Informacijos saugumo rizikų vertinimai pagal ISO 27005 ir ARSIS metodiką
Paslauga
Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai privalo ne rečiau kaip kartą per metus arba po esminių organizacinių ar sisteminių pokyčių teisės aktų nustatyta tvarka organizuoti ir atlikti rizikos vertinimą.
Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai, elektroninės informacijos prieglobos paslaugų teikėjai ir skaitmeninių paslaugų teikėjai privalo ne rečiau kaip kartą per dvejus metus arba po esminių organizacinių ar sisteminių pokyčių teisės aktų nustatyta tvarka organizuoti ir atlikti rizikos vertinimą.
Subjektai privalo Nacionaliniam kibernetinio saugumo centrui pateikti rizikos vertinimą, šio reikalavimo nevykdymas arba nevykdymas laiku, užtraukia įspėjimą arba baudą juridinių asmenų vadovams ar kitiems atsakingiems asmenims.
Duomenų valdytojai ir duomenų tvarkytojai pagal Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus privalo įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Informacijos saugumo rizikos vertinimas gali padėti pasirinkti optimaliausias technines ir organizacines priemones.
Tinkamų techninių ir organizacinių priemonių neturėjimas gali būti laikomas BDAR nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.
Eiga
- Surenkame įrodymus ir informaciją
- Vertiname informaciją
- Parengiame informacinių išteklių sąrašą
- Atliekame informacinių išteklių poveikio informacijos konfidencialumui, vientisumui, prieinamumui bei asmens duomenų panaudojimo teisėtumui įvertinimą
- Nustatome RPO – toleruotinus duomenų praradimo dydžius (angl. Recovery Point Objective) ir RTO – minimalius paslaugų atstatymo laiko intervalus (angl. Recovery Time Objective)
- Nustatome esamus pažeidžiamumus ir rizikos spragas
- Identifikuojame, išanalizuojame ir įvertiname informacijos saugumo rizikas
- Identifikuojame ir įvertiname informacijos saugos ir kibernetinio saugumo organizacines ir technines priemones bei jų pakankamumą
- Nepriimtinoms rizikos valdyti parengiame rizikos valdymo priemonių planą
Rezultatas
- Parengtas informacinių išteklių sąrašas ir atliktas poveikio vertinimas. arengtas informacinių išteklių sąrašas. Atliktas informacinių išteklių poveikio informacijos konfidencialumui, vientisumui ir prieinamumui įvertinimas
- Nustatyti ir įvertinti RPO ir RTO rodikliai. Nustatyti ir įvertinti informacinių išteklių RPO ir RTO rodikliai
- Parengtas rizikų registras. Identifikuotos, išanalizuotos ir įvertintos informacijos saugumo rizikos ir grėsmės (saugumo spragos), nustatyti rizikų lygiai ir priimtinumo organizacijai lygis, taip pat identifikuotos ir įvertintos organizacinės ir techninės priemonės bei jų pakankamumas
- Parengta rizikos vertinimo ataskaita. Parengta informacijos saugumo rizikos įvertinimo ataskaita, kurioje aprašoma rizikos vertinimo metodika ir rizikos vertinimo rezultatai
- Parengtas rizikos valdymo priemonių planas. Parengtas rizikos valdymo priemonių planas, skirtas nepriimtinų rizikų lygiui mažinti, taip pat parengiami priemonių įgyvendino prioritetai ir įgyvendinimo kalendorinis grafikas
- Parengta ataskaita tinkama įkelti į ARSIS .
Nauda
- Nustatytos ir įvertintos informacijos saugos ir kibernetinio saugumo spragos, grėsmės ir rizikos, turinčios įtaką organizacijos veiklai ir veiklos tęstinumui
- Nepriimtinoms rizikos valdyti parengtas rizikos valdymo priemonių planas (priemonių prioritetai ir įgyvendinimo kalendorinis grafikas) padedantis tinkamai suvaldyti informacijos ir kibernetinio saugumo rizikas
- Vertinimas pateiktas Nacionaliniam kibernetinio saugumo centrui ir įkeltas į ARSIS
- Užtikrinta atitiktis LR teisės aktų reikalavimams
- Pasirengta organizacijos atsparumui ir veiklos tęstinumui
Atsiliepimai
- Valstybinėje mokesčių inspekcijoje (VMI) atliktas atitikties vertinimas
- Informatikos ir ryšių departamente (IRD) atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
- Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
- Registrų Centre (RC) įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas
Nuorodos
- Lietuvos Respublikos kibernetinio saugumo įstatymas
- Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“
- Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimas Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“
- Lietuvos Respublikos administracinių nusižengimų kodeksas
- Bendrasis duomenų apsaugos reglamentas (BDAR)
Kontaktinis asmuo
Ernestas Lipnickas
Mob. +370 (605) 44 444
E. paštas: ernestas.lipnickas@adwisery.eu