Informacijos ir kibernetinio saugumo vadovo paslaugos
Paslauga
Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai teisės aktų nustatyta tvarka privalo turėti informacijos saugos įgaliotinį, kurio pagrindinės funkcijos:
- turi parengti ir teisės aktuose nustatytu periodiškumu atnaujinti elektroninės informacijos ir kibernetinio saugumo valdymą reglamentuojančius vidaus teisės aktus;
- atlikti rizikos ir atitikties vertinimus;
- valdyti informacijos saugos ir kibernetinius incidentus;
- įgyvendinti asmens duomenų apsaugą užtikrinančias priemones;
- organizuoti darbuotojų mokymus;
- organizuoti veiklos tęstinumo valdymo planų išbandymus;
- ir įgyvendinti kitas teisės aktuose numatytas funkcijas.
Organizacijos informacijos saugos įgaliotinio funkcijas gali pavesti savo darbuotojas arba iš paslaugų teikėjo įsigyti informacijos ir kibernetinio saugumo vadovo paslaugas.
Privatūs subjektai turintys informacines sistemas ir IT infrastruktūrą turėtų turėti kibernetinio saugumo vadovą kuris organizuotų informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos valdymą.
Nacionalinėje kibernetinio saugumo centro ataskaitoje pažymima, kad tikrinti subjektai dažnai turi tik formalius popierinius informacijos saugos ir kibernetinio saugumo procesus, kurie nėra tinkamai organizuojami ir valdomi, šioms funkcijos įgyvendinti priskirti darbuotojai neturi reikiamo kvalifikacijos ir patirties.
Valstybinės duomenų apsaugos inspekcijos priimtuose sprendimuose nurodoma, kad kurie duomenų valdytojai ir duomenų tvarkytojai pagal Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus nesiima tinkamo asmens duomenų valdymo, neturi pakankamų techninių ir organizacinių priemonių.
Pakankamų techninių ir organizacinių priemonių neturėjimas gali būti laikomas BDAR nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2–4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.
Eiga
- Įvertiname esamą informacijos ir kibernetinio saugumo bei asmens duomenų apsaugos situaciją
- Parengiame kibernetinio saugumo politiką ir jos įgyvendinimą reglamentuojančius dokumentus
- Atliekame rizikos vertinimą
- Atliekame atitikties vertinimą
- Organizuojame kibernetinio saugumo mokymus ir socialinės inžinerijos testavimą, konsultuojame darbuotojus
- Organizuojame veiklos tęstinumo valdymo planų išbandymus/pratybas
- Koordinuojame informacijos saugos ir kibernetinių incidentų, asmens duomenų pažeidimų valdymą
- Koordinuojame pažeidžiamumų valdymo, programinės įrangos atnaujinimo, trečiųjų šalių teikiamų paslaugų informacijos saugos valdymo ir kitų procesų kontrolę
- Padedame užtikrinti LR teisės aktuose nustatytų organizacinių ir techninių kibernetinio saugumo reikalavimų įgyvendinimą ir kontrolę
Rezultatas
- Parengta ir periodiškai atnaujinama kibernetinio saugumo politika ir jos įgyvendinimo dokumentai. Parengta ir su Nacionaliniu kibernetinio saugumo centru suderinta kibernetinio saugumo politika ir jos įgyvendinimo dokumentai
- Nustatytu dažnumu atliekami atitikties vertimai. Įvertinta atitiktis LR teisės aktuose nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos neatitiktys ir parengti veiksmai nustatytoms neatitiktims pašalinti
- Nustatytu dažnumu atliekami rizikos vertinimai. Parengtas informacinių išteklių sąrašas. Atliktas informacinių išteklių poveikio informacijos konfidencialumui, vientisumui ir prieinamumui įvertinimas. Nustatyti ir įvertinti informacinių išteklių RPO – toleruotinas duomenų praradimo dydis (angl. Recovery Point Objective ) ir RTO – minimalus paslaugų atstatymo laiko intervalas (angl. Recovery Time Objective ). Identifikuotos, išanalizuotos ir įvertintos informacijos saugumo rizikos ir grėsmės (saugumo spragos), nustatyti rizikų lygiai ir priimtinumo organizacijai lygis, taip pat identifikuotos ir įvertintos organizacinės ir techninės priemonės bei jų pakankamumas. Parengta informacijos saugumo rizikos vertinimo ataskaita ir rizikos valdymo priemonių planas, skirtas nepriimtinoms rizikoms valdyti
- Organizuojami veiklos tęstinumo valdymo planų išbandymai. Surengtos pratybos, praktiškai įvertintas organizacijos gebėjimas užtikrinti veiklos tęstinumą ir informacinių sistemų ir IT infrastruktūros atstatymą
- Organizuojami kibernetinio saugumo mokymai ir socialinės inžinerijos testavimai, darbuotojams suteikiama pagalba ir konsultacijos
- Užtikrintas kibernetinio incidentų valdymas. Suvaldyti kibernetiniai incidentai pagal Nacionalinio kibernetinio incidento valdymo plano procedūras
- Įgyvendinamas organizacijos atsakingų darbuotojų ir padalinių bendradarbiavimas informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos srityje
- Užtikrinta pažeidžiamumų valdymo, programinės įrangos atnaujinimo, trečiųjų šalių teikiamų paslaugų informacijos saugos valdymo ir kitų procesų kontrolė
Nauda
- Užtikrinamas nuolatinis organizacijos informacijos saugumo valdymas
- Nuolatos vertinamos informacijos ir kibernetinio saugumo rizikos bei įgyvendinamos priemonės joms suvaldyti
- Keliama ir palaikoma darbuotojų kvalifikacija informacijos ir kibernetinio saugumo srityje, atsparumas socialiniai inžinerijai
- Užtikrinamas veiklos tęstinumas ir atstatymas
- Koordinuojama atsakingų darbuotojų ir padalinių veikla, informacijos saugos ir kibernetinių incidentų valdymas
- Užtikrinama atitiktis LR teisės aktų ir BDAR reikalavimams
Atsiliepimai
- Valstybinėje mokesčių inspekcijoje (VMI) atliktas atitikties vertinimas
- Informatikos ir ryšių departamente (IRD) atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
- Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
- Registrų Centre (RC) įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas
Nuorodos
- Lietuvos Respublikos kibernetinio saugumo įstatymas
- Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“
- Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimas Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“
- Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymas Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“
- Lietuvos Respublikos administracinių nusižengimų kodeksas
Kontaktinis asmuo
Ernestas Lipnickas
Mob. +370 (605) 44 444
E. paštas: ernestas.lipnickas@adwisery.eu