Invosec
The CoverContact UsOur Insights
Explore
NIS2 (KSRA)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)
II Skyrius Penktasis skirsnis (27-31 p.)

Veiklos tęstinumas

27. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi patvirtinti tinklų ir informacinių sistemų veiklos tęstinumo valdymo planą, kuriame turi būti nurodyta:

  • 27.1. sąlygos, kada pradedamas taikyti tinklų ir informacinių sistemų veiklos tęstinumo planas
  • 27.2. tinklų ir informacinių sistemų veiklos kriterijai, pagal kuriuos galima nustatyti, ar tinklų ir informacinės sistemos veikla atkurta
  • 27.3. asmenys, atsakingi už tinklų ir informacinių sistemų veiklos tęstinumo plano vykdymą, jų pareigos ir funkcijos
  • 27.4. nuostatos, kuriose turi būti nurodyti tinklų ir informacinių sistemų veiklos tęstinumo valdymo grupės sudėties ir jos funkcijų reikalavimai, įtraukiant reikalavimą, kad veiklos tęstinumo valdymo grupės sudėtyje būtų kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis
  • 27.5. nuostatos, kuriose turi būti nurodyti tinklų ir informacinių sistemų veiklos atkūrimo grupės sudėties ir jos funkcijų reikalavimai
  • 27.6. detalus tinklų ir informacinių sistemų veiklos atkūrimo planas
  • 27.7. tinklų ir informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo išbandymo reikalavimai
  • 27.8. tinklų ir informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo išbandymo rezultatų ataskaitų rengimo reikalavimai
  • 27.9. atsarginių duomenų kopijų atkūrimo parametrai pagal kibernetinio saugumo subjekto nustatytą tinklų ir informacinių sistemų ar jų dalies atkūrimo laikotarpį (angl. Recovery time objective, RTO) ir šių parametrų išbandymo reikalavimai
  • 27.10. tinklų ir informacinių sistemų ar jų dalies duomenų praradimo laikas (angl. Recovery point objective, RPO) ir jo išbandymo reikalavimai.

28. Kibernetinio saugumo subjektas turi nustatyti atsarginių duomenų kopijų kūrimo, saugojimo ir duomenų atkūrimo iš jų reikalavimus, apibrėžti atsarginio kopijavimo mastą ir dažnį, atsižvelgdamas į veiklos tęstinumo valdymo plane nustatytus tinklų ir informacinių sistemų nustatytus atkūrimo reikalavimus (RTO, RPO).

29. Kibernetinio saugumo subjektas teikia tinklų ir informacinių sistemų veiklos tęstinumo valdymo plano išbandymo ataskaitos patvirtinimo duomenis, nurodydamas patvirtinimo datą ir registracijos numerį, į KSIS ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo.

30. NKSC, atlikdamas kibernetinio saugumo subjekto patikrinimą, turi teisę pareikalauti kibernetinio saugumo subjekto pateikti veiklos tęstinumo valdymo plano išbandymo ataskaitos kopiją. Kibernetinio saugumo subjektas šiuos dokumentus turi pateikti į KSIS ne vėliau kaip per 5 darbo dienas nuo NKSC prašymo gavimo dienos.

31. Kibernetinio saugumo subjektams taikomi techniniai reikalavimai nurodyti 2 lentelėje.
Previous Kibernetinių incidentų valdymas
Next Tiekimo grandinės saugumas