Kaip organizacijoms tinkamai atlikti rizikų vertinimą? NKSC dalinasi išsamiomis rekomendacijomis 

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) tęsia praktinių rekomendacijų ciklą ir pristato ketvirtąjį dokumentą, skirtą padėti organizacijoms tinkamai atlikti rizikų vertinimą – vieną svarbiausių žingsnių, siekiant atitikti naujuosius Kibernetinio saugumo įstatymo reikalavimus. 

Kasmetinis rizikų vertinimas yra būtinas procesas kiekvienai organizacijai, norinčiai tinkamai pasiruošti galimiems iššūkiams ir užtikrinti tvarų kibernetinio saugumo modelį organizacijos viduje. NKSC pabrėžia, kad rizikų vertinimas nėra vien formalumas. Tai procesas, padedantis organizacijoms įsivertinti turimus kibernetinio saugumo išteklius, suprasti jų svarbą veiklai bei atsakingai planuoti, kokių priemonių reikia stabilumui užtikrinti net sutrikus veiklai, tiekimo grandinei ar ištikus didelio masto kibernetinei krizei. Rizikų valdymas padeda vadovams priimti pagrįstus sprendimus, efektyviau paskirstyti atsakomybes ir skatinti darbuotojus suvokti savo vaidmens svarbą kibernetinio saugumo srityje. 

Kasmet atliekamas rizikų vertinimas svarbus ir todėl, kad į kibernetinio saugumo registrą įtrauktos organizacijos privalo užtikrinti atitiktį galiojantiems teisės aktams. Tuo tarpu likusios organizacijos turi galimybę auginti savo kibernetinio saugumo brandą, remtis tarptautinėmis gerosios rizikų valdymo praktikomis ir stiprinti atsparumą įvairaus pobūdžio kibernetinėms grėsmėms. Tai ne tik teisinių reikalavimų laikymosi klausimas, bet ir atsakingas žingsnis, padedantis apsaugoti savo veiklą, reputaciją bei klientų pasitikėjimą. 

Rekomendacijoje siūloma, kad rizikų valdymo procesas būtų aiškiai apibrėžtas ir nuoseklus: pirmiausia identifikuojami visi organizacijoje turimi ištekliai – informaciniai, technologiniai, žmogiškieji ir fiziniai. Atsižvelgiant į organizacijos strateginius tikslus, nustatomas rizikos apetitas, identifikuojamos ir įvertinamos reikšmingos vidinės bei išorinės grėsmės ir spragos. Tuomet atliekama grėsmių analizė, nustatomas aktualių rizikų mastas, pasirenkamos tinkamos kontrolės priemonės bei sudaromas tolimesnių veiksmų planas. Rizikų kontrolė turi būti nuolat stebima, incidentai fiksuojami, o priemonės – tobulinamos. Vadovybei reguliariai teikiamos ataskaitos apie pagrindines rizikas, rizikos rodiklius ir taikomų priemonių efektyvumą. Įvykus esminiams pokyčiams organizacijoje ar incidentams, rizikų vertinimą būtina atlikti papildomai. 

Procesą rekomenduojama aprašyti ir nuolat tobulinti, remiantis praktinio įgyvendinimo bei stebėsenos metu įgytomis pamokomis. Siekiant užtikrinti aktualumą ir veiksmingumą, organizacijoms patariama rizikų vertinimą peržiūrėti ne rečiau kaip kartą per 12 mėnesių arba esant reikšmingiems pokyčiams. 

Visa ketvirtosios rekomendacijos medžiaga skelbiama NKSC interneto svetainėje čia. 

Bendrai finansuojama Europos Sąjungos lėšomis. Išsakytos nuomonės ir požiūriai yra tik autoriaus (-ių) ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijų centro (ECCC) požiūrį. Europos Sąjunga ir dotaciją teikianti institucija nėra atsakingos už šią informaciją.