Informacijos ir kibernetinio saugumo valdymas

Informacijos ir kibernetinio saugumo audito paslauga

Paslauga

Organizacijos (privataus ir viešojo sektoriaus), siekdamos įsivertinti valdomos ir tvarkomos informacijos ir asmens duomenų apsaugą bei atitiktį LR tesės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimams gali atlikti informacijos ir kibernetinio saugumo valdymo auditą (organizacinių ir techninių priemonių pakankamumo vertinimą).

Informacijos ir kibernetinio saugumo valdymo auditą gali sudaryti: Technologinio pažeidžiamumo vertinimo, Informacinių technologijų saugos atitikties vertinimo (toliau – Atitikties vertinimas) ir Informacinių sistemų informacijos saugumo rizikos vertinimo (toliau – Rizikos vertinimas) paslaugos.

Technologinio pažeidžiamumo vertinimas padės įsivertinti išorinio tinklo pažeidžiamumus pagal „black box“ metodiką, tinklo (angl. web) aplikacijų pažeidžiamumus, vidinio tinklo pažeidžiamumus pagal „white box“ metodiką. Nustatyti pažeidžiamumai patikrinami įsilaužimų testavimo būdu. Pažeidžiamumų vertinimas ir įsilaužimų testavimas bus atliekamas naudojant pažeidžiamumų ir įsilaužimų testavimo metodiką, suderinamą su „OWASPv4“ ir „OSSTMMv3“ metodikomis.

Atitikties Lietuvos Respublikos teisės aktų, reglamentuojančių informacijos saugą ir kibernetinį saugumą, reikalavimams vertinimo bei atitikties tarptautiniams standartams ISO/IEC 27001 ir ISO/IEC 27002 (toliau – ISO 27001 ir ISO 27002) reikalavimams vertinimo paslaugos padės tinkamai įsivertinti organizacijoje esamą informacijos saugos ir kibernetinio saugumo valdymo lygį. Atitikties vertinimas atliekamas, vadovaujantis 2020 m. gruodžio 4 d. LR Krašto apsaugos ministro įsakymu Nr. V-941 patvirtinta informacinių technologijų saugos atitikties vertinimo metodika, turi būti organizuojamas ir atliekamas ne rečiau kaip 1 kartą per metus.

Rizikos vertinimas gali padėti nustatyti informacijos saugos ir kibernetinio saugumo spragas ir grėsmes bei jų tinkamam valdymui pasirengti informacijos saugumo valdymo priemonių planą.

Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius*, ypatingos svarbos informacinės infrastruktūros valdytojai** privalo Nacionaliniam kibernetinio saugumo centrui pateikti Rizikos vertinimo ir Atitikties vertinimo ataskaitas. Šio reikalavimo nevykdymas arba nevykdymas laiku, užtraukia įspėjimą arba baudą juridinių asmenų vadovams ar kitiems atsakingiems asmenims.

Tinkamų ir pakankamų techninių bei organizacinių priemonių neturėjimas gali būti laikomas Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 00020 000 000 eurų.

Eiga

  • Surenkame įrodymus ir informaciją
  • Organizuojame ir atliekame interviu su už procesus atsakingais asmenimis (procesų savininkais)
  • Atliekame technologinio pažeidžiamumo vertinimą
  • Įvertiname organizacines ir technines priemones
  • Atliekame atitikties vertinimą
  • Atliekame rizikos vertinimą
  • Parengiame rekomendacijas neatitiktims saugumo spragoms šalinti ir rizikoms valdyti

Rezultatas

  • Atliktas technologinio pažeidžiamumo vertinimas. Parengta technologinio pažeidžiamumo vertinimo ataskaita su technologinių pažeidžiamumų (saugumo spragų) sąrašu ir rekomendacijomis jiems pašalinti
  • Įvertinta atitiktis. Įvertinta atitiktis LR teisės aktuose nustatytiems informacijos saugos ir kibernetinio saugumo reikalavimams. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos atitikties vertinimo metu nustatytos neatitiktys ir rekomendacijos joms pašalinti
  • Įvertinta atitiktis. Įvertinta atitiktis ISO 27001 ir ISO 27002 reikalavimams. Parengta atitikties ISO 27001 ir ISO 27002 įvertinimo ataskaita, kurioje detalizuojamos atitikties vertinimo metu nustatytos neatitiktys ir rekomendacijos joms pašalinti
  • Atliktas rizikos vertinimas. Parengtas rizikų registras, rizikos vertinimo ataskaita ir rizikos valdymo priemonių planas

Nauda

  • Nustatyti ir pašalinti technologiniai pažeidžiamumai (saugumo spragos)
  • Nustatytos ir pašalintos LR teisės aktų ir standartų ISO 27001 ir ISO 27002 reikalavimų neatitiktys
  • Nustatytos ir įvertintos rizikos bei parengtos priemonės joms valdyti
  • Užtikrinta atitiktis LR teisės aktų ir standartų ISO 27001 ir ISO 27002 reikalavimams

Atsiliepimai

Nuorodos

Kontaktinis asmuo

Ernestas Lipnickas
Mob. +370 (605) 44 444
E. paštas: ernestas.lipnickas@adwisery.eu