósítási javaslatokat ad az ISO 27001-es szabvány „A” mellékletének követelményeihez. Itt az A.12.4.1 Event logging kontrollnál már megemlítik az automatizált felügyeleti rendszereket, amelyek képesek összevont jelentéseket és riasztásokat generálni a rendszerek biztonságáról, de további útmutatás nem áll rendelkezésre.

ISO 27001:2022

Az ISO 27001:2022 szabványnál megváltozott a naplózásra és monitorozásra vonatkozó kontrollok helye és felépítése. Az Information_security_event_management működési képességhez sorolták őket, ahova az információbiztonsági incidensek kezelésére vonatkozó kontrollok is tartoznak.
A 8.15 Logging kontrollon belül össze lettek vonva az A.12.4.1 Event logging, A.12.4.2 Protection of log information, A.12.4.3 Administrator and operator log kontrollok. A 8.17 Clock synchronization és  az A.12.4.4 Clock synchronisation kontrollok majdnem teljesen megegyeznek:

  • 8.15 Logging: A tevékenységeket, kivételeket, hibákat és egyéb releváns eseményeket rögzítő naplókat kell készíteni, tárolni, védeni és elemezni.
  • 8.16 Monitoring activities: A hálózatokat, rendszereket és alkalmazásokat figyelemmel kell kísérni a rendellenes viselkedés szempontjából, és megfelelő intézkedéseket kell tenni a lehetséges információbiztonsági incidensek értékelése érdekében.
  • 8.17 Clock synchronization: A szervezet által használt információfeldolgozó rendszerek óráit szinkronizálni kell a jóváhagyott időforrásokkal.


A 8.16 Monitoring activities kontroll teljesen új és már a proaktív megközelítést tükrözi. A kapcsolódó ISO 27002:2022 szabvány hasznos tanácsokat ad a megvalósításhoz, többek közt az alkalmazandó eszközökre is. Olyan felügyeleti eszköz használatát javasolják, amely a:

  • felügyeletet valós időben vagy időszakos időközönként tudja végezni a szervezeti igényektől és képességektől függően,
  • nagy mennyiségű adatot képes kezelni,
  • folyamatosan változó fenyegetettségi környezethez képes alkalmazkodni,
  • lehetővé teszi a valós idejű értesítést,
  • felismeri az egyedi jeleket és adat- vagy hálózati, illetve alkalmazási viselkedési mintákat.


Nem szabad elfelejteni, hogy a monitorozáshoz nem csupán technológia szükséges, de biztosítani kell az ehhez szükséges folyamatokat és a megfelelő kompetenciával és tapasztalattal rendelkező emberi erőforrást is.
Az ISO 27001:2022 szabványra való átállás során kihívással szembesülhetnek azok a szervezetek, akik a 2013-as szabvány által előírt – viszonylag statikus – naplózásra rendezkedtek be és a technológiájuk, folyamataik és emberi erőforrásaik jelenleg nem rendelkeznek az új szabvány szerinti proaktív biztonsági monitoring képességgel.

NIS2 irányelv – Kibertantv. – 7/2024 MK rendelet

A NIS2 irányelv[2] magasszintű kiberbiztonsági kockázatkezelési intézkedéseket határoz meg az érintett szervezetekre nézve. Minden tagállam – az EU-s keretek közt – maga dönti el, hogy hogyan, milyen részletes követelményekkel ülteti át az előírásokat. Az irányelv kiberbiztonsági kockázatkezelési intézkedésekei közt felbukkan az eseménykezelés (angol szövegben incident handling) és a GDPR-hoz hasonlóan előírják ezek bejelentését a nemzeti CSIRT-ek felé. A jogszabály értelmező rendelkezéseiben megtalálhatók a kapcsolódó definíciók is:

  • esemény (incident): olyan esemény, amely veszélyezteti a hálózati és információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát.
  • eseménykezelés (incident handling): minden olyan tevékenység és eljárás, amelynek célja az esemény megelőzése, észlelése, elemzése és elszigetelése vagy az eseményre való reagálás és az eseményt követően a működés helyreállítása.


A NIS2 irányelvet Magyarország a Kibertantv.-vel[3] ültette át, ebben a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére vonatkozó intézkedések vannak előírva. A Kibertantv. NIST SP 800-53 Rev.5 szabványon alapuló végrehajtási rendelete[4] a védelmi intézkedés katalógusban Naplózás és elszámoltathatóság címen konkrét fejezetet szentelt a témakörnek. Fő kontrollok (jelentős biztonsági osztály esetén):

  • 4.2 Naplózható események
  • 4.3 Naplóbejegyzések tartalma,
  • 4.4 Naplóbejegyzések tartalma – Kiegészítő naplóinformációk
  • 4.5 Naplózás tárkapacitása
  • 4.7 Naplózási hiba kezelése
  • 4.13 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel,
  • 4.14 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Automatizált folyamatintegráció,
  • 4.15 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Naplózási tárhelyek összekapcsolása
  • 4.22 Naplóbejegyzések csökkentése és jelentéskészítés,
  • 4.23 Naplóbejegyzések csökkentése és jelentéskészítés – Automatikus feldolgozás
  • 4.24 Időbélyegek
  • 4.25 Naplóinformációk védelme,
  • 4.29 A naplóinformációk védelme – Privilegizált felhasználók hozzáférése
  • 4.38 A naplóbejegyzések megőrzése
  • 4.40 Naplóbejegyzések létrehozása


A Nemzeti Kibervédelmi Intézet által készített alkalmazási útmutatóban[5] több védelmi intézkedésnél is meg lett említve a SIEM, mint alkalmazható technológia:

  • 4.14 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Automatizált folyamatintegráció (jelentős biztonsági osztály):
    • A szervezetnek be kell vezetnie automatikus mechanizmusokat a naplóbejegyzések felülvizsgálatára, elemzésére és jelentési folyamataira. Ez magában foglalhatja a naplóelemzési eszközök, mint például a SIEM rendszerek használatát.
  • 4.15 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Naplózási tárhelyek összekapcsolása (jelentős biztonsági osztály):
    • A szervezetnek implementálnia kell egy naplóelemző eszközt vagy szolgáltatást (pl.: SIEM rendszer) amely képes összegyűjteni, elemezni és összekapcsolni a naplóbejegyzéseket.
  • 4.16 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Központi vizsgálat és elemzés (opcionális kontroll):
    • A központi felülvizsgálatok és elemzések automatizált rendszerei közé tartoznak a biztonsági információ- és eseménykezelő (SIEM) eszközök. A SIEM képes összegyűjteni és összehasonlítani a különböző EIR-ekből származó naplóbejegyzéseket, lehetővé téve az érintett szervezet számára, hogy átfogó képet kapjon az EIR-ek állapotáról és azok tevékenységéről. Ez a funkció különösen hasznos lehet a kiberbiztonsági események kezelésében, mivel lehetővé teszi a szervezet számára, hogy gyorsan azonosítsa és reagáljon a potenciális biztonsági fenyegetésekre. Például, ha egy adott EIR rendellenes tevékenységet mutat a naplóbejegyzések alapján, a SIEM segítségével képes központilag észlelni ezt, és értesítheti az érintett személyeket vagy szerepköröket. Itt az a lényeg, hogy minden az incidenshez kapcsoló esemény egy helyen elérhető és az összefüggés megérthető.
  • 4.17 Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Felügyeleti képességek integrálása (magas biztonsági osztály):
    • A biztonsági információ- és eseménykezelő (SIEM) eszközök segíthetnek a naplóbejegyzések több rendszerkomponensből történő összegyűjtésében vagy konszolidálásában, illetve a naplóbejegyzések korrelációjában és elemzésében
  • 18.15 Az EIR monitorozása – Automatizált eszközök és mechanizmusok valós idejű elemzéshez (jelentős biztonsági osztály):
    • A szervezetnek be kell szereznie azokat az automatizált eszközöket és mechanizmusokat, amelyek támogatják az események majdnem valós idejű elemzését. Ezek közé tartoznak a host-alapú, hálózat-alapú, szállítás-alapú vagy tárolás-alapú eseményfigyelő eszközök és mechanizmusok, vagy a biztonsági információ- és eseménykezelő technológiák (SIEM), amelyek valós idejű elemzést biztosítanak az EIR által generált riasztásokról és értesítésekről.

[1] https://www.iso.org/the-iso-survey.html
[2] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv)
[3] 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
[4] 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
[5] https://nki.gov.hu/intezet/kozlemenyek/elektronikus-informacios-rendszerek-es-szervezetek-kiberbiztonsagi-kovetelmenykatalogusanak-alkalmazasi-utmutatoja/