Biztonsági tesztelési és red teaming szabályzat

A Biztonsági tesztelési és red teaming szabályzat (P40) átfogó keretrendszert hoz létre a szervezet kiberbiztonsági intézkedéseinek folyamatos értékelésére és validálására. Elsődleges célja a NIS2 21. cikk (2) bekezdés f) pontjához hasonló szabályozásoknak való megfelelés biztosítása, amely formális és strukturált folyamatokat ír elő a kiberbiztonsági kockázatkezelési tevékenységek eredményességének értékelésére. Rendszeres sérülékenységvizsgálatok, a kritikus rendszerek éves penetrációs tesztelése, valamint időszakos red team szimulációk bevezetésével a szabályzat biztosítja a proaktív gyengeségazonosítást, amelyet a standard üzemeltetési kontrollok esetleg nem észlelnek. A szabályzat hatóköre széles, és magában foglalja a szervezeten belüli valamennyi kritikus információs rendszert, alkalmazást és a támogató infrastruktúrát. Fontos, hogy a fizikai biztonság aspektusaira is kiterjed – például a szociális manipulációra és a releváns esetekben a fizikai penetrációs tesztekre – a szervezeti védelem holisztikus megközelítése érdekében. Valamennyi belső biztonsági csapat, külső tesztelő cég, valamint az érintett rendszertulajdonosok vagy alkalmazástulajdonosok kötelesek a követelmények betartására. A tesztelési tevékenységek szigorúan szabályozottak: engedélyezést és meghatározott szabályok betartását igénylik a zavarok megelőzése és a biztonság garantálása érdekében. A szerepkörök és felelősségek egyértelműen rögzítettek az elszámoltathatóság fenntartása és a folyamatok egyszerűsítése érdekében. Az információbiztonsági vezető (CISO) által kijelölt Biztonsági tesztelési koordinátor felügyeli valamennyi biztonsági tesztelési tevékenység tervezését, végrehajtását és jelentéskészítését. A belső csapatok védekező és tesztelő szerepkörökben együttműködnek, míg a red team vagy a penetrációs tesztelők (belső vagy harmadik fél) kontrollált támadási forgatókönyveket hajtanak végre a megállapodott paraméterek szerint. A rendszertulajdonosok biztosítják az azonosított problémák időben történő korrekcióját, a vezetőség pedig a megállapításokat integrálja a szélesebb kockázatkezelési és megfelelőségi jelentési folyamatokba. A szabályzat erős hangsúlyt helyez a részletes irányításra: minden tesztet megelőz a hatókör és a végrehajtási szabályok meghatározása, szigorú engedélyezési eljárások és alapos jelentéskészítés. Kiemeli a biztonságos adatkezelés fontosságát, előírva, hogy bármely elért éles adat bizalmas maradjon, és a jelentésekben csak anonimizált részletek szerepeljenek. A korrekció kötelező és nyomon követett, a javítások ellenőrzésére pedig újratesztelés történik. A szabályzat a releváns esetekben a beszállítói és harmadik fél rendszerekre is kiterjed, biztosítva az ellátási lánc menti összehangolást. A folyamatos fejlesztés kiemelt téma: az ismétlődő megállapításokból származó tanulságoknak hatniuk kell a szabályzatokra, a biztonságos konfigurációs standardokra és az incidenskezelési tervre. Kötelező képzési programok vonatkoznak az IT, a fejlesztési és a vezetői munkatársakra a tudatosság erősítése, az üzemeltetési fegyelem megerősítése és a felmerülő fenyegetésekkel szembeni éberség fenntartása érdekében. Valamennyi tesztelési tevékenység naplózásra kerül, és időszakosan auditálják az eredményesség, a szabályozási kötelezettségek teljesítése, valamint a korrekciós intézkedések határidőre történő lezárásának igazolására. A felülvizsgálatok évente vagy jelentős incidensek után esedékesek, biztosítva, hogy a szabályzat naprakész maradjon a dinamikus fenyegetési környezetben.