Spaudos centras
Spaudos centras
Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) pristatė naują kibernetinio saugumo rizikų vertinimo metodiką, skirtą kibernetinio saugumo subjektams. Ji padės organizacijoms įvertinti kibernetinio saugumo rizikas ir pasiruošti Kibernetinio saugumo įstatymo atitikčiai.
Lietuvos kibernetinio saugumo subjektams parengta rizikų valdymo metodika remiasi visame pasaulyje pripažintais standartais, tokiais kaip NATO rizikų valdymo principai, ISO/IEC 27005, NIST ir BSI praktikos. Kartu su metodika organizacijoms pateikiami ir praktiniai šablonai – rizikų vertinimo ataskaitos bei rizikų valdymo plano formos.
„Kibernetinio saugumo rizikų vertinimo metodika sukurta remiantis geriausiomis pasaulinėmis praktikomis. Ji padės organizacijoms suvienodinti rizikų vertinimo procesą valstybės lygmeniu, vieningai apsibrėžti sąvokas ir priimti pagrįstus sprendimus“, – aiškina NKSC direktorius Antanas Aleknavičius.
Turto pagrindu atliekamas rizikų identifikavimas
Svarbi metodikos dalis – turto pagrindu atliekamas rizikų identifikavimas. Šio proceso metu sudaromas turto katalogas, identifikuojami svarbūs informacinių sistemų ir tinklų komponentai, nustatyti jų savininkai ir kritinė svarba pagal konfidencialumo, vientisumo ir prieinamumo kriterijus.
Rizikų identifikavimo procesas leidžia organizacijoms pagrįsčiau įvertinti, kokią įtaką identifikuoti pažeidžiamumai gali turėti konkrečiam turtui ar turto grupei ir kokios rizikos iš to kyla. Šioje metodikoje taip pat pateikiamas grėsmių ir pažeidžiamumų katalogas, kurį organizacijos gali pritaikyti pagal savo sektoriaus specifiką, atliktus testavimus, auditus ar patirtus incidentus.
Rekomendacinio pobūdžio metodika
NKSC parengta rizikų vertinimo metodika yra rekomendacinio pobūdžio, todėl organizacijos gali ją pritaikyti pagal savo veiklos specifiką, rizikų lygmenį ir organizacijos procesus. Vis dėlto NKSC pabrėžia, kad rizikų vertinimo metodikos naudojimas rekomenduotinas, nes pats kibernetinio saugumo rizikų vertinimas yra privalomas pagal Kibernetinio saugumo įstatymo įgyvendinimo reikalavimų aprašą (KSRA).
Rizikų vertinimas padeda įvertinti turimą IT turtą, jo priklausomybes ir pažeidžiamumus. Ši metodika organizacijoms taip pat leidžia priimti vieningus ir pagrįstus sprendimus dėl rizikų valdymo.
Kibernetinio saugumo rizikų vertinimo metodika jau pasiekiama Kibernetinio saugumo informacinėje sistemoje (KSIS). Prie KSIS prisijungti gali tie subjektai, kurie turi kibernetinio saugumo subjekto statusą. NKSC primena, kad KSIS aplinkoje galima rasti platų priemonių spektrą, skirtą organizacijų kibernetinio saugumo infrastruktūrai stiprinti.
NKSC kviečia organizacijas prisijungti prie KSIS sistemos ir pradėti naudotis Lietuvos organizacijoms sukurtais įrankiais ir priemonėmis.
Kilus klausimų dėl prisijungimo prie sistemos, dėl rizikų valdymo metodikos ar kitų priemonių taikymo, organizacijos gali kreiptis el. paštu atitiktis@nksc.lt.
