Informacijos ir kibernetinio saugumo audito paslauga
Paslauga
Organizacijos (privataus ir viešojo sektoriaus), siekdamos įsivertinti valdomos ir tvarkomos informacijos ir asmens duomenų apsaugą bei atitiktį LR tesės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimams gali atlikti informacijos ir kibernetinio saugumo valdymo auditą (organizacinių ir techninių priemonių pakankamumo vertinimą).
Informacijos ir kibernetinio saugumo valdymo auditą gali sudaryti: Technologinio pažeidžiamumo vertinimo, Informacinių technologijų saugos atitikties vertinimo (toliau – Atitikties vertinimas) ir Informacinių sistemų informacijos saugumo rizikos vertinimo (toliau – Rizikos vertinimas) paslaugos.
Technologinio pažeidžiamumo vertinimas padės įsivertinti išorinio tinklo pažeidžiamumus pagal „black box“ metodiką, tinklo (angl. web) aplikacijų pažeidžiamumus, vidinio tinklo pažeidžiamumus pagal „white box“ metodiką. Nustatyti pažeidžiamumai patikrinami įsilaužimų testavimo būdu. Pažeidžiamumų vertinimas ir įsilaužimų testavimas bus atliekamas naudojant pažeidžiamumų ir įsilaužimų testavimo metodiką, suderinamą su „OWASPv4“ ir „OSSTMMv3“ metodikomis.
Atitikties Lietuvos Respublikos teisės aktų, reglamentuojančių informacijos saugą ir kibernetinį saugumą, reikalavimams vertinimo bei atitikties tarptautiniams standartams ISO/IEC 27001 ir ISO/IEC 27002 (toliau – ISO 27001 ir ISO 27002) reikalavimams vertinimo paslaugos padės tinkamai įsivertinti organizacijoje esamą informacijos saugos ir kibernetinio saugumo valdymo lygį. Atitikties vertinimas atliekamas, vadovaujantis 2020 m. gruodžio 4 d. LR Krašto apsaugos ministro įsakymu Nr. V-941 patvirtinta informacinių technologijų saugos atitikties vertinimo metodika, turi būti organizuojamas ir atliekamas ne rečiau kaip 1 kartą per metus.
Rizikos vertinimas gali padėti nustatyti informacijos saugos ir kibernetinio saugumo spragas ir grėsmes bei jų tinkamam valdymui pasirengti informacijos saugumo valdymo priemonių planą.
Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius*, ypatingos svarbos informacinės infrastruktūros valdytojai** privalo Nacionaliniam kibernetinio saugumo centrui pateikti Rizikos vertinimo ir Atitikties vertinimo ataskaitas. Šio reikalavimo nevykdymas arba nevykdymas laiku, užtraukia įspėjimą arba baudą juridinių asmenų vadovams ar kitiems atsakingiems asmenims.
Tinkamų ir pakankamų techninių bei organizacinių priemonių neturėjimas gali būti laikomas Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.
Eiga
- Surenkame įrodymus ir informaciją
- Organizuojame ir atliekame interviu su už procesus atsakingais asmenimis (procesų savininkais)
- Atliekame technologinio pažeidžiamumo vertinimą
- Įvertiname organizacines ir technines priemones
- Atliekame atitikties vertinimą
- Atliekame rizikos vertinimą
- Parengiame rekomendacijas neatitiktims saugumo spragoms šalinti ir rizikoms valdyti
Rezultatas
- Atliktas technologinio pažeidžiamumo vertinimas. Parengta technologinio pažeidžiamumo vertinimo ataskaita su technologinių pažeidžiamumų (saugumo spragų) sąrašu ir rekomendacijomis jiems pašalinti
- Įvertinta atitiktis. Įvertinta atitiktis LR teisės aktuose nustatytiems informacijos saugos ir kibernetinio saugumo reikalavimams. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos atitikties vertinimo metu nustatytos neatitiktys ir rekomendacijos joms pašalinti
- Įvertinta atitiktis. Įvertinta atitiktis ISO 27001 ir ISO 27002 reikalavimams. Parengta atitikties ISO 27001 ir ISO 27002 įvertinimo ataskaita, kurioje detalizuojamos atitikties vertinimo metu nustatytos neatitiktys ir rekomendacijos joms pašalinti
- Atliktas rizikos vertinimas. Parengtas rizikų registras, rizikos vertinimo ataskaita ir rizikos valdymo priemonių planas
Nauda
- Nustatyti ir pašalinti technologiniai pažeidžiamumai (saugumo spragos)
- Nustatytos ir pašalintos LR teisės aktų ir standartų ISO 27001 ir ISO 27002 reikalavimų neatitiktys
- Nustatytos ir įvertintos rizikos bei parengtos priemonės joms valdyti
- Užtikrinta atitiktis LR teisės aktų ir standartų ISO 27001 ir ISO 27002 reikalavimams
Atsiliepimai
- Valstybinėje mokesčių inspekcijoje (VMI) atliktas atitikties vertinimas
- Informatikos ir ryšių departamente (IRD) atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
- Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
- Registrų Centre (RC) įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas
Nuorodos
- Atitikties vertinimo paslaugos aprašymas
- ISO 27001 ir 27002 atitikties vertinimo paslaugos aprašymas
- Rizikos vertinimo paslaugos aprašymas
- Bendrasis duomenų apsaugos reglamentas (BDAR)
- Lietuvos Respublikos kibernetinio saugumo įstatymas
- Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“
- Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimas Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“
- Lietuvos Respublikos administracinių nusižengimų kodeksas
Kontaktinis asmuo
Ernestas Lipnickas
Mob. +370 (605) 44 444
E. paštas: ernestas.lipnickas@adwisery.eu