TELŠIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

 

 

ĮSAKYMAS

DĖL TINKLŲ IR INFORMACINIŲ SISTEMŲ RIZIKOS VERTINIMO IR VALDYMO TVARKOS APRAŠO PATVIRTINIMO

 

 2026 m. liepos 2 d. Nr. A1-978  

Telšiai 

 

 

Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 34 straipsnio 6 dalies 2 punktu, bei Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 1 punktu:

1. T v i r t i n u Tinklų ir informacinių sistemų kibernetinio saugumo politiką (pridedama).

 

 

Administracijos direktorė                                                                                           Lina Leinartienė

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Parengė    

 

Genovaitė Latakienė

2026-06-10

 

 

 

PATVIRTINTA

Telšių rajono savivaldybės administracijos direktoriaus

2026 m. liepos 2 d. įsakymu Nr. A1-978

 

 

TINKLŲ IR INFORMACINIŲ SISTEMŲ RIZIKOS VERTINIMO IR VALDYMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarkos aprašas (toliau – Aprašas) reglamentuoja Telšių rajono savivaldybės administracijos (toliau - Administracija) tinklų ir informacinių sistemų (toliau – TIS) kibernetinio saugumo rizikos vertinimo ir valdymo procesą, nustato rizikos vertinimo metodiką ir už rizikos vertinimo procesą atsakingų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartį (toliau kartu – darbuotojai) funkcijas ir atsakomybes.

2.    Apraše vartojamos sąvokos:

2.1.          Informacijos saugumo rizika (toliau – rizika) – potencialus praradimas arba sutrikimas, kurį gali sukelti informacijos saugumo ir / arba kibernetinis incidentas (toliau kartu – informacijos saugumo incidentas). Informacijos saugumo rizika išreiškiama kaip tokio praradimo arba sutrikimo masto ir kibernetinio incidento tikimybės derinys;

2.2.          Rizikos apetitas (angl. risk apetite) – tai priimtinumo lygis, kuris nurodo, kokio dydžio rizikas Administracija pasirengusi ir gali prisiimti;

2.3.          Rizikos savininkas – Administracijos darbuotojas ar skyrius, paskirtas vykdyti rizikos savininko funkcijas, t. y. vertinti ir stebėti riziką bei užtikrinti jos efektyvų valdymą;

2.4.          Rizikos tolerancija (angl. risk tolerance) – tai konkrečioms rizikos kategorijoms, veiklos sritims, specifiniam turto vienetui ar turto grupei nustatyti leistini nukrypimai nuo bendro rizikos apetito, išreikšti kiekybinėmis ar kokybinėmis ribomis, kurių viršijimas reikalauja rizikos valdymo būdų taikymo;

2.5.          Rizikos valdymo priemonės vykdytojas – Administracijos darbuotojas, paskirtas vykdyti rizikos valdymo priemonės vykdytojo funkcijas, t. y. įgyvendinti rizikos valdymo priemonę nepriimtinai rizikai valdyti;

2.6.          Rizikos vertinimas – šiame Apraše aprašytas informacijos saugumo rizikos vertinimo procesas, apimantis rizikų identifikavimą, jų analizę ir įvertinimą;

2.7.          Rizikos vertinimo ataskaita – Administracijos direktoriaus patvirtintas dokumentas, kuriame aprašomi rizikos vertinimo rezultatai, įskaitant, tačiau neapsiribojant rizikos vertinimo metu nustatytais apibendrintais rezultatais: identifikuotomis rizikomis, jų tikimybe ir poveikis veiklai, rizikos lygiais ir rizikos valdymo priemonėmis;

2.8.          Rizikų valdymo planasAdministracijos direktoriaus patvirtintas nepriimtinų rizikų valdymo priemonių, jų įgyvendinimo terminų, reikalingų išteklių bei rizikos valdymo priemonių vykdytojų planas;

2.9.          kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme ir Lietuvos standartuose LST EN ISO/IEC 27001:2023 tapatus (ISO/IEC 27001:2022) „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST EN ISO/IEC 27005:2024 tapatus (ISO/IEC 27005:2022) „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo rizikų valdymo rekomendacijos“.

3.    Aprašas parengtas, vadovaujantis:

3.1. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.1.          Kibernetinio saugumo reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

3.2.          Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos Kibernetinio saugumo rizikos vertinimo metodika (2025 m.) (toliau – NKSC metodika).

4.    Aprašas taikomas visiems Administracijos darbuotojams, dalyvaujantiems rizikos vertinimo procese. Šio Aprašo nuostatos taip pat gali būti taikomos paslaugų tiekėjams (įskaitant subtiekėjus), kiek tai susiję su teikiamomis paslaugomis ir numatytais kibernetinio saugumo reikalavimais pagal Kibernetinio saugumo reikalavimų aprašą.

 

II SKYRIUS

FUNKCIJOS IR ATSAKOMYBĖS

 

5.    Administracijos direktoriaus funkcijos ir atsakomybės:

5.1.          tvirtina Rizikos valdymo ataskaitą ir Rizikos valdymo planą;

5.2.          Rizikos valdymo plane numatytoms priemonėms įgyvendinti skiria reikiamus išteklius.

6Kibernetinio saugumo vadovo funkcijos ir atsakomybės:

6.1.          koordinuoja ir kontroliuoja rizikos vertinimo ir valdymo procesą;

6.2.          įvertina saugos įgaliotinio parengtą Rizikos vertinimo ataskaitą, pagal poreikį Rizikų registrą ir (ar) Rizikos valdymo planą;

6.3.          teikia tvirtinimui Rizikos valdymo ataskaitą ir Rizikos valdymo planą Administracijos direktoriui.

7Saugos įgaliotinio funkcijos ir atsakomybės (jei Administracijoje nėra paskirtas saugos įgaliotinis, jo funkcijas vykdo kibernetinio saugumo vadovas):

7.1.          kartu su Administracijos procesų ir TIS savininkais identifikuoja ir klasifikuoja kibernetinio saugumo rizikas;

7.2.          identifikuotas rizikas registruoja Rizikų registre;

7.3.          paskiria darbuotoją konkrečios rizikos savininku kiekvienai rizikai stebėti ir valdyti, jį įrašo į Rizikų registrą;

7.4.          kartu su rizikos savininkais identifikuoja TIS esamas ir galimas saugumo spragas bei rizikas;

7.5.          kartu su rizikos savininkais kiekvienai rizikai nustato rizikos lygį (įvertina rizikos poveikio ir tikimybės lygį) ir padeda priimti sprendimą dėl rizikos priimtinumo ar nepriimtinumo;

7.6.          rizikos savininkams padeda nepriimtinoms rizikoms valdyti parinkti ir Rizikos valdymo plane suplanuoti rizikos valdymo priemones;

7.7.          parengia Rizikos valdymo ataskaitą ir ją pateikia susipažinti kibernetinio saugumo vadovui;

7.8.          padeda rizikos valdymo priemonių vykdytojams įgyvendinti jiems paskirtas priemones;

7.9.          konsultuoja darbuotojus rizikos vertinimo ir valdymo klausimais.

7.10.     pateikia informaciją apie Administracijoje atliktą Rizikos vertinimą Kibernetinio saugumo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų nustatyta tvarka ir terminais į Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos (toliau – NKSC) administruojamą Kibernetinio saugumo informacinę sistemą (toliau – KSIS).

8.    Rizikos savininko funkcijos ir atsakomybės:

8.1.          nustato rizikos lygį (įvertina rizikos poveikio ir tikimybės lygį) ir priima sprendimą dėl rizikos priimtinumo ar nepriimtinumo;

8.2.          nustato rizikos valdymo būdą;

8.3.          nepriimtinoms rizikoms valdyti parenka ir Rizikos valdymo plane suplanuoja rizikos valdymo priemones, paskiria už jų įgyvendinimą atsakingus rizikos valdymo priemonės vykdytojus ir nustato rizikos valdymo priemonių įgyvendinimo terminus;

8.4.          įvertina likutinės rizikos lygį;

8.5.          stebi rizikos valdymo priemonių įgyvendinimą ir efektyvumą;

8.6.          vykdo nustatytos rizikos stebėseną;

8.7.          stebi rizikos valdymo pokyčius ir vertina, ar Rizikos valdymo plane numatytos rizikos valdymo priemonės vis dar yra veiksmingos.

9.    Proceso savininko funkcijos ir atsakomybės:

9.1.          rizikos savininkams padeda identifikuoti ir įvertinti kibernetinio saugumo rizikas, kurios gali pasireikšti procese, už kurio valdymą jis yra atsakingas;

9.2.          rizikos savininkams padeda nepriimtinoms rizikoms valdyti parinkti ir Rizikos valdymo plane suplanuoti rizikos valdymo priemones.

10TIS savininko funkcijos ir atsakomybės:

10.1.        rizikos savininkams padeda identifikuoti ir įvertinti kibernetinio saugumo rizikas, kurios gali pasireikšti TIS, už kurių valdymą jis yra atsakingas;

10.2.        rizikos savininkams padeda nepriimtinoms rizikoms valdyti parinkti ir Rizikos valdymo plane suplanuoti rizikos valdymo priemones.

11Rizikos valdymo priemonės vykdytojas, derindamas savo veiksmus su rizikos savininku, įgyvendina Rizikos valdymo plane numatytas priemones nepriimtinoms rizikoms valdyti.

 

 

iII skyrius

tinklų ir informacinių sistemų rizikos vertinimo procesas

 

12Rizikos vertinimas turi būti atliekamas ne rečiau kaip kartą per metus (eilinis rizikos vertinimas) arba įvykus esminiams Administracijos organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui (neeilinis rizikos vertinimas).

13Rizikos vertinimą organizuoja kibernetinio saugumo vadovas. Kibernetinio saugumo vadovas yra atsakingas už rizikos vertinimo proceso priežiūrą ir nuolatinį tobulinimą.

14Neeilinis rizikos vertinimas gali būti atliekamas, kai įvyksta esminiai pokyčiai, darantys įtaką Administracijos veiklai ir kibernetiniam saugumui:

14.1.        inicijuojama nauji arba iš esmės keičiami pagrindiniai Administracijos veiklos procesai (teikiamos paslaugos);

14.2.        inicijuojamas naujos Administracijos tinklų ir informacinės sistemos sukūrimas arba iš esmės modernizuojama jau veikianti Administracijos tinklų ir informacinė sistema;

14.3.        migruojama į debesijos paslaugas ar migruojama iš debesijos paslaugų;

14.4.        atliekami esminiai Administracijos tinklų ir informacinės sistemos programinės ir (arba) aparatinės įrangos pakeitimai;

14.5.        pakeičiamos administracinės ir (arba) serverinių, duomenų centrų bei informacinių technologijų tinklo įrangos patalpos ir (arba) persikeliama į kitus pastatus;

14.6.        įvyksta didelis kibernetinis incidentas;

14.7.        Administracijos tinklų ir informacinės sistemos pažeidžiamumų vertinimo metu ar programinio kodo saugumo vertinimo metu nustatomi kritinės ir didelės rizikos saugumo spragos;

14.8.        kiti esminiai pokyčiai, darantys įtaką Administracijos veiklai ir kibernetiniam saugumui.

15.           Įvykus Aprašo 14 punkte nurodytoms aplinkybėms, kibernetinio saugumo vadovas inicijuoja rizikos vertinimo peržiūrą, kurios metu nustatoma, ar atsiradusi rizika yra nauja, ar reikšmingai pasikeitusi esama rizika. Iš naujo yra įvertinama rizikos tikimybė ir rizikos poveikio lygis, peržiūrimi taikomi rizikos valdymo būdai ir priemonės, ir jeigu būtina, atnaujinami turto, grėsmių ir pažeidžiamumų katalogai, rizikos registras ir rizikos valdymo planas.

16.           Rizikos vertinimas atliekamas, naudojant NKSC metodikoje pateiktus Kibernetinio saugumo rizikos vertinimo metodikos priedus (Aprašo priedas „Informacijos saugumo rizikos vertinimo įrankis“) (toliau – Informacijos saugumo rizikos vertinimo įrankis).

17.    Rizikų identifikavimas atliekamas turto pagrindu – pirmiausia yra nustatomas vertinamas turtas, tuomet jam yra priskiriamos grėsmės ir identifikuoti pažeidžiamumai, per kuriuos grėsmė gali daryti poveikį turtui.

 

I SKIRSNIS

RIZIKOS KRITERIJŲ NUSTATYMAS

 

18.    Rizikos kriterijai nustatyti Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“. Rizika nustatoma vertinant šiuos kriterijus:

18.1.        poveikį – galimas neigiamas poveikis Administracijai, jeigu grėsmė realizuotųsi;

18.2.        tikimybę – grėsmės pasireiškimo tikimybė per nustatytą laikotarpį;

18.3.        rizikos lygį – apskaičiuojamas kaip poveikio ir tikimybės sandauga pagal rizikos matricą.

19.           Prieš pradedant rizikos vertinimą, kibernetinio saugumo vadovas ar kitas rizikos vertinimą atliekantis asmuo kartu su Administracijos atsakingais asmenimis ir / arba vadovybe įvertina Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“ pateiktus kriterijus ir juos patvirtina arba, jeigu yra pokyčių, nustato naujus rizikos kriterijus, atsižvelgdami į Administracijos išteklių, veiklos aplinkos ir / arba strateginius pokyčius.

20.    Rizikos atlaikymo pajėgumo kriterijai nustato didžiausią potencialią rizikos žalą, kurią Administracijos gali prisiimti, nesukeliant kritinių pasekmių veiklai. Šis strateginio lygio kriterijus nustato absoliučias ribas, kurių peržengimas kelia grėsmę Administracijos veiklos tęstinumui.

21.    Rizikos atlaikymo pajėgumo kriterijai turi būti išreikšti kiekybiškai, kai tai įmanoma, nustatant maksimalią finansinę ir operacinę žalą, kurią Administracijos galėtų atlaikyti.

22.    Rizikos atlaikymo pajėgumas vertinamas šiose srityse:

22.1.        finansiniai nuostoliai;

22.2.        veiklos tęstinumo sutrikimas;

22.3.        poveikis tiekimo grandinei;

22.4.        poveikis reputacijai;

22.5.        poveikis teisinei atitikčiai;

22.6.        poveikis žmogaus sveikatai.

23.    Detalus Aprašo 22 punkte nurodytų poveikių aprašymas pateiktas Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“. Prieš pradedant rizikos vertinimą, yra pildomos ir / arba koreguojamos kriterijų „Finansiniai nuostoliai“ ir „Veiklos tęstinumas“ eilutės.

24.    Rizikos vertinimo metu naudojami šie poveikio lygiai:

24.1.       1 lygis (mažas poveikis);

24.2.       2 lygis (reikšmingas poveikis);

24.3.       3 lygis (rimtas poveikis);

24.4.       4 lygis (kritinis poveikis);

24.5.     5 lygis (katastrofinis poveikis).

25.    Finansinių nuostolių procentines ribos nustatomos pagal Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“ pateiktą finansinio nuostolio poveikio skaičiuoklę. Finansinio nuostolio poveikio skaičiuoklė – tai skaičiuoklė, į kurią įvedus Administracijos metinių asignavimų bei apatinę ir viršutinę finansinės žalos ribas, yra apskaičiuojamas finansinis poveikis kiekvienam rizikos lygiui.

26.    Mažo (1) ir katastrofinio (5) poveikio lygių finansinės ribos, išreikštos procentais nuo metinių asignavimų gali būti keičiamos, atsižvelgiant į Administracijos finansinę padėtį ir kitus su Administracija susijusius veiksnius. Apatinę finansinės žalos ribą rekomenduojama pasirinkti nuo 0,2 – 1 proc. Administracijos metinių asignavimų. Viršutinę finansinės žalos ribą rekomenduojama pasirinkti nuo 15 – 20 proc. Administracijos metinių asignavimų.

27.    Veiklos tęstinumo sutrikimo kriterijus – tai kriterijus, kuris rizikai priskiria poveikio lygį priklausomai nuo proceso atstatymo laiko reikalavimų. Veiklos tęstinumo sutrikimas yra vertinamas, atsižvelgiant nustatytą turto vertę ir jo sąveiką su kitu turtu, t. y. turi būti įvertinama, kiek grėsmės pasireiškimas yra kritinis veiklos procesuose bei kokį poveikį grėsmės pasireiškimas gali daryti Administracijos veiklos tęstinumui.

28.    Tikimybė nustatoma atsižvelgiant į:

28.1.        grėsmės pasireiškimo dažnumą;

28.2.        esamų rizikos valdymo būdų ir priemonių efektyvumą;

28.3.        ankstesnius informacijos saugumo incidentus;

28.4.        grėsmių aplinkos pokyčius.

29.    Rizikos valdymo būdai yra taikomi vidutinei, aukštai ir labai aukštai rizikai.

30.    Sprendimai dėl rizikos tolerancijos lygio priimami rizikos vertinimo metu pildant Informacijos saugumo rizikos vertinimo įrankio 3 skiltį „Klausimynas“ ir atsižvelgiant į 8 skilties „Rizikos profiliai“ nurodytą informaciją.

 

II SKIRSNIS

TURTO IDENTIFIKAVIMAS

 

31.    Turto identifikavimas yra turto vienetų ir grupių katalogo sudarymas ir jų įvertinimas. Turto identifikavimo tikslas – nustatyti visą Administracijos turtą, kurio praradimas, pažeidimas ar sutrikdymas gali turėti neigiamą poveikį Administracijos veiklai, sukelti finansines ar teisines pasekmes ir/arba neigiamą poveikį reputacijai.

32.    Turto kataloge (Informacijos saugumo rizikos vertinimo įrankio 4 skiltis „Turto katalogas“) (toliau – Turto katalogas) nurodomi rizikos vertinimui reikšmingi turto vienetai ir grupės, taip pat procesai, žmogiškieji ištekliai ir kita svarbi informacija.

33.    Į Turto katalogą įtraukiamas tik rizikos vertinimui svarbus turtas. Pildant Turto katalogą gali būti remiamasi Administracijos turto registru, kuris parengtas pagal Administracijos Turto valdymo tvarkos aprašą (toliau – Turto registras).

34.    Turto vienetai Turto kataloge gali būti grupuojami, jeigu jų funkcijos ir turto kritiškumas sutampa.

35.    Turto kataloge turi būti nurodyta:

35.1.        turto pavadinimas (trumpas į Turto katalogą įtraukiamo turto pavadinimas, įskaitant informaciją (kai taikoma) apie modelį ir turimą kiekį);

35.2.        turto aprašymas / tikslas (turto paskirties ir / arba pagrindinių funkcijų aprašymas);

35.3.        turto kategorija (turto rūšies priskyrimas pagal kiekvieno turto prigimtį);

35.4.        turto subkategorija (tai turto priskyrimas pagal turto funkciją, priklausomai nuo turto kategorijos);

35.5.        informacija, ar turtas matomas išorėje (internete) (tai kriterijus, kuris rodo, ar turtas yra pasiekiamas už Administracijos vidinio tinklo. Jeigu turtą galima pasiekti, žinant jo interneto adresą, laikoma, kad šis turtas yra matomas išorėje);

35.6.        turto / proceso savininkas / savininkai (angl. asset owner) (asmuo arba skyrius, kuris atsakingas už konkretaus turto vienetus ar grupes);

35.7.        turto priklausomybės (nurodoma, nuo kokio turto, kuris tiesiogiai palaiko aprašomo turto veiklą, yra priklausomas nagrinėjamas turtas ar kuris turtas tiesiogiai sąveikauja su nagrinėjamu turtu. );

35.8.        turto kritiškumo nustatymo rezultatai.

36.    Turto priklausomybių nustatymas turi būti atliekamas tik po viso turto identifikavimo. Turtas nepaveldi priklausomybių iš turto, nuo kurio jis priklauso.

37.    Turto kritiškumo vertinimo metu nustatomas turto svarbumas Administracijos veiklai. Turto kritiškumas vertinamas pagal konfidencialumą, vientisumą ir prieinamumą, išskyrus atvejus, kai pagal turto prigimtį šie kriterijai nėra taikomi. Turto kritiškumo analizė gali būti atliekama sudarant arba jau sudarius turto katalogą, arba gali būti remiamasi Turto registre esančiu vertinimu, jeigu Turto registro sudarymo metu buvo vertintas turto kritiškumas pagal konfidencialumo, vientisumo ir prieinamumo aspektus.

38.    Turto kritiškumas vertinamas nuo 1 iki 5 balų pagal tai, kokį poveikį vertinamo turto konfidencialumui, vientisumui ir prieinamumui gali turėti informacijos saugumo incidentas:

38.1.        konfidencialumo kriterijus – tai kriterijus, nurodantis potencialią žalą, kurią gali sukelti neteisėta prieiga prie turto;

38.2.        vientisumo kriterijus – tai kriterijus, nurodantis turto pagalba tvarkomos informacijos tikslumo, autentiškumo ir informacijos teisingumo svarbą;

38.3.        prieinamumo kriterijus – tai kriterijus, nurodantis, kokią žalą gali sukelti turto veiklos nutraukimas ir kaip greitai veikla turi būti atstatyta.

39.    Turto kritiškumo lygis apskaičiuojamas automatiškai, Turto kataloge suvedus konfidencialumo, vientisumo ir prieinamumo balus. Pildant Informacijos saugumo rizikos vertinimo įrankio 3 skiltį „Klausimynas“ yra išskirti klausimai, kurių atsakymai padeda nustatyti turto kritiškumą.

40.    Atliekant turto kritiškumo lygio nustatymą gali dalyvauti turto savininkai arba Turto katalogas kartu su nustatytu turto kritiškumo lygiu gali būti jiems pateiktas derinti.

 

III SKIRSNIS

RIZIKŲ IDENTIFIKAVIMAS

 

41.    Užpildžius Turto katalogą, rizikos identifikavimo ir vertinimo procesas vykdomas, užpildant rizikos registrą (Informacijos saugumo rizikos vertinimo įrankio 2 skiltis „Rizikos registras“) (toliau – Rizikos registras).

42.    Į Rizikų registrą perkeliama informacija apie identifikuotą turtą (turto numeris, turto pavadinimas, turto kategorija ir turto / proceso savininkas (savininkai)). Tuomet vykdomas grėsmių identifikavimo etapas.

43.    Grėsmių identifikavimas yra rizikos identifikavimo proceso etapas, kurio metu nustatomos Administracijos aktualios grėsmės, galinčios sukelti tam tikras pasekmes Administracijai arba Administracijos turtui.

44.    Grėsmių sąrašas sudaromas, atsižvelgiant į:

44.1.        Aprašo 1 priedo „Rizikos vertinimo priemonės ir registrai“ 6 skiltyje „Grėsmių katalogas“ (toliau – Grėsmių katalogas) pateiktą grėsmių sąrašą;

44.2.        tarptautinių ir nacionalinių kibernetinio saugumo organizacijų grėsmių ataskaitas (ENISA, Nacionalinio kibernetinio saugumo centro apžvalgas ir t. t.);

44.3.        surinktus papildomus duomenis iš įvykusių incidentų, žinomų pažeidžiamumų ir kt.

45.           Identifikuojant grėsmes įvertinamos tik tos grėsmės, kurios reikšmingos vertinamam turto vienetui. Grėsmių katalogas gali būti keičiamas / pildomas, atsižvelgiant į konkrečią Administracijos situaciją.

46.           Kelios grėsmės, susijusios su tuo pačiu turtu turi būti vertinamos atskirai, per kelias eilutes.

47.           Identifikavus grėsmes, atliekamas pažeidžiamumų identifikavimas. Pažeidžiamumų identifikavimas – tai yra procesas, kurio metu nustatomos potencialios saugumo spragos, trūkumai ar neatitikimai reikalavimams, kuriais pasinaudojus, gali realizuotis grėsmės.

48.    Pažeidžiamumai gali būti nustatomi šiais būdais:

48.1.        atliekant automatizuotus Administracijos tinklų ir informacinių sistemų pažeidžiamumų skenavimus;

48.2.        atliekant Administracijos tinklų ir informacinių sistemų saugumo testavimus ir įvertinimus;

48.3.        atliekant Administracijos tinklų ir informacinių sistemų įsilaužimų testavimus;

48.4.        apklausiant Administracijos darbuotojus;

48.5.        atliekant fizinę apžiūrą;

48.6.        atliekant kibernetinio saugumo valdymo atitikties Kibernetinio saugumo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų bei Kibernetinio saugumo politikos ir jos įgyvendinimą reglamentuojančių vidaus tvarkų, reikalavimams;

48.7.        atliekant kibernetinio saugumo auditus;

48.8.        analizuojant kitus dokumentus.

49.    Pažeidžiamumai gali būti nustatyti šiose srityse:

49.1.        veiklos procesuose ir procedūrose;

49.2.        žmogiškuosiuose ištekliuose;

49.3.        fizinėje aplinkoje;

49.4.        Administracijos tinklų ir informacinių sistemų sąrankoje (konfigūracijoje);

49.5.        techninėje ir programinėje įrangoje;

49.6.        paslaugose, kurias teikia paslaugų tiekėjai.

50.           Vienai grėsmei gali būti priskiriami keli pažeidžiamumai. Pažeidžiamumai identifikuojami, vadovaujantis Pažeidžiamumų katalogu (Informacijos saugumo rizikos vertinimo įrankio 5 skiltis „Pažeidžiamumų katalogas“) (toliau – Pažeidžiamumų katalogas) ir pagal Informacijos saugumo rizikos vertinimo įrankio 3 skiltyje „Klausimynas“ pateiktus atsakymus. Iš Pažeidžiamumų katalogo parenkami tik tie pažeidžiamumai, kurie gali pakenkti Administracijos turtui.

51.           Atlikus kiekvieno turto vienetų ar grupės grėsmių ir pažeidžiamumų identifikavimą, kiekvienam turtui aprašomos su juo susijusios rizikos. Rizikos vertinamos pagal konkretų turto vienetą ar grupę.

52.           Aprašant riziką, būtina identifikuoti potencialias jos priežastis, kaip gali realizuotis konkreti grėsmė, kokios sąlygos turi susidaryti ar aplinkybės kilti, kad rizika kiltų.

53.           Atlikus rizikos identifikavimo veiksmus, gali būti (tai nėra privaloma) parengti rizikos scenarijai.

IV SKIRSNIS

RIZIKOS VERTINIMAS

 

54.           Taikant Apraše nustatytą metodiką, taikomas kokybinis rizikos vertinimo metodas, išreikštas poveikio ir rizikos lygiu. Rizikos vertinimo metu yra nustatomi prigimtinis ir dabartinis ankstesniuose etapuose nustatytos rizikos lygiai. Atitinkamai vertinamas ir galutinis rizikos lygis.

55.           Prigimtinės rizikos įvertinimas – tai procesas, kurio metu įvertinama rizika, egzistuojanti savaime, dar iki rizikos valdymo priemonių taikymo. Prigimtinė rizika rodo, kiek tikėtina, kad įvykis įvyks, koks bus jo poveikis, netaikant jokių organizacinių ir techninių rizikos valdymo priemonių.

56.           Prieš vertinant dabartinį rizikos lygį, turi būti surenkama ir išanalizuota informacija apie Administracijos taikomas rizikos valdymo priemones. Tik įvertinus taikomas rizikos valdymo priemones, gali būti pereinama prie dabartinio rizikos lygio nustatymo.

57.           Dabartinio rizikos lygio nustatymas yra kiekvieno turto vieneto ar grupės jau įdiegtų kontrolės priemonių ir to, kaip jos pakeičia pirminį rizikos lygį, įvertinimas.

58.           Prigimtinės rizikos ir dabartinės rizikos tikimybė ir poveikis nustatomas pagal Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“ nustatytus poveikio kriterijus ir tikimybės reikšmes.

 

iV skyrius

tinklų ir informacinių sistemų rizikos valdymo būdų parinkimas

 

59.           Rizikos valdymo būdų parinkimo etape kiekvienai rizikai nustatomas rizikos valdymo būdas, nustatomas rizikos savininkas (angl. risk owner), apskaičiuojamas galutinis rizikos lygis ir aprašoma informacija, susijusi su rizikos valdymo būdo ir priemonių pritaikymu.

60.           Rizikos savininkas (-ai) vykdo priimtus sprendimus dėl rizikos valdymo būdų ir priemonių bei jų taikymo, tačiau patys nenustato rizikos valdymo būdų ir priemonių. Rizikos savininkas (-ai) nurodomi prieš nustatant rizikos valdymo būdus.

61.           Kiekvienai rizikai, viršijančiai rizikos apetitą arba rizikos toleranciją, turi būti pritaikytas vienas iš šių rizikos valdymo būdų:

61.1.     rizikos mažinimas;

61.2.     rizikos perdavimas;

61.3.     rizikos pašalinimas;

61.4.     rizikos priėmimas.

62.           Rizikos mažinimas yra rizikos valdymo būdas, kuris mažina rizikos lygį, taikant rizikos valdymo priemones (pavyzdžiui, organizuojant mokymus, įdiegiant saugumo sprendimus ir kt.).

63.           Rizikos valdymo priemonės parenkamos iš Informacijos saugumo rizikos vertinimo įrankio 7.1, 7.2 ir 7.3 skilčių „Valdymo priemonės“. Rizikos valdymo priemonių įdiegimas turi būti praktiškai įgyvendinamas.

64.           Jeigu rizikos mažinimas nėra praktiškai įgyvendinamas, rizikai mažinti nėra tinkamų rizikos valdymo priemonių ar potenciali rizikos žala yra mažesnė nei rizikos valdymo priemonių pritaikymo kaina, būtina imtis kitų Aprašo 61 punkte nurodytų rizikos valdymo būdų.

65.           Rizikos perdavimas yra rizikos valdymo būdas, kai rizikos valdymas perduodamas trečiajai šaliai. Tai gali būti tam tikros veiklos funkcijos perkėlimas trečiajai šaliai, ar bet koks kitas metodas, kurį taikant, rizikos lygio mažinimas priklauso nuo trečiosios šalies ir trečioji šalis yra labiau tinkama rizikos valdymui.

66.           Rizikos perdavimas nepanaikina teisinės atsakomybės, todėl galutinė atsakomybė už tinkamą rizikos valdymą lieka Administracijai.

67.           Rizikos vengimas yra rizikos valdymo būdas, kai Administracijos atsisako su rizika susijusio turto ar veiklos funkcijų ir taip pašalinama rizika. Tai gali būti su rizika susijusio turto nebenaudojimas, ar tam tikros veiklos funkcijos sustabdymas iki kol bus rastas kitas sprendimas rizikai valdyti.

68.           Rizikos vengimas naudojamas tada, kai su rizika susijusių procesų ar turto atsisakymas nesukelia žalos Administracijos ir rizikos mažinimo priemonių pritaikymas nėra įmanomas.

69.           Rizikos priėmimas yra rizikos valdymo būdas, kurio taikymo metu priimamas sprendimas priimti riziką be jokių rizikos mažinimo ar valdymo priemonių taikymo.

70.           Rizikos priėmimas naudojamas tik tada, kai:

70.1.        su rizika susijusio turto ar procesų atsisakymas nėra įmanomas ir nėra galimybės taikyti kitų rizikos valdymo būdų (rizikos mažinimo ar rizikos perdavimo);

70.2.        rizika pakankamai maža;

70.3.        rizikos valdymo priemonių kaina didesnė nei turto vieneto ar grupės vertė ar potencialus finansinis poveikis.

71.           Nustačius rizikos valdymo būdus, detaliau aprašomi pasirinkti rizikos valdymo būdai ir priemonių taikymas.

72.    Po rizikos valdymo būdų nustatymo ir rizikos valdymo priemonių aprašymo, pereinama prie galutinio rizikos lygio nustatymo. Galutinis rizikos lygis rodo rizikos keliamą pavojų Administracijai, kai bus pritaikyti rizikos valdymo būdai ir priemonės.

73.           Galutinės rizikos tikimybė ir poveikis nustatomas pagal Informacijos saugumo rizikos vertinimo įrankio 1 skiltyje „Rizikos kriterijai“ nustatytus poveikio kriterijus ir tikimybės reikšmes.

74.    Jeigu įvertinus galutinį rizikos lygį, jis viršija Administracijos rizikos apetitą, turi būti iš naujo peržiūrimi rizikos valdymo būdai ir priemonės su tikslu sumažinti rizikos lygį iki Administracijos rizikos apetito.

75.    Atlikus rizikos vertinimą turi būti parengta Tinklų ir informacinių sistemų rizikos vertinimo ataskaita (toliau – Rizikos vertinimo ataskaita). Rizikos vertinimo ataskaita turi apimti Administracijos tinklų ir informacinių sistemų turto identifikavimą, poveikio vertinimą, grėsmių ir spragų vertinimo informaciją bei rizikos apskaičiavimo rezultatus pagal nustatytus kriterijus, taip pat rizikos valdymą. Gali būti naudojamas NKSC metodikoje pateiktas Kibernetinio saugumo rizikos vertinimo ataskaitos šablonas.

76.    Rizikos vertinimo ataskaitą turi patvirtinti Administracijos vadovas arba jo įgaliotas asmuo.

 

V skyrius

tinklų ir informacinių sistemų rizikos valdymo PLANO PARENGIMAS

 

77.    Atlikus rizikos vertinimą ir parinkus konkrečius rizikos valdymo būdus ir priemones, turi būti sudaromas rizikos valdymo planas. Į rizikos valdymo planą įtraukiamos tik tos rizikos, kurioms vertinimo metu buvo parinktos rizikos valdymo priemonės, nepriklausomai nuo pasirinkto rizikos valdymo būdo (rizikos mažinimo, rizikos perdavimo ar rizikos pašalinimo).

78.    Į rizikos valdymo planą neįtraukiamos rizikos, dėl kurių priimtas sprendimas jas priimti ir dėl kurių neplanuojama imtis jokių veiksmų.

79.    Rizikos valdymo planas pildomas, naudojant Informacijos saugumo rizikos vertinimo įrankio 9 skiltį „Valdymo planas“:

79.1.        parinkus Rizikos registro Nr. vertę, automatiškai užpildomi šie laukeliai:

79.1.1.         rizikos aprašymas;

79.1.2.         prigimtinis rizikos lygis;

79.1.3.         dabartinis rizikos lygis;

79.1.4.         rizikos valdymo būdas;

79.1.5.         rizikos valdymo priemonių aprašymas;

79.1.6.         turto / procesas savininkas (-ai);

79.1.7.         rizikos savininkas (-ai).

79.2.        šie rizikos plano laukeliai turi būti užpildyti rankiniu būdu:

79.2.1.    reikalingi resursai;

79.2.2.    reikalingas biudžetas;

79.2.3.    biudžetas;

79.2.4.    įgyvendinimo terminas;

79.2.5.    rizikos valdymo etapas.

80.           Reikalingi resursai – tai visi pasirinkto rizikos valdymo būdo įgyvendinimui reikalingi laiko ištekliai. Laiką rekomenduojama surašyti darbo dienomis. Nurodant laiką, įvertinama, kiek laiko konkreti užduotis užtruktų, jeigu prie jos dirbtų tik vienas žmogus.

81.           Reikalingas biudžetas – tai pasirinktam rizikos valdymo būdo pritaikymui reikalingi finansiniai ištekliai. Į reikalingą biudžetą įskaičiuojama visų reikalingų rizikos valdymo būdų ir priemonių pritaikymo kaina, neatsižvelgiant į darbuotojams mokamą atlyginimą.

82.           Biudžeto būsena nurodo biudžeto paskirstymo eigos etapą. Biudžeto skilties galimi pasirinkimai:

82.1.        Nepradėta;

82.2.        Planuojama;

82.3.        Laukiama patvirtinimo;

82.4.        Patvirtinta.

83.           Įgyvendinimo terminas – tai planuojamas pasirinkto rizikos valdymo būdo ir priemonių įgyvendinimo terminas. Parenkant įgyvendinimo terminą yra svarbu atsižvelgti į rizikos savininko užimtumą, reikalingą laiką bei įvertinti potencialią nesklandumų ar sutrikimų tikimybę.

84.           Rizikos valdymo etapas – tai rizikos valdymo būsena, kuri nurodo, kuris rizikos valdymo būdo ir priemonių etapas šiuo metu yra vykdomas. Rizikos valdymo galimi etapai:

84.1.        Nepradėta;

84.2.        Planavimas;

84.3.        Įgyvendinimas;

84.4.        Užbaigta.

 

VI skyrius

tinklų ir informacinių sistemų rizikos STEBĖSENA IR INFORMAVIMAS

 

85.           Rizikos stebėsenos ir informavimo etapas vyksta nuo Rizikos valdymo plano patvirtinimo dienos iki sekančio rizikos vertinimo proceso pradžios. Rizikos stebėsenos metu stebimi pokyčiai, rizikos valdymo būdų pritaikymo efektyvumas ir kiti rizikos valdymo aspektai.

86.           Už rizikos stebėseną ir informavimą atsakingi:

86.1.        rizikos savininkas (-ai);

86.2.        kibernetinio saugumo vadovas.

87.           Siekiant užtikrinti objektyvią ir efektyvią rizikos stebėseną, rekomenduojama nustatyti stebėsenos rodiklius (angl. key performance indicators, KPI) ir rizikos indikatorius (angl. key risk indicators, KRI).

88.           Stebėsenos rodikliai naudojami rizikos valdymo būdų ir priemonių efektyvumui įvertinti. Šiuos rodiklius rekomenduojama naudoti visoms rizikoms, kurios vertinimo metu viršijo rizikos apetitą ar toleranciją, prieš pritaikant rizikos valdymo būdus ir kurių stebėjimas ir matavimas suteikia reikšmingos informacijos.

89.           Stebėsenos rodiklis rodo pritaikyto rizikos valdymo būdo ar priemonių efektyvumą, kai lyginamas rodiklis prieš ir po rizikos valdymo būdo ar priemonės pritaikymo. Kiekvienas stebėsenos rodiklis turėtų būti parinktas taip, kad jo dydis būtų tiesiogiai susijęs su stebima rizika, ir matmens pokyčiai tiesiogiai atspindėtų rizikos pokyčius.

90.           Rizikos indikatoriai yra rodikliai, kurie parodo Administracijos pažeidžiamumus ir pokyčius. Jie naudojami aktualioms grėsmėms ir rizikoms stebėti.

91.           Rizikos lygio pokyčiai nustatomi:

91.1.        atsiradus naujoms grėsmėms ar pažeidžiamumams;

91.2.        pasikeitus tinklų ir informacinių sistemų architektūrai;

91.3.        įvykus informacijos saugos incidentui;

91.4.        pasikeitus teisiniams ar reguliaciniams reikalavimams;

91.5.        pasikeitus paslaugų teikėjams ar įvykus kitiems pokyčiams tiekimo grandinei.

92.           Apie pasikeitusias rizikas informuojami:

92.1.        kibernetinio saugumo vadovas, jeigu šį pokytį nustatė ne jis;

92.2.        turto savininkas, jeigu šį pokytį nustatė ne jis;

92.3.        rizikos savininkas, jeigu šį pokytį nustatė ne jis;

92.4.        vadovybė.

93.           Informavimas vykdomas elektroniniu paštu ir/arba reguliarių ataskaitų forma.

 

VII skyrius

BAIGIAMOSIOS NUOSTATOS

 

94.           Kibernetinio saugumo vadovas privalo užtikrinti, kad Aprašo nuostatos būtų peržiūrėtos ir, esant poreikiui atnaujintos, ne rečiau kaip kartą per metus arba po esminių pokyčių.

95.           Kibernetinio saugumo vadovas privalo rizikos vertinimo ataskaitos ir rizikos valdymo plano patvirtinimo duomenis, pateikti į Kibernetinio saugumo informacinę sistemą (toliau – KSIS) ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo ir nurodyti patvirtinimo datą ir registracijos numerį bei rizikos vertinimo metu nustatytus apibendrintus rezultatus: identifikuotas grėsmes, jų tikimybę ir poveikį veiklai, rizikos lygius ir valdymo priemones.

96.           Rizikos vertinimo ataskaitos ir rizikos valdymo planai turi būti saugomi ne mažiau kaip 3 metus nuo jų patvirtinimo dienos.

97.           NKSC, atlikdamas kibernetinio saugumo subjekto patikrinimą, turi teisę pareikalauti pateikti rizikos vertinimo ataskaitos kopiją ir rizikos valdymo priemonių plano kopiją. Kibernetinio saugumo vadovas privalo šiuos dokumentus turi pateikti į KSIS ne vėliau kaip per 5 darbo dienas nuo NKSC prašymo gavimo dienos.

 

_____________________

TINKLŲ IR INFORMACINIŲ SISTEMŲ RIZIKOS VERTINIMO IR VALDYMO TVARKOS APRAŠO PERŽIŪRA

 

Dokumento versija

Veiklos data

Statusas

Dokumento savininkas

Pagrindinės korekcijos

Patvirtinimo data ir Nr.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

_____________________