Atitikties Lietuvos banko informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimams vertinimo paslaugos

Finansų sektoriaus subjektai – bankai, investicinės įmonės, draudimo įmonėm, kredito įstaigos ir kt. (toliau – Organizacijos) privalo užtikrinti Lietuvos banko valdybos nutarime nustatytus Informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimus (toliau – Reikalavimai). Lietuvos bankas tokioms organizacijoms kelia reikalavimą valdyti informacinių ir ryšių technologijų (IRT) ir saugumo riziką visos organizacijos veikloje ir teikiamų paslaugų apimtyje, taip pat užtikrinti IRT sistemose saugomos, apdorojamos ir perduodamos informacijos apsaugą.

Organizacijos privalo įgyvendinti kylančioms rizikoms sumažinti reikiamas technines ir organizacines informacinių ir ryšių technologijų ir saugumo rizikos valdymo priemones. Tinkamai neįgyvendinus Lietuvos Banko reikalavimų organizacijai gali būti panaikinta licencija užsiimti finansine veikla, o esant asmens duomenų saugumo pažeidimui pagal Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas gali būti skiriamos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

Organizacijos Lietuvos banko reikalavimų įgyvendinimui gali pasirengti savarankiškai arba pasinaudoti mūsų teikiama paslauga – Atitikties Lietuvos banko informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimams vertinimo paslaugos.

• Atliekame atitikties Reikalavimams vertinimą ir parengiame neatitikčių šalinimo planą
• Parengiame arba koreguojame organizacijų informacijos ir kibernetinio saugumo valdymą reglamentuojančius vidaus teisės aktus (politikas, tvarkas, procedūras) pagal Reikalavimus
• Atliekame IRT ir saugumo rizikų vertinimą, parengiame rizikų valdymo priemonių planą
• Recovery Time Objective Atliekame IRT veiklos poveikio verslui analizę (angl. Business impact analysis – BIA), nustatome ir su informacinių išteklių savininkais suderiname RPO – toleruotinus duomenų praradimo dydžius (angl. Recovery Point Objective) ir RTO – minimalius paslaugų atstatymo laiko intervalus (angl. Recovery Time Objective)
• Atliekame technologinio pažeidžiamumo vertinimą
• Atliekame veiklos tęstinumo planų testavimą
• Pagal poreikį atliekame kitas reikiamas veiklas (pvz. parengiame IRT strategiją ir pan.)
• Organizuojame organizacijos darbuotojų supažindinimą su Reikalavimais
• Konsultuojame dėl būtinų veiklų atlikimo ir pasiruošimo Reikalavimų įgyvendinimui

• Parengta atitikties Lietuvos Banko reikalavimas vertinimo ataskaita ir neatitikčių šalinimo planas
• Parengti arba pakoreguoti organizacijos informacijos ir kibernetinio saugumo valdymą reglamentuojantys vidaus teisės aktai (politikos, tvarkos, procedūros) pagal Reikalavimus
• Parengta IRT ir saugumo rizikų vertinimo ataskaita ir rizikų valdymo priemonių planas
• Parengta technologinio pažeidžiamumo vertinimo ataskaita ir rekomenduojamų veiksmų planas
• Parengta veiklos tęstinumo plano testavimo ataskaita
• Parengta Reikalavimų mokymų medžiaga ir supažindinti organizacijos darbuotojai
• Suteiktos konsultacijos pasiruošimo Reikalavimams įgyvendinimo metu

• Užtikrintas organizacijos veiklos procesų saugumas
• Darbuotojai supažindinti su Reikalavimais
• Nustatytos ir laiku pašalintos technologinio pažeidžiamumo spragos
• Laiku suvaldytos IRT ir saugumo rizikos
• Ištestuotas ir įvertintas veiklos atsparumas
• Užtikrinta atitiktis Lietuvos banko informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimams

Siekiant tinkamai įgyvendinti Reikalavimus rekomenduotume pilna apimtimi įsidiegti informacijos saugumo valdymo sistemą pagal standarto IEC/ISO 27001 reikalavimus.