CIS 18 kontrolės priemonių vertinimas

Organizacijos (privačios ir viešojo sektoriaus) valdančios arba tvarkančios elektroninę informaciją ir asmens duomenis siekdamos užtikrinti jų apsaugą bei siekdamos atitikti Bendrojo duomenų apsaugos reglamento (BDAR) ir LR tesiės aktų, reglamentuojančių elektroninės informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą, turėtų įgyvendinti tinkamas organizacines ir technines priemones.

SANS instituto parengta „CIS Critical Security Controls Version 8“ metodika leidžia tinkamai įvertinti organizacijų informacijos saugos ir kibernetinio saugumo bei asmens duomenų apsaugos valdymo būklę bei techninių ir organizacinių priemonių pakankamumą ir atitiktį pasaulinei geriausiai praktikai.

SANS instituto metodika padeda įvertinti aštuoniolika kibernetinio saugumo valdymo sričių (toliau – CIS kontrolės priemonės) bei nustatyti priemonių brandos lygį ir pakankamumą suvaldyti informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos rizikas bei tinkamai užtikrinti atitiktį nustatytiems reikalavimams. Vertinamos šios CIS kontrolės priemonės – techninės įrangos inventorizacija ir valdymas, programinės įrangos inventorizacija ir valdymas, duomenų apsauga, saugi techninės įrangos ir programinės įrangos konfigūracija, paskyrų valdymas, prieigos kontrolės valdymas, nuolatinis pažeidžiamumo valdymas, audito žurnalo valdymas, el. pašto ir žiniatinklio naršyklės apsaugos priemonės, kenkėjiškų programų apsauga, duomenų atkūrimas, tinklo infrastruktūros valdymas, tinklo stebėjimas ir apsauga, saugumo sąmoningumo ir įgūdžių mokymai, paslaugų teikėjų valdymas, taikomosios programinės įrangos sauga, reagavimo į incidentus valdymas, skverbties testavimas (pažeidžiamumų vertinimas ir įsilaužimų testavimas).

Savalaikis organizacinių ir techninių apsaugos priemonių vertinimas, leidžia nustatyti jų lygį, galimas saugumo spragas, taip pat parinkti jų efektyvinimo kryptis ir tam reikiamus išteklius.

• Organizuojame interviu su už procesus atsakingais asmenimis (procesų savininkais)
• Vertiname informacijos ir kibernetinio saugumo bei asmens apsaugos valdymo procesų lygį ir brandą
• Vertiname kontrolės priemones
• Parengiame ir pateikiame rekomendacijas dėl procesų efektyvinimo
• Parengiame ir pateikiame rekomendacijas dėl organizacinių ir techninių priemonių efektyvinimo
• Pagal poreikį parengiame ir pateikiame vertinimo ataskaitą

• Įvertinti informacijos ir kibernetinio saugumo bei asmens duomenų apsaugos valdymo procesai ir jų branda. Įvertinta informacijos saugos ir kibernetinio saugumo bei asmens duomenų apsaugos valdymo procesų branda, kurios metu priskiriamas vienas iš penkių lygių – pradinis (angl. Initial), pasikartojantis (angl. Repeatable), apibrėžtas (angl. Defined), valdomas (angl. Managed), optimizuojamas (angl. Optimizing)
• Įvertintos organizacinės ir techninės kontrolės priemonės
• Pagal poreikį parengta ataskaita
• Pateiktos rekomendacijos dėl procesų ir priemonių efektyvinimo

Nauda

• Įvertinta organizacijos informacijos saugos ir kibernetinio saugumo bei asmens duomenų apsaugos valdymo procesų lygis ir branda
• Įvertintos organizacinės ir techninės kontrolės priemonės ir jų pakankamumas
• Užtikrinta atitiktis BDAR ir LR teisės aktų reikalavimams, reglamentuojančių elektroninės informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą

• UAB „StrongPoint“ įgyvendintas kibernetinio saugumo ir asmens duomenų apsaugos valdymo procesų paslaugų projektas
• Valstybinėje mokesčių inspekcijoje (VMI) įgyvendintas atitikties vertinimo projektas
• Informatikos ir ryšių departamente (IRD) atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
• Registrų Centre (RC) įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas