KSI kibernetinio saugumo auditas

KSI 14 str. 8 d. reikalauja nepriklausomo KS audito ne rečiau kaip kas 3 metus pagal NKSC metodiką. KSG teikia šią paslaugą sertifikuoto auditoriaus (ISO/IEC 27001 Lead Auditor, CISSP).

2 000 €
auditas iki 100 KDV
Kas 3 m.
periodiškumas pagal KSI 14 str. 8 d.
NKSC
metodika (ne ISO27001)

Privalomas pagal KSI 14 str. 8 d.

„Kibernetinio saugumo subjektai ne rečiau kaip kartą per 3 metus atlieka kibernetinio saugumo auditą pagal NKSC tvirtinamą metodiką."

Auditas turi būti atliktas pagal NKSC audito metodiką — ne pagal ISO27001, ne pagal vidines taisykles. Rezultatas — audito ataskaita su NKSC pateikimui kartu su auditoriaus sertifikato įrodymu.

Praktinis patarimas: ISO27001 sertifikavimą turinčiam subjektui KS auditas eina greičiau ir pigiau — dokumentai jau egzistuoja. Bet jis vis tiek atskirai privalomas.

Kas gali ir kas negali atlikti audito

Kriterijus ✅ Leidžiama ❌ Draudžiama
AuditoriusNepriklausomas sertifikuotas specialistas (žr. sąrašą apačioje)Vidinis darbuotojas; IT tiekėjas; tas pats asmuo, kuris diegė saugumo priemones
ĮmonėNepriklausoma audito įmonė be verslo ryšių su klientuĮmonė, kuri valdo kliento IT infrastruktūrą ar yra IT tiekėjas
SertifikatasBent vienas iš: CISSP, CISM, CISA, CRISC, CGEIT, CASP+, ISO27001 Lead Auditor, GIAC GSNA/GSLC, CCISOAuditorius be nė vieno šių sertifikatų
DažnumasNe rečiau kaip kas 3 metusNeatliktas ilgiau nei 3 metus

KSI auditas ≠ ISO27001 sertifikavimas — tai du atskiri procesai

Kriterijus KS auditas (KSI 14 str. 8 d.) ISO27001 sertifikavimas
Kas atliekaSertifikuotas nepriklausomas auditoriusAkredituota sertifikavimo įstaiga
RezultatasAudito ataskaita → pateikiama NKSCSertifikatas su galiojimo terminu
PrivalomumasPrivalomas visiems KSI subjektamsSavanoriškas (rekomenduotinas)
DažnumasKas 3 metusPradinis + kasmetinis stebėjimas

Audito pasiruošimo čeklistas

Žinoma, kad privalo atlikti auditą (KSI 14 str. 8 d.)

Paskutinis auditas atliktas ne seniau kaip prieš 3 metus (arba dar nebuvo — reikia skubiai)

Auditorius turėjo bent vieną iš reikalaujamų sertifikatų

Auditorius nebuvo tas pats asmuo/įmonė, kuri prižiūri IT sistemą

Audito ataskaita buvo pateikta NKSC

Kartu su ataskaita pateiktas auditoriaus sertifikato įrodymas

Audito metu nustatytos problemos turi šalinimo planą su terminais

Šalinimo plano vykdymas stebimas (KS vadovas / vCISO)

Aukščiau esantys laukeliai yra informaciniai. Išsamų atitikties vertinimą atlieka KSG audito komanda.

KSG KSI audito paslauga — kas įeina?

Audito eiga (5 žingsniai)

  1. 1 Organizacinių priemonių vertinimas (dokumentai, politikos, personalas, mokymai)
  2. 2 Techninių priemonių vertinimas (infrastruktūra, prieiga, stebėsena, atsarginės kopijos)
  3. 3 NKSC reikalavimų atitikties matrica (eilutė po eilutės)
  4. 4 Audito ataskaita su NKSC pateikimui + auditoriaus sertifikato įrodymas
  5. 5 Šalinimo plano sudarymas su prioritetais ir terminais

Audito apimtis

Dokumentų ir politikų peržiūra
Prieigos valdymo ir MFA tikrinimas
Atsarginių kopijų ir atstatymo procedūrų tikrinimas
SIEM/logų rinkimo ir analizės tikrinimas
Tinklo saugumo įvertinimas
Tiekimo grandinės valdymo peržiūra
Incidentų valdymo planų vertinimas
BCP/DRP su RTO/RPO tikrinimas

Kainodara

Iki 100 KDV
2 000 €
Bazinė audito kaina + ataskaita NKSC
Virš 100 KDV
+15 € / KDV
Bazinė kaina + papildoma kaina kiekvienam KDV virš 100
Svarbu dėl nepriklausomumo: KSG gali arba diegti saugumo priemones arba atlikti auditą — ne abu vienu metu. Rekomenduojame: KSG diegia priemones, auditą atlieka mūsų partnerių tinklo sertifikuotas nepriklausomas auditorius.
Užsakyti auditą
← Kibernetinis saugumas KSI įstatymas ir baudos vCISO — KSI 15 str. KSI dokumentacija Atitikties čeklistas Saulės elektrinių saugumas