Rizikų valdymas yra vienas iš esminių aspektų, padedančių užtikrinti efektyvų įmonės tinklų ir informacinių sistemų saugumą.
Atsižvelgiant į tai, vadovai savo organizacijose turi puoselėti rizikos valdymo kultūrą, nuolat šviesdami darbuotojus apie tai, kaip pastebėti, nustatyti ir suvaldyti kasdienėje veikloje galinčias kilti grėsmes. Rizikos valdymo kultūros diegimas padeda užtikrinti, kad darbuotojai, vykdydami savo funkcijas, priimtų išimtinai rizika pagrįstus ir organizacijos strategiją atitinkančius sprendimus. Tuo tikslu vadovai privalo aktyviai tobulinti savo kompetencijas rizikos valdymo srityje, periodiškai dalyvauti mokymuose.
Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pažymi, kad rizikos valdysena turėtų būti suvokiama kaip nuolatinis, tęstinis procesas, kasdien stebint tinklų ir informacinėse sistemose galinčias kilti grėsmes, fiksuojant incidentus, nedelsiant į juos reaguojant ir taikant papildomas saugumo priemones. Svarbu suvokti, jog rizikos šimtu procentų išvengti nėra įmanoma, tačiau tinkamas ir savalaikis reagavimas į kilusias grėsmes padeda užtikrinti galimybę įmonei toliau funkcionuoti ir tęsti savo veiklą, nepatiriant reikšmingų neigiamų padarinių.
Įmonėms ir organizacijoms, pripažintoms kibernetinio saugumo subjektais ir įtrauktoms į Kibernetinio saugumo subjektų registrą, kyla pareiga ne rečiau kaip kartą per metus atlikti rizikos vertinimą, dokumentuojant vertinimo metu gautus rezultatus.
Įmonėse taip pat turi būti parengta ir vadovo įsakymu patvirtinta tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarka, kurioje turi būti įtvirtinti už rizikos vertinimą atsakingi asmenys, rizikos vertinimo ir valdymo proceso tvarka, vertinimo atlikimo periodiškumas bei įmonės priimtinas rizikos lygis.
Advokato padėjėja Akvilė Laurinaitytė pabrėžia tam, kad rizikos valdymas būtų efektyvus ir veiksmingas, rekomenduojame šio proceso įgyvendinimui pasitelkti trijų gynybos linijų modelį:
• Pirmoji gynybos linija – operacijų ir procesų valdymas (atsakingi vadovai ir darbuotojai, tiesiogiai susiję su tinklų ir informacinėmis sistemomis, operacijų ir procesų vykdymu). Šioje linijoje veikiantys asmenys prižiūri nustatytą ir toleruojamą rizikos lygį, kasdienius procesus;
• Antroji gynybos linija – rizikos valdymo priežiūra ir kontrolė (atsakingas kibernetinio saugumo vadovas (CISO) ir (ar) saugos įgaliotinis, mažesnėse įmonėse gali būti skiriamas kibernetinio saugumo rizikos vertinimo ir valdymo specialistas, rizikos valdymo pareigūnas). Šioje linijoje veikiantys asmenys atsakingi už tinkamą rizikų identifikavimą, vertinimą, valdymą ir stebėjimą bei visos rizikų valdymo sistemos veiksmingumo priežiūrą ir periodinių ataskaitų teikimą;
• Trečioji gynybos linija – nepriklausomas vidaus / išorės auditas. Šioje linijoje veikiantys asmenys atlieka nepriklausomą rizikos valdymo sistemos peržiūrą ir vertinimą bei teikia ataskaitas įmonės akcininkams arba valdybai.
Rizikos vertinimas yra kompleksinė procedūra, susidedanti už daugybės žingsnių. Siekiant užtikrinti, kad rizikos vertinimo metu būtų tinkamai identifikuotos ir, kiek įmanoma, užkardytos visos tinklų ir informacinėse sistemose galinčios kilti grėsmės ir rizikos, rekomenduojame vertinimą atlikti pagal tarptautiniuose standartuose pateiktas rekomendacijas (pvz., ISO 31000:2018, ISO/IEC 27001:2022, ISO/IEC 27005:2022, NIST SP 800-30 Rev. 1).
Aukščiau nurodytų tarptautinių standartų pagrindu rizikos vertinimo ir valdymo procedūrą siūlome skaidyti į žemiau nurodytus etapus.
Pirmiausia, atliekamas įmonės turto identifikavimas ir sudaromas išteklių registras – identifikuojami visi organizacijoje esantys informaciniai, technologiniai, žmogiškieji ir fiziniai ištekliai. Atlikus išteklių identifikaciją, ištekliai yra klasifikuojami pagal jų kritiškumą organizacijos veiklai, atsižvelgiant į galimą tam tikrų išteklių sutrikimo poveikį organizacijos finansinei būklei, operaciniam tęstinumui ir reputacijai, ir sudaromas išteklių registras. Šis registras turi būti reguliariai peržiūrimas ir, esant poreikiui, atnaujinamas.
Toliau – nustatoma organizacijos rizikos lygio (apetito) apimtis, t. y. didžiausias rizikos lygis, kurį įmonė būtų pasiryžusi prisiimti ir toleruoti, nepažeisdama savo strateginių tikslų, reputacijos, finansinio stabilumo.
Kitas žingsnis – vidinių ir išorinių grėsmių bei spragų identifikavimas ir įvertinimas bei identifikuotų grėsmių analizės atlikimas ir aktualių rizikų masto nustatymas. Sudaromas rizikos registras, kuriame nurodomos visos identifikuotos grėsmės, spragos ir rizikos, įvertinamas jų lygis ir priskiriamas valdymo būdas (priimti, mažinti, perkelti ar išvis vengti rizikos) ir taikytinos kontrolės priemonės.
Atlikus rizikų analizę, nustatomas likutinis rizikos lygis, t. y. rizika, kuri išlieka po visų taikomų kontrolės priemonių. Jeigu likutinis rizikos lygis po pritaikytų kontrolės priemonių vis tiek viršija įmonės nustatytą priimtiną rizikos lygį (apetitą), parengiamas tolesnis rizikos valdymo veiksmų planas, kuriame nustatomos papildomos saugumo priemonės, priemonių įgyvendinimui reikalingi ištekliai, terminai ir už tai atsakingi asmenys.
Rizikos vertinimo metu gauti rezultatai pateikiami rizikos vertinimo ataskaitoje. Už šios ataskaitos, taip pat rizikos valdymo veiksmų plano (jei toks bus sudaromas) parengimą ir pateikimą vadovui patvirtinti atsakingas kibernetinio saugumo vadovas (CISO) ir/ar saugos įgaliotinis. Atkreipiame dėmesį, jog vadovo patvirtintos rizikos vertinimo ataskaitos ir rizikos valdymo plano (jei toks bus sudaromas) duomenys taip pat turės būti pateikiami į kibernetinio saugumo informacinę sistemą (KSIS) per 5 darbo dienas nuo šių dokumentų patvirtinimo organizacijoje.
Galiausiai, kaip pažymi A. Laurinaitytė, svarbu nepamiršti, kad šios patvirtintos rizikos vertinimo ataskaitos ir rizikos valdymo veiksmų planai įmonėje turės būti saugomi ne trumpiau kaip trejus metus. Nacionalinis kibernetinio saugumo centras (NKSC), atlikdamas organizacijos patikrinimą, taip pat turės teisę pareikalauti pateikti šių patvirtintų dokumentų kopijas, o organizacijos prašomus dokumentus turės pateikti per 5 darbo dienas nuo prašymo gavimo dienos.
Advokatų profesinė bendrija „NEWTON LAW“
Advokato padėjėja Akvilė Laurinaitytė
+370 646 53727
