Invosec
The CoverContact UsOur Insights
Explore
NIS2 (KSRA)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)
II Skyrius Šeštasis skirsnis (32-39 p.)

Tiekimo grandinės saugumas

32. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti tiekimo grandinės saugumo valdymo tvarką, taikomą paslaugų, darbų ar įrangos pirkimams, susijusiems su tinklų ir informacinių sistemų projektavimu, kūrimu, diegimu, naudojimu, priežiūra, modernizavimu ir (ar) kibernetinio saugumo užtikrinimu, siekiant mažinti galimas kilti rizikas tinklų ir informacinėms sistemoms.

33. Kibernetinio saugumo subjektas, nustatydamas tiekimo grandinės saugumo valdymo tvarką, turi numatyti tinklų ir informacinių sistemų tiekėjų atrankos kriterijus, apimančius:

  • 33.1. tiekėjo atitiktį Apraše nustatytiems kibernetinio saugumo reikalavimams
  • 33.2. kokybės reikalavimus tinklų ir informacinių sistemų produktams, paslaugoms
  • 33.3. prieigų valdymą, įskaitant prieigų laikotarpio ribojimą.

34. Kibernetinio saugumo subjektas sutartyse su tiekėjais (įskaitant subtiekėjus), kiek tai susiję su teikiamomis paslaugomis, turi numatyti:

  • 34.1. tiekėjo atitikties šiam Aprašui reikalavimus
  • 34.2. tiekėjo personalui reikalingus įgūdžius ir (ar) mokymus, ir (ar) sertifikatus, ir (ar) kvalifikaciją
  • 34.3. tiekėjo pareigą pranešti kibernetinio saugumo subjektui apie visus didelius ir (ar) kitus incidentus, susijusius su kibernetinio saugumo subjekto tinklų ir informacinėmis sistemomis, kai tik tiekėjas sužino apie incidentą, ir pateikti kibernetinio saugumo subjektui kibernetinio incidento tyrimo ataskaitą
  • 34.4. teisę kibernetinio saugumo subjektui arba jo įgaliotiems paslaugų teikėjams atlikti tiekėjo atitikties Aprašui auditą (įskaitant neplaninį) ir tiekėjo pareigą sudaryti sąlygas tokiam auditui atlikti sutarties vykdymo laikotarpiu ar įvykus dideliam incidentui
  • 34.5. pareigą užtikrinti spragų, keliančių riziką kibernetinio saugumo subjekto tinklams ir informacinėms sistemoms, valdymą
  • 34.6. konfidencialumo ir duomenų neatskleidimo įsipareigojimus
  • 34.7. paslaugų teikimo lygmenis (angl. Service Level Agreement, SLA)
  • 34.8. apibrėžti tiekėjų prieigos (loginės ir fizinės) prie tinklų ir informacinės sistemos lygius ir sąlygas
  • 34.9. numatyti reikalavimus, keliamus tiekėjo patalpoms, įrangai, tinklų ir informacinių sistemų priežiūrai, informacijos perdavimui tinklais
  • 34.10. numatyti tiekėjo ir kibernetinio saugumo subjekto teises ir pareigas.

35. Kibernetinio saugumo subjektas, tvirtindamas tiekimo grandinės saugumo valdymo tvarką, turi numatyti tinklų ir informacinių sistemų paslaugų teikėjų rizikos vertinimo reikalavimus.

36. Esminis kibernetinio saugumo subjektas su interneto paslaugos, jei duomenų perdavimo paslauga yra esminė paslaugai teikti, teikėju turi būti sudaręs sutartį (-is), kurioje (-iose) būtų numatyta:

  • 36.1. reagavimas į kibernetinius incidentus įprastomis darbo valandomis
  • 36.2. reagavimas į kibernetinius incidentus po darbo valandų
  • 36.3. nepertraukiamas interneto paslaugos teikimas: 24 valandas per parą, 7 dienas per savaitę
  • 36.4. paslaugos sutrikimų registravimas: 24 valandas per parą, 7 dienas per savaitę
  • 36.5. apsaugos nuo tinklų ir informacinės sistemos trikdymo taikymas (angl. Denial of Service, DoS).

37. Svarbus kibernetinio saugumo subjektas su interneto paslaugos, jei duomenų perdavimo paslauga yra esminė paslaugai teikti, teikėju turi būti sudaręs sutartį (-is), kurioje (-iose) turi būti numatyta:

  • 37.1. reagavimas į kibernetinius incidentus įprastomis darbo valandomis
  • 37.2. nepertraukiamas paslaugos teikimas įprastomis darbo valandomis
  • 37.3. paslaugos sutrikimų registravimas įprastomis darbo valandomis
  • 37.4. apsaugos nuo tinklų ir informacinės sistemos trikdymo taikymas (DoS).

38. Kibernetinio saugumo subjektas turi vykdyti sutartyje su tiekėju nurodytų kibernetinio saugumo reikalavimų įgyvendinimo kontrolę.

39. Kibernetinio saugumo subjektas turi būti sudaręs tiekėjų sąrašą, jį tvarkyti ir pasikeitus sutartims peržiūrėti ir atnaujinti numatytu periodiškumu ir kai įvyksta reikšmingi pokyčiai arba reikšmingi incidentai, susiję su tiekėjais.
Previous Veiklos tęstinumas
Next Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą