KSI atitikties savitikros čeklistas
30 punktų, suskirstytų į 5 blokus: KS vadovas ir atsakomybės, dokumentacija, techninės priemonės, auditas, incidentų valdymas. Pažymėkite faktiškai įgyvendintus — ne planuojamus.
✅ BLOKAS A — KS vadovas ir atsakomybės
Paskirtas KS vadovas (KSI 15 str. 1 d.)
Yra formalus paskyrimo įsakymas, asmuo žino savo pareigas. Jei KS vadovas nežino, kad jis yra paskirtas — tai ne paskyrimas.
Paskirtas saugos įgaliotinis (KSI 15 str. 2 d.)
Atsakingas už konkrečios tinklų ir informacinės sistemos atitiktį. Stebi sistemos saugumo būklę, koordinuoja pataisymų diegimą, reaguoja į incidentus.
KS vadovas yra nepriklausomas nuo IT tiekėjo
⚠️ Jei IT tiekėjas = KS vadovas — tai interesų konfliktas. NKSC audito metu tai bus pirmas klausimas.
KS vadovas atitinka kvalifikacijos reikalavimus (KSI 15 str. 5 d.)
≥ 2 metų patirtis IT/KS srityje arba aukštojo mokslo diplomas arba tarptautinis sertifikatas arba NKSC egzaminas.
Vadovai ir valdymo organai praėję KS mokymus (per pastaruosius 2 metus)
KSI 14 str. 7 d. Mokymų registras turi būti saugomas.
Darbuotojai susipažinę su KS politika (pasirašytinai arba el. registras)
Susipažinimas be įrodymų — ne susipažinimas NKSC audito akimis.
✅ BLOKAS B — Dokumentacija
Kibernetinio saugumo politika — patvirtinta vadovybės
Ne pakanka "turime politiką kažkur serveryje" — ji turi būti prieinama ir galioti.
Rizikų registras — sudarytas, reguliariai atnaujinamas (bent kartą per metus)
Jei nėra rizikų registro — nėra ir rizikos valdymo. Tai pirmas audito trūkumas.
Incidentų valdymo planas — yra konkretūs žingsniai, kontaktai, terminai
Plane turi būti: kaip identifikuoti, kas kaip praneša, 24 val. terminas NKSC (KSI 18 str.).
Veiklos tęstinumo planas (BCP) su apibrėžtais RTO ir RPO skaičiais
⚠️ BCP be RTO/RPO = dokumentas be prasmės. NKSC audito metu tai žeminamas balas.
Tiekimo grandinės saugumo tvarka — IT tiekėjų sąrašas, jų prieigos, vertinimas
Kiekvienas IT tiekėjas su prieiga prie sistemų turi būti inventorizuotas ir įvertintas.
Spragų valdymo procedūra — kaip sekamos ir šalinamos saugumo spragos
KSI 14 str. 5 d. 6 p.
Kriptografijos naudojimo tvarka — kas šifruojama, kokiais algoritmais
KSI 14 str. 5 d. 9 p.
Prieigos kontrolės politika — kas turi prieigą prie ko, MFA reikalavimai
KSI 14 str. 5 d. 10-11 p.
IT turto registras — visi įrenginiai, sistemos, programinė įranga inventorizuota
Negalite apsaugoti to, ko nesate inventorizavę.
✅ BLOKAS C — Techninės priemonės
Ugniasienė (firewall) — įdiegta, sukonfigūruota, reguliariai peržiūrimos taisyklės
Gamyklinė ugniasienė su gamykliniais nustatymais — neskaičiuojama.
Antivirusinė / EDR apsauga — visuose galuose, centralizuotai valdoma
Kiekvienam kompiuteriui atskirai įdiegta apsauga be centrinio valdymo — menka apsauga.
MFA (daugiafaktorė autentifikacija) — bent visiems administratoriams ir nuotolinei prieigai
Administratoriaus paskyra be MFA = aukštesnės rizikos pažeidimui.
Atsarginės kopijos — daromos reguliariai, saugomos ne toje pačioje vietoje, periodiškai testuojamos
⚠️ Atsarginės kopijos be testavimo — tai iliuzija atsarginių kopijų.
Logai (žurnaliniai įrašai) — renkami iš ugniasienės, serverių, aplikacijų, saugomi ≥ 90 dienų
NKSC req. 6: jei logai sustoja — per 1 darbo dieną informuojamas KS vadovas.
Mėnesinė logų analizė — atlikta žmogaus, yra ataskaita kiekvienam mėnesiui
NKSC req. 11: analizę atlieka įgaliotas asmuo — tools pats to neužtikrina.
Tinklo segmentavimas — kritinės sistemos atskirtos nuo administracinių darbo stočių
Nesegmentuotas tinklas: vienas kompromisuotas kompiuteris pasiekia viską.
Nuotolinė prieiga per VPN + MFA — ne tiesiogiai per RDP/SSH į internetą
Tiesioginis RDP į internetą — vienas dažniausių atakų vektorių.
Slaptažodžių politika — minimali ilgis, kompleksiškumas, rotacija privilegijuotoms paskyroms
Silpni slaptažodžiai nėra "žmogiška klaida" — tai sisteminė politikos spraga.
Atsarginių kopijų atstatymo testavimas — dokumentuota, kada buvo paskutinį kartą testuota
Rekomendacija: testuoti bent kartą per metus + po didelių pokyčių.
Patch / atnaujinimų procesas — kritiniai saugumo atnaujinimai diegiami per 30 dienų
Neatnaujintos sistemos — dažniausia atakų galimybė (NKSC statistika).
✅ BLOKAS D — Auditas ir NKSC atitiktis
Registruota NKSC KSIS sistemoje
Be registracijos reikalavimai oficialiai neprasideda, bet NKSC gali identifikuoti savarankiškai.
Atliktas nepriklausomas KS auditas — ne seniau kaip prieš 3 metus (KSI 14 str. 8 d.)
Auditas pagal NKSC kibernetinio saugumo auditų atlikimo metodiką — ne pagal ISO27001 ar vidines taisykles.
Auditorius atitiko reikalavimus: sertifikatas (CISSP/CISM/CISA/ISO27001 LA ir kt.) ir nepriklausomumas
Auditorius negali audituoti sistemų, kurias pats administruoja ar diegė.
Audito ataskaita pateikta NKSC (KSI 14 str. 3 d.)
Atliktas auditas be pateikimo — vis tiek neatitiktis.
Audito trūkumų šalinimo planas — sudarytas, yra terminai, vykdymas stebimas
KSI 14 str. 6 d.: vadovas privalo prižiūrėti jų laikymąsi.
✅ BLOKAS E — Incidentų valdymas
NKSC pranešimo tvarka žinoma — 24 val. ankstyvasis perspėjimas, 72 val. pilnas pranešimas
KSI 18 str. 4 d. Reikalingas konkretus kontaktas ir procedūra, ne tik žinojimas, kad "reikia pranešti".
NKSC kontaktai užmegzti — yra konkreti kontaktų informacija
Kontaktų paieška incidento metu — per vėlu.
Incidentų valdymo procedūra praktiškai išbandyta — ar bent kartą atlikta simuliacija?
Neišbandyta procedūra pirmą kartą testuojama realaus incidento metu.
Incidentų registras — visi praeities incidentai, net smulkūs, yra registruoti ir analizuoti
KSI 14 str. 5 d. 7 p. Be registro nėra įrodymų, kad sistema veikė — audito metu tai neįrodoma.
Čeklisto rezultatų interpretacija
| Įvykdyta (iš 30 punktų) | Situacijos vertinimas | Rekomenduojamas veiksmas |
|---|---|---|
| 25–30 | ✅ Solidi atitikties bazė | Periodinis monitoringas ir priežiūra |
| 15–24 | ⚠️ Reikšmingų trūkumų yra | GAP analizė + veiksmų planas su terminais |
| 0–14 | ❌ Aukšta rizika | Skubi intervencija — vCISO + prioritetinis šalinimas |
Norite profesionalaus vertinimo?
KSG atlieka GAP analizę ir pateikia veiksmų planą su prioritetais. Per 1–2 savaites žinosite, kur esate ir kaip efektyviausiai judėti į priekį.