KSI dokumentacija — 13 privalomų dokumentų

KSI 14 str. reikalauja konkrečių dokumentų. Ne pakanka „turėti politiką kažkur serveryje" — dokumentai turi galioti, būti patvirtinti vadovybės ir darbuotojai turi su jais susipažinti.

13
privalomų dokumentų pagal KSI
1 500 €
standartinis rinkinys
4 000 €
pilna adaptacija pagal procesus

Privalomų dokumentų sąrašas (KSI 14 str.)

Šie dokumentai reikalingi pagal KSI 14 str. — kiekvienas turi galioti (ne tik egzistuoti, bet ir būti atnaujinamas).

# Dokumentas KSI str.
1 Kibernetinio saugumo politika 14 str. 5 d. 1 p.
2 Rizikos vertinimo metodika ir rizikų registras 14 str. 5 d. 1 p.
3 Incidentų valdymo planas ir procedūros 14 str. 5 d. 3 p.
4 Veiklos tęstinumo planas (BCP) su RTO ir RPO 14 str. 5 d. 4 p.
5 Tiekimo grandinės saugumo tvarka (IT tiekėjų sąrašas, vertinimas) 14 str. 5 d. 5 p.
6 Spragų valdymo procedūra 14 str. 5 d. 6 p.
7 Kibernetinės higienos taisyklės darbuotojams 14 str. 5 d. 8 p.
8 Kriptografijos ir šifravimo naudojimo tvarka 14 str. 5 d. 9 p.
9 Prieigos kontrolės politika 14 str. 5 d. 10 p.
10 IT turto valdymo tvarka ir turto registras 14 str. 5 d. 10 p.
11 Darbuotojų KS mokymų registras (vadovai kas 2 m.) 14 str. 7 d.
12 Logų rinkimo ir analizės politika, mėnesinės ataskaitos NKSC req. 6, 11
13 KS vadovo ir saugos įgaliotinio paskyrimo dokumentai 15 str. 1–2 d.

Dokumentų kokybės kriterijai — ne tik „ar yra", bet ir:

Dokumentai patvirtinti vadovybės (parašas / įsakymas)

Dokumentai atnaujinti per pastaruosius 2 metus

Darbuotojai susipažinę su politikomis (pasirašytų lapų registras)

BCP plane yra konkretūs RTO ir RPO skaičiai (ne „kuo greičiau")

⚠️ BCP be RTO/RPO = dokumentas be prasmės. NKSC audito metu tai yra žeminamas balas. Veiklos tęstinumo plane turi būti konkretūs laikiniai rodikliai kiekvienai kritinei sistemai.

Kritiniai dokumentai — ką praktiškai reikia

Incidentų valdymo planas

Plane turi būti: kaip identifikuoti incidentą, kas kaip praneša, kas koordinuoja. KSI 18 str. 4 d.: 24 val. ankstyvasis perspėjimas NKSC, 72 val. pilnas pranešimas.

Incidentų registras turi būti saugomas — net smulkūs incidentai. Be registro nėra įrodymų, kad sistema veikė.

Veiklos tęstinumo planas (BCP)

BCP turi apibrėžti kiekvienai kritinei sistemai:

  • RTO Recovery Time Objective — kiek laiko gali neveikti sistema
  • RPO Recovery Point Objective — kiek duomenų praradimas priimtinas

Tiekimo grandinės tvarka

Kiekvienas IT tiekėjas, turintis prieigą prie jūsų sistemų, turi būti inventorizuotas: kokia prieiga, kokie saugumo reikalavimai, kaip tikrinama atitiktis. „Pasitikime savo tiekėjais" — ne tinkamas atsakymas NKSC auditui.

Logų rinkimo ir analizės politika

NKSC req. 11: analizę atlieka žmogus, ne tik automatiškai. Reikalinga mėnesinė ataskaita su žmogaus analize. Jei logai sustoja — per 1 darbo dieną turi būti informuotas KS vadovas.

KSG dokumentacijos paslauga

Standartinis rinkinys

~1 500 €

13 privalomų dokumentų pagal KSI

  • Visi 13 dokumentų
  • Bazinė adaptacija pagal jūsų organizaciją
  • Tinka daugumai MVĮ ir biudžetinių įstaigų

Pilna adaptacija

~4 000 €

Dokumentai adaptuoti pagal jūsų procesus ir tvarkas

  • Visi 13 dokumentų
  • Pilna adaptacija pagal realius procesus
  • Vadovybės patvirtinimo koordinavimas
  • Tinka sudėtingoms organizacijoms
Užsakyti dokumentaciją
← Kibernetinis saugumas KSI reikalavimai vCISO — dokumentų priežiūra KSI auditas Atitikties čeklistas SOC 24/7 stebėsena