LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS

MINISTRAS

ĮSAKYMAS

DĖL TIPINIO KIBERNETINIŲ INCIDENTŲ VALDYMO YPATINGOS SVARBOS INFORMACINĖSE INFRASTRUKTŪROSE PLANO PATVIRTINIMO

2023 m. spalio 16 d. Nr. V-840

Vilnius

Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 6 punktu:

1. T v i r t i n u Tipinį kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planą (pridedama).

2. N u r o d a u ypatingos svarbos informacinės infrastruktūros valdytojams rengiant kibernetinių incidentų valdymo planą vadovautis šiuo įsakymu patvirtintu Tipiniu kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planu.

3. R e k o m e n d u o j u šiuo įsakymu patvirtintu Tipiniu kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planu vadovautis ir kitiems kibernetinio saugumo subjektams rengiant savo kibernetinių incidentų valdymo planus.

Krašto apsaugos ministras Arvydas Anušauskas

PATVIRTINTA

Lietuvos Respublikos

krašto apsaugos ministro

2023 m. spalio 16 d.

įsakymu Nr. V-840

TIPINIS KIBERNETINIŲ INCIDENTŲ VALDYMO YPATINGOS SVARBOS INFORMACINĖSE INFRASTRUKTŪROSE PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Tipinio kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose plano (toliau – Planas) tikslas – nustatyti tipines procedūras, atliekamas valdant kibernetinius incidentus ryšių ir informacinėse sistemose, susijusiose su ypatingos svarbos informacine infrastruktūra.

2. Vartojamos sąvokos:

2.1. Kibernetinis incidentas – įvykis ar veika kibernetinėje erdvėje, galintis sukelti arba sukeliantis grėsmę arba neigiamą poveikį ryšių ir informacinėmis sistemomis perduodamos ar jose tvarkomos elektroninės informacijos prieinamumui, autentiškumui, vientisumui ir konfidencialumui, galintis trikdyti arba trikdantis ryšių ir informacinių sistemų veikimą, valdymą ir paslaugų jomis teikimą.

2.2. Kibernetinius incidentus tiriančios ir valdančios organizacijos – Valstybinė duomenų apsaugos inspekcija, Policijos departamentas prie Vidaus reikalų ministerijos, Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos.

2.3. Subjektas, atsakingas už kibernetinio saugumo politikos įgyvendinimą –kompetentingas asmuo arba struktūrinis padalinys, kuris yra atsakingas už organizacijos kibernetinio saugumo politikos įgyvendinimą, vidinių procedūrų kontrolę, stebėseną ir tobulinimą.

2.4. Subjektas, atsakingas už kibernetinių incidentų valdymą – kompetentingas asmuo arba struktūrinis padalinys, atsakingas už kibernetinių incidentų valdymą, informavimą apie kibernetinius incidentus ypatingos svarbos informacinėse infrastruktūrose.

2.5. Kitos Plane vartojamos sąvokos atitinka Lietuvos Respublikos kibernetinio saugumo įstatyme bei Lietuvos Respublikos Vyriausybės nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ patvirtintuose dokumentuose vartojamas sąvokas.

3. Už Planui įgyvendinti būtinų žmogiškųjų bei materialinių resursų užtikrinimą atsako įstaigos vadovas.

II SKYRIUS

KIBERNETINIO INCIDENTO VALDYMO ORGANIZAVIMAS

4. Asmenų, dalyvaujančių kibernetinio incidento valdymo veikloje, kontaktinė informacija ir funkcijos nurodyti Plano 1 priede.

5. Kibernetinio incidento valdymo schema pateikta 2 priede.

6. Ypatingos svarbos informacinės infrastruktūros techninė specifikacija, topologija, nuostatai, saugos dokumentai ir kita kibernetiniams incidentams valdyti svarbi informacija pateikti (pateikiama nuoroda į vidinius teisės aktus).

7. Didžiausias leistinas ypatingos svarbos informacinės infrastruktūros neveikimo laikas (nurodomas konkretus laikas valandomis arba nurodomas teisės aktas, kuriame tai būtų nurodyta).

8. Subjektas, atsakingas už kibernetinio saugumo politikos įgyvendinimą (nurodomos atsakingo asmens pareigos arba atsakingas padalinys).

9. Subjektas, atsakingas už kibernetinių incidentų valdymą (nurodomos atsakingo asmens pareigos arba atsakingas padalinys).

10. Kibernetinio incidento valdymo metu informacija organizacijos viduje, su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos (toliau – NKSC), kibernetinius incidentus tiriančiomis ir valdančiomis organizacijomis keičiamasi turimomis informacijos perdavimo priemonėmis (fiksuotojo ryšio telefonais, mobiliaisiais telefonais, elektroniniu paštu, palydoviniu ryšiu ir pan.).

11. Subjekto, atsakingo už kibernetinio saugumo politikos įgyvendinimą, subjekto, atsakingo už kibernetinių incidentų valdymą, taip pat kitų asmenų, susijusių su kibernetinių incidentų valdymu, kontaktinė informacija – elektroninio pašto adresas, telefono numeriai – pateikiami NKSC, naudojantis Kibernetinio saugumo informaciniu tinklu (toliau – KSIT), organizacijos posistemyje.

III SKYRIUS

KIBERNETINIO INCIDENTO NUSTATYMAS

12. Informacija apie galimą kibernetinį incidentą gali būti gauta iš įvairių informacijos šaltinių: darbuotojo, kuris atlieka kibernetinių incidentų stebėseną, automatizuotų kibernetinių incidentų aptikimo priemonių, kompetentingų valstybės institucijų, kitų juridinių arba fizinių asmenų, taip pat kitų valstybių, tarptautinių organizacijų arba institucijų, atliekančių kibernetinio saugumo užtikrinimo funkcijas.

13. Kiekvienas darbuotojas, pastebėjęs ar sužinojęs apie kibernetinį incidentą, nedelsdamas privalo apie jį pranešti subjektui, atsakingam už kibernetinių incidentų valdymą.

14. Subjektas, atsakingas už kibernetinių incidentų valdymą, gavęs informacijos apie galimą kibernetinį incidentą, pagal kompetenciją ją įvertina ir patvirtina arba paneigia kibernetinio incidento nustatymo faktą.

IV SKYRIUS

KIBERNETINIO INCIDENTO VERTINIMAS IR

INFORMAVIMAS APIE KIBERNETINĮ INCIDENTĄ

15. Subjektas, atsakingas už kibernetinių incidentų valdymą:

15.1. patvirtinęs kibernetinio incidento nustatymo faktą, vadovaujasi Nacionaliniu kibernetinių incidentų valdymo planu ir nedelsdamas pagal Kriterijų, kuriais vadovaujantis kibernetiniai incidentai priskiriami kibernetinių incidentų kategorijoms, sąrašą nustato kibernetinio incidento kategoriją;

15.2. užregistruoja kibernetinį incidentą (nurodoma informacinė sistema / kita turima priemonė kibernetiniams incidentams registruoti);

15.3. nustatytą nereikšmingo poveikio kibernetinį incidentą įtraukia į NKSC per KSIT periodiškai (kiekvieno kalendorinio mėnesio pirmą savaitę) teikiamą kibernetinių incidentų suvestinę;

15.4. nustatęs vidutinio ar didelio poveikio kibernetinį incidentą, užpildo pranešimo apie kibernetinį incidentą formą, pateiktą Plano 4 priede, ir pateikia jį NKSC Plano 3 priede nurodytu elektroniniu paštu arba užpildo pranešimo apie incidentą formą NKSC tinklalapyje:

15.4.1. apie vidutinio poveikio kibernetinį incidentą, informuoja NKSC ne vėliau kaip per keturias valandas nuo incidento nustatymo;

15.4.2. apie didelio poveikio kibernetinį incidentą informuoja NKSC nedelsdamas, bet ne vėliau kaip per vieną valandą nuo incidento nustatymo;

15.5. jei kibernetinis incidentas turi nusikalstamos veikos požymių (informacijos sunaikinimas ar pakeitimas, kompiuterių tinklo trikdymas, neteisėtas prisijungimas ir informacijos pasisavinimas, neteisėtas disponavimas kitais įrenginiais ir duomenimis ar pan.), informuoja Policijos departamentą Plano 3 priede nurodytais kontaktais;

15.6. jei kibernetinio incidento metu buvo paveiktas valdomų ir (ar) tvarkomų asmens duomenų konfidencialumas, autentiškumas, vientisumas, prieinamumas, informuoja Valstybinę duomenų apsaugos inspekciją Plano 3 priede nurodytais kontaktais;

15.7. gavęs kibernetinius incidentus tiriančių ir valdančių organizacijų prašymus, per nurodytą terminą patikslina arba papildo informaciją apie kibernetinį incidentą;

15.8. jeigu kibernetinio incidento buvimo faktas paneigiamas, apie tai informuoja NKSC, nurodydamas kibernetinio incidento paneigimo priežastis.

V SKYRIUS

KIBERNETINIO INCIDENTO VALDYMAS

16. Siekdami suvaldyti kibernetinį incidentą ir atkurti įprastą ypatingos svarbos informacinės infrastruktūros veiklą, Plano 1 priede nurodyti asmenys, atlikdami savo funkcijas, imasi visų galimų organizacinių, techninių ir teisinių priemonių.

17. Pagrindiniai kriterijai, kuriais vadovaujantis priimamas sprendimas dėl kibernetinio incidento valdymo priemonių:

17.1. Plano 1 priede nurodytų asmenų pasiūlymai dėl kibernetinio incidento valdymo;

17.2. kibernetinio incidento įrodymų išsaugojimas (įrašų išsaugojimas, jų patikimumo, vientisumo ir pasiekiamumo užtikrinimas);

17.3. didžiausias leistinas ypatingos svarbos informacinės infrastruktūros neveikimo laikas;

17.4. kibernetinio incidento valdymo sprendimui įgyvendinti reikalingas laikas ir ištekliai;

17.5. numatoma galima žala, kurią gali padaryti kibernetinis incidentas, priėmus jo valdymo sprendimą.

18. Kibernetinį incidentą priskyrus nereikšmingo poveikio kibernetinių incidentų kategorijai, subjektas, atsakingas už kibernetinių incidentų valdymą, atsižvelgdamas į kibernetinio incidento tipą ir galimas jo valdymo priemones, parenka efektyviausią galimą kibernetinio incidento valdymo priemonę ir organizuoja jos taikymą.

19. Kibernetinį incidentą priskyrus vidutinio ir didelio poveikio kibernetinių incidentų kategorijai:

19.1. subjektas, atsakingas už kibernetinių incidentų valdymą, informuoja Plano 1 priede nurodytus asmenis apie galimas kibernetinio incidento valdymo priemones;

19.2. Plano 1 priede nurodyti asmenys, gavę iš subjekto, atsakingo už kibernetinių incidentų valdymą ir tyrimą, išsamią informaciją apie galimas kibernetinio incidento valdymo priemones, per kuo trumpesnį laiką įvertina padėtį, priima sprendimą dėl efektyviausių ir mažiausiai žalos padarysiančių kibernetinio incidento valdymo priemonių taikymo ir jas taiko.

20. Išnykus kibernetinio incidento poveikiui, didelio ar vidutinio poveikio kibernetinio incidento tyrimas baigiamas ir kibernetinis incidentas laikomas suvaldytu ir (ar) pasibaigusiu.

21. Suvaldęs kibernetinį incidentą, subjektas, atsakingas už kibernetinių incidentų valdymą:

21.1. apie kibernetinio incidento suvaldymo rezultatus informuoja Plano 1 priede nurodytus asmenis;

21.2. per kuo trumpesnį laiką nuo kibernetinio incidento sustabdymo imasi priemonių pažeidžiamumui, dėl kurio įvyko kibernetinis incidentas, pašalinti arba užkardyti;

21.3. užpildo kibernetinio incidento tyrimo ataskaitą pagal Plano 5 priede pateiktą formą ir pateikia ją NKSC Plano 3 priede nurodytu elektroniniu paštu arba užpildo incidento tyrimo ataskaitos formą NKSC tinklalapyje:

21.3.1. apie didelio poveikio kibernetinio incidento valdymo būklę – ne vėliau kaip per keturias valandas nuo jo nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

21.3.2. apie vidutinio poveikio kibernetinio incidento valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jo nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

21.3.3. apie didelio ar vidutinio poveikio kibernetinio incidento suvaldymą ar pasibaigimą – ne vėliau kaip per keturias valandas nuo jo suvaldymo ar pasibaigimo;

21.4. nedelsdamas, bet ne vėliau kaip per aštuonias valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo informuoja teikiamos paslaugos gavėjus, jeigu kibernetinio incidento poveikis padarė žalą paslaugos gavėjų informacijos konfidencialumui, vientisumui ir prieinamumui.

22. Prieš atkuriant ypatingos svarbos informacinės infrastruktūros veiklą, vadovaujamasi NKSC ir kitų kibernetinius incidentus tiriančių organizacijų nurodymais bei imamasi visų priemonių kibernetinio incidento įrodymams išsaugoti.

VI SKYRIUS

KIBERNETINIO INCIDENTO PERĖMIMAS

23. Subjektas, atsakingas už kibernetinių incidentų valdymą, nustatęs, kad nepavyks savarankiškai ištirti kibernetinio incidento per maksimaliai leistiną ypatingos svarbos informacinės infrastruktūros valdytojo nustatytą ypatingos svarbos paslaugos neveikimo laiką, informuoja apie tai Plano 3 priede nurodytus asmenis ir institucijas ir ne vėliau kaip per dvidešimt keturias valandas kreipiasi į NKSC prašydamas pagalbos suvaldyti kibernetinį incidentą.

24. NKSC elektroniniu paštu arba telefonu patvirtinus, kad perima kibernetinio incidento valdymą, subjektas, atsakingas už kibernetinių incidentų valdymą:

24.1. nuolat renka, apdoroja informaciją, susijusią su kibernetiniu incidentu;

24.2. ne rečiau kaip kas keturias valandas teikia informaciją apie kibernetinį incidentą NKSC, taip pat informaciją apie atliktus kibernetinio incidento tyrimo ir (ar) valdymo veiksmus ir jų rezultatus.

24.3. vykdo NKSC nurodymus ir užtikrina visų būtinų resursų suteikimą kibernetiniam incidentui suvaldyti.

VII SKYRIUS

YPATINGOS SVARBOS INFORMACINĖS INFRASTRUKTŪROS VEIKLOS ATKŪRIMAS

25. Subjektas, atsakingas už kibernetinių incidentų valdymą:

25.1. įvykus kibernetiniam incidentui, pagal kompetenciją įvertina ypatingos svarbos informacinės infrastruktūros būklę, nustato pažeistas jos dalis ir per kuo trumpesnį laiką imasi veiksmų pažeistoms dalims atkurti arba pakeisti ir (arba) teikia 1 priede nurodytiems asmenims pagalbą dėl pažeistų dalių atkūrimo arba pakeitimo, jeigu to negali padaryti savo jėgomis;

25.2. prieš atkurdamas ypatingos svarbos informacinės infrastruktūros veiklą ir ypatingos svarbos paslaugos teikimą, įsitikina, jog nėra galimybės išnaudoti pažeidžiamumo, dėl kurio įvyko kibernetinis incidentas;

25.3. apie atkurtą ypatingos svarbos informacinės infrastruktūros veiklą ir (ar) ypatingos svarbos paslaugos teikimą bei pašalintą arba užkardytą pažeidžiamumą informuoja NKSC;

25.4. įvertina ryšių ir informacinės sistemos riziką ir atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

26. Subjektas, atsakingas už kibernetinio saugumo politikos įgyvendinimą, ir (ar) subjektas, atsakingas už kibernetinių incidentų valdymą, po kibernetinio incidento tyrimo išanalizavęs ir įvertinęs visą informaciją, susijusią su kibernetiniu incidentu, atliktus veiksmus ir panaudotas priemones, ne vėliau kaip per trisdešimt darbo dienų po kibernetinio incidento suvaldymo ar pasibaigimo pateikia kibernetinio incidento analizės rezultatus NKSC ir KSIT paskelbia susistemintą ir aktualią neįslaptintą informaciją apie kibernetinio incidento nustatymą ir suvaldymą.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

27. Subjektas, atsakingas už kibernetinio saugumo politikos įgyvendinimą:

27.1. sudaro su ypatingos svarbos informacinės infrastruktūros funkcionalumu susijusių paslaugos teikėjų (trečiųjų šalių), į kuriuos būtų kreipiamasi kibernetinio incidento valdymo metu, kontaktų sąrašą ir kas metus jį atnaujina;

27.2. vertina kibernetinio incidento valdymo procedūras ir nustatęs neatitikčių inicijuoja Plano pakeitimus. Nustatęs kitų teisinio reguliavimo trūkumų, inicijuoja ir kitų kibernetinio saugumo teisės aktų pakeitimus arba juo keičia;

27.3. organizuoja Plano veiksmingumo išbandymą ne rečiau kaip kartą per metus, kai imituojamas kibernetinis incidentas ir kibernetinio incidento valdymo veiklos dalyviai atlieka būtinus tokiomis aplinkybėmis veiksmus. Plano veiksmingumo išbandymo ataskaita perduodama NKSC Plano 3 priede nurodytu elektroniniu paštu.

28. Atsižvelgdami į gautus Plano veiksmingumo išbandymo rezultatus, Plano veiksmingumo išbandymo dalyviai, taip pat kibernetinio incidento valdymo veiklos dalyviai, įvertinę kibernetinio incidento valdymo metu įgytą patirtį ir nustatę galimus teisinio reguliavimo trūkumus, pateikia 1 priede nurodytiems asmenimis siūlymus dėl Plano ir (ar) kitų kibernetinį saugumą reglamentuojančių ir su ypatingos svarbos informacinės infrastruktūros kibernetiniu saugumu susijusių procedūrų gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo.

29. Kibernetinių incidentų valdymo metu išmoktos pamokos bei pasiūlymai taip pat gali būti teikiami NKSC.

––––––––––––––––––––

Tipinio kibernetinių incidentų valdymo

ypatingos svarbos informacinėse

infrastruktūrose plano

1 priedas

ASMENŲ, DALYVAUJANČIŲ KIBERNETINIO INCIDENTO VALDYMO VEIKLOJE, KONTAKTINĖ INFORMACIJA IR FUNKCIJOS

Vardas pavardė	Kontaktinė informacija (telefono numeris, el. pašto adresas ir panašiai)	Funkcijos
Vardenis Pavardenis	Kontaktinės informacijos turinys	Atliekamų funkcijų aprašymas
Vardenis Pavardenis	Kontaktinės informacijos turinys	Atliekamų funkcijų aprašymas
Vardenis Pavardenis	Kontaktinės informacijos turinys	Atliekamų funkcijų aprašymas
Vardenis Pavardenis	Kontaktinės informacijos turinys	Atliekamų funkcijų aprašymas
Vardenis Pavardenis	Kontaktinės informacijos turinys	Atliekamų funkcijų aprašymas

_______________________________

Tipinio kibernetinių incidentų valdymo

ypatingos svarbos informacinėse

infrastruktūrose plano

2 priedas

KIBERNETINIO INCIDENTO VALDYMO SCHEMA

___________________

Tipinio kibernetinių incidentų valdymo

ypatingos svarbos informacinėse

infrastruktūrose plano

3 priedas

INSTITUCIJŲ, DALYVAUJANČIŲ KIBERNETINIO INCIDENTO VALDYMO VEIKLOJE, KONTAKTINĖ INFORMACIJA

Institucija	Kontaktinė informacija (telefono numeris, el. pašto adresas ir pan.)	Pastabos
Nacionalinis kibernetinio saugumo centras prie KAM	Tel. 1843 el. p. [email protected], https://www.nksc.lt/pranesti.html	Pastabos turinys
Policija	Tel. (8 5) 271 7933, el. p. [email protected]	Pastabos turinys
Valstybinė duomenų apsaugos inspekcija	Tel. (8 5) 271 28 04, (8 5) 279 1445, el. p. [email protected]	Pastabos turinys

_____________________

Tipinio kibernetinių incidentų valdymo

ypatingos svarbos informacinėse

infrastruktūrose plano

4 priedas

Juridinio asmens pavadinimas

Juridinio asmens buveinės adresas

Telefonas, faksas, el. paštas

Nacionaliniam kibernetinio saugumo centrui

prie Krašto apsaugos ministerijos

Gedimino pr. 40, 01110 Vilnius

[email protected]

PRANEŠIMAS

APIE KIBERNETINĮ INCIDENTĄ

Data Nr. Numeris

Sudarymo vieta

Kontaktinė informacija

Atsakingo už kibernetinio incidento vertinimą asmens vardas ir pavardė:

Rašykite čia

Pareigos: Rašykite čia

Adresas: Rašykite čia

Telefonas, el. pašto adresas:

Rašykite čia

Kibernetinio incidento apibūdinimas

Kibernetinio incidento pogrupis:

Pasirinkite vieną

Trumpas kibernetinio incidento apibūdinimas (nurodyti kiek įmanoma detalesnę informaciją):

Rašykite čia

Tiksli data, laikas ir fizinė vieta, kada ir kur kibernetinis incidentas įvyko ir nustatytas: ____-__-__,___ val. ___ min.

Tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita²

Kibernetinio incidento poveikis:

☐	Didelio poveikio kibernetinis incidentas (du ar daugiau kriterijų) ☐ RIS¹ trikdoma ≥ 2 val. ☐ Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 1000, arba 25 % ☐ Paslauga trikdoma visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje ☐ Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas ☐ Nuostoliai ≥ 500 000 Eur

☐	Vidutinio poveikio kibernetinis incidentas (du ar daugiau kriterijų) ☐ RIS trikdoma ≥ 1 val., bet < 2 val. ☐ Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 1000, arba 25 % ☐ Paslauga trikdoma dalyje šalies teritorijos ☐ Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas ☐ Nuostoliai ≥ 250 000, bet < 500 000 Eur

☐	Nereikšmingo poveikio kibernetinis incidentas (bent vienas iš kriterijų) ☐ RIS trikdoma < 1 val. ☐ Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 100, arba 5% ☐ Paslauga teikiama, bet trikdoma ☐ Nuostoliai < 250 000 Eur

Kibernetinio incidento poveikis³:

☐ Neigiamą poveikį lėmė skaitmeninių paslaugų teikėjų ryšių ir informacinėse sistemose įvykę sutrikimai

☐ Gali turėti nusikalstomos veikos požymių

☐ Gali būti susijęs su asmens duomenų saugumo pažeidimais

Kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo apie nereikšmingo poveikio kibernetinius incidentus pateikimo dienos, skaičius

Informacija pateikiama apie nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių

Kibernetinio incidento šalinimo tvarka (turi būti nurodyta, ar tai prioritetas, ar ne)

Rašykite čia

Kita svarbi informacija

Rašykite čia

¹ RIS – ryšių ir informacinė sistema.

² Išskyrus nereikšmingo poveikio kibernetinius incidentus.

³ Jei nėra žinoma, nurodyti nereikia.

_________________________________

Tipinio kibernetinių incidentų valdymo

ypatingos svarbos informacinėse

infrastruktūrose plano

5 priedas

Juridinio asmens pavadinimas

Juridinio asmens buveinės adresas

Telefonas, faksas, el. paštas

Nacionaliniam kibernetinio saugumo centrui

prie Krašto apsaugos ministerijos

Gedimino pr. 40, 01110 Vilnius

[email protected]

DIDELĖS IR VIDUTINĖS REIKŠMĖS KIBERNETINIO INCIDENTO TYRIMO

ATASKAITA

Data Nr. Numeris

Sudarymo vieta

Kontaktinė informacija

Atsakingo už kibernetinio incidento vertinimą asmens vardas ir pavardė:

Rašykite čia

Pareigos: Rašykite čia

Adresas: Rašykite čia

Telefonas, el. pašto adresas:

Rašykite čia

Kibernetinio incidento grupė, poveikio kategorija

☐

Didelio poveikio kibernetinis incidentas (du ar daugiau kriterijų)

☐ RIS trikdoma ≥ 2 val.

☐ Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 1000, arba 25 %

☐ Paslauga trikdoma visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje

☐ Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas

☐ Nuostoliai ≥ 500 000 Eur

☐

Vidutinio poveikio kibernetinis incidentas (du ar daugiau kriterijų)

☐ RIS trikdoma ≥ 1 val., bet < 2 val.

☐ Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 1000, arba 25 %

☐ Paslauga trikdoma dalyje šalies teritorijos

☐ Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas

☐ Nuostoliai ≥ 250 000, bet < 500 000 Eur

Kibernetinio incidento tyrimas

RIS^*, kurioje nustatytas kibernetinis incidentas, tipas:

☐ Pramoninių procesų valdymo sistema

☐ Elektroninių ryšių tinklas

☐ Informacinė sistema

☐ Tarnybinė stotis

☐ Darbo stotis

☐ Registras

☐ Kitas

Kibernetinio incidento veikimo trukmė:

Nurodomas laikotarpis, kurio metu incidentas nebuvo suvaldytas, pvz. nuo NKSC pranešimo iki kompiuterio atjungimo.

Kibernetinio incidento šaltinis:

Nurodoma analizės metu nustatytos aplinkybės, naudotojo veiksmai, kurie galimai tapo incidento priežastimi: pvz. prijungta USB laikmena, naudotojo gautas ir atidarytas el. laiškas su žalingą kodą turinčiu priedu ar pan.

Kibernetinio incidento požymiai:

Jei naudotos priemonės atpažino ir automatiškai sunaikino kenkimo kodą ar blokavo kenksmingus sujungimus, pakanka nurodyti atpažinto kodo pavadinimą ir prie pranešimo prisegti naudota priemone sugeneruotą patikrinimo ataskaitą.

Kitais atvejais nurodomi požymiai, kurie leidžia identifikuoti analogiškus atvejus: pvz. kompiuteryje tam tikrame kataloge rasti failai (pavadinimai, HASH sumos), startup kataloge susikūrę automatinio paleidimo įrašai, procesų monitoriuje matomi pašaliniai procesai, fiksuojamos TCP\IP sesijos su domenais a,b,c ar IP adresais 1,2,3.

Kibernetinio incidento veikimo metodas:

Jeigu pavyko nustatyti kenkimo procesą ir jeigu turite, prisegama Jūsų turimo Sandbox sprendimo sugeneruota analizė

Galimos ir (ar) nustatytos kibernetinio incidento pasekmės:

Jeigu pavyko nustatyti, nurodoma padaryta žala

Kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas:

Nurodoma paveiktų kompiuterių, tinklų kiekis, kokiose zonose (serveriai, technologinis tinklas, administracijos darbo stotys ir pan.)

Kibernetinio incidento būsena:

Pasirinkite vieną

Priemonės, kuriomis kibernetinis incidentas buvo nustatytas:

Nurodomi tyrimui naudotų priemonių pavadinimai

Galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės:

Nurodomi veiksmai, kurių imtasi incidentui suvaldyti

Tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita:

Nurodoma, kai kibernetinis incidentas nėra suvaldytas ar pasibaigęs

Aptikti grėsmių indikatoriai

Nurodoma informacija apie kibernetinio incidento tyrimo metu nustatytus grėsmių indikatorius: IP adresai, nuorodos, el. pašto adresai, failų pavadinimai ir jų kontrolinės sumos, svetainių adresai ir pan.

Kita svarbi informacija

Nurodoma valdytojo nustatyta kibernetinio incidento kategorija, nuoroda į pranešimą apie šį incidentą. Nurodomos institucijos, kurios buvo informuotos apie šį incidentą, kita svarbi informacija

^* Ypatingos svarbos informacinė infrastruktūra ir valstybės informaciniai ištekliai.

_________________