Invosec
The CoverContact UsOur Insights
Explore
NIS2 (KSRA)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)
II Skyrius Antrasis skirsnis (7-15 p.)

Kibernetinio saugumo rizikos analizė

7. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti kibernetinio saugumo subjekto tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarką, apimančią:

  • 7.1. už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingo asmens arba asmenų paskyrimą
  • 7.2. vertinimo ir valdymo procesą
  • 7.3. priimtiną kibernetinio saugumo subjektui rizikos lygį
  • 7.4. rizikos vertinimo periodiškumo reikalavimus.

8. Rizikos vertinimo ir valdymo procesas turi apimti bent šiuos elementus:

  • 8.1. tinklų ir informacinių sistemų identifikavimą ir klasifikavimą
  • 8.2. rizikos analizę, apimančią grėsmių ir spragų analizę ir vertinimą, galimą poveikį, rizikos apskaičiavimą
  • 8.3. rizikos valdymo priemonių pasirinkimą.

9. Rizikos vertinimas turi būti atliekamas ne rečiau kaip kartą per metus, įvykus esminiams kibernetinio saugumo subjekto organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui.

10. Atlikus rizikos vertinimą, kibernetinio saugumo subjektai turi parengti rizikos vertinimo ataskaitą ir, jei rizikos vertinimo metu yra nustatoma šalinamų trūkumų, rizikos valdymo planą, kuriuos patvirtina kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo.

11. Rizikos vertinimo ataskaita turi apimti bent tinklų ir informacinių sistemų turto identifikavimą, poveikio vertinimą, grėsmių ir spragų vertinimo informaciją bei rizikos apskaičiavimo rezultatus pagal kibernetinio saugumo subjekto nustatytus kriterijus, taip pat rizikos valdymą.

12. Rizikos valdymo planas turi apimti bent priemonių nepriimtinoms rizikoms valdyti nustatymą ir reikalingus išteklius, už priemonių įgyvendinimą atsakingus asmenis bei priemonių įgyvendinimo terminus.

13. Kibernetinio saugumo subjektas teikia rizikos vertinimo ataskaitos ir rizikos valdymo plano patvirtinimo duomenis, nurodydamas patvirtinimo datą ir registracijos numerį bei rizikos vertinimo metu nustatytus apibendrintus rezultatus: identifikuotas grėsmes, jų tikimybę ir poveikį veiklai, rizikos lygius ir valdymo priemones, į KSIS ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo.

14. Kibernetinio saugumo subjekto vadovo arba jo įgalioto asmens patvirtintos rizikos vertinimo ataskaitos ir rizikos valdymo planai turi būti saugomi ne mažiau kaip 3 metus.

15. NKSC, atlikdamas kibernetinio saugumo subjekto patikrinimą, turi teisę pareikalauti kibernetinio saugumo subjekto pateikti rizikos vertinimo ataskaitos kopiją ir rizikos valdymo priemonių plano kopiją. Kibernetinio saugumo subjektas šiuos dokumentus turi pateikti į KSIS ne vėliau kaip per 5 darbo dienas nuo NKSC prašymo gavimo dienos.
Previous Tinklų ir informacinių sistemų saugumo politika
Next Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos