Kasmetinis rizikų vertinimas yra vienas iš svarbiausių elementų norint užtikrinti tinklų ir informacinių sistemų (TIS) saugumą bei atitiktį Lietuvos Respublikos kibernetinio saugumo įstatymo (KSĮ) ir jo įgyvendinimo reikalavimų aprašo (KSRA) nuostatoms. Tinkamai atliktas rizikų vertinimas leidžia organizacijoms laiku identifikuoti aktualias grėsmes, įvertinti jų poveikį veiklai ir priimti pagrįstus sprendimus dėl rizikų valdymo.
Šios rekomendacijos skirtos padėti organizacijoms sistemiškai ir nuosekliai atlikti kasmetinį rizikų vertinimą, stiprinti rizikų valdymo brandą bei užtikrinti atitiktį galiojantiems teisės aktams ir gerajai praktikai.
Kodėl kasmetinis rizikų vertinimas yra būtinas?
Ne pagal atitinkamus standartus ar gerąją praktiką įdiegta rizikų valdymo sistema yra viena pagrindinių kliūčių efektyviam TIS saugumui. Reguliarus rizikų vertinimas leidžia organizacijai ne tik įvykdyti teisės aktų reikalavimus, bet ir geriau suprasti savo pažeidžiamumus, prioritetizuoti rizikas bei tinkamai paskirstyti išteklius.
Rizika šiame kontekste suprantama kaip potencialus įvykis ar neapibrėžtumas, įvertintas pagal pasireiškimo tikimybę ir galimą neigiamą poveikį organizacijos strateginiams tikslams. Tik sistemingas šių aspektų vertinimas leidžia efektyviai valdyti rizikas.
Rizikos kultūra ir valdysena organizacijoje
Veiksmingas rizikų valdymas neatsiejamas nuo stiprios rizikos kultūros. Ji apima darbuotojų požiūrį, elgseną ir gebėjimą atpažinti bei valdyti rizikas kasdienėje veikloje. Stipri rizikos kultūra reiškia, kad darbuotojai supranta rizikų poveikį organizacijai, yra skatinami apie jas kalbėti ir prisiima atsakomybę savo veiklos srityje.
Rizikos valdyseną rekomenduojama grįsti trijų gynybos linijų modeliu. Pirmoji linija apima operacijų ir procesų vykdymą, antroji – rizikos valdymo priežiūrą, o trečioji – nepriklausomą vidaus auditą. Toks modelis leidžia aiškiai paskirstyti atsakomybes ir užtikrinti nuoseklų rizikų valdymą visoje organizacijoje.
Rizikų valdymo sistema ir taikomi standartai
Rizikų valdymo sistema turėtų būti kuriama remiantis tarptautiniais standartais ir gairėmis, tokiais kaip ISO 31000, ISO/IEC 27001, ISO/IEC 27005, bei NIST SP 800-30. Šių standartų taikymas padeda užtikrinti, kad rizikų valdymo procesas būtų struktūrizuotas, palyginamas ir nuolat tobulinamas.
Siekiant išlaikyti sistemos aktualumą, organizacijoms rekomenduojama reguliariai peržiūrėti taikomus standartus ir atnaujinti rizikų valdymo praktiką.
Pagrindiniai rizikų valdymo proceso etapai
Kasmetinis rizikų vertinimas turėtų apimti šiuos pagrindinius etapus:
- ● organizacijos išteklių identifikavimą ir jų kritiškumo nustatymą;
- ● rizikos apetito apibrėžimą, atsižvelgiant į strateginius tikslus;
- ● vidinių ir išorinių grėsmių bei spragų identifikavimą;
- ● grėsmių analizę ir prigimtinio rizikos lygio nustatymą;
- ● tinkamos rizikų valdymo krypties parinkimą;
- ● likutinės rizikos įvertinimą ir, esant poreikiui, rizikos valdymo plano sudarymą;
- ● nuolatinę rizikų stebėseną ir ataskaitų teikimą vadovybei.
Šis procesas turi būti dokumentuojamas ir peržiūrimas ne rečiau kaip kartą per 12 mėnesių arba įvykus reikšmingiems pokyčiams organizacijoje.
Rizikos apetitas ir kontrolės priemonės
Aiškiai apibrėžtas rizikos apetitas leidžia organizacijai nustatyti, kokio lygio rizika yra priimtina. Rizikoms, viršijančioms nustatytas ribas, turi būti taikomos atitinkamos rizikos valdymo kryptys – rizikos mažinimas, perkėlimas, vengimas arba pagrįstas priėmimas.
Kontrolės priemonės gali būti prevencinės, identifikuojančios arba kompensacinės. Jų veiksmingumas turi būti reguliariai vertinamas, siekiant užtikrinti, kad jos išliktų aktualios ir efektyvios.
Periodinis vertinimas ir tobulinimas
Rizikų vertinimas ir rizikų valdymo sistemos peržiūra yra tęstinis procesas. Organizacijos privalo ne tik kasmet atlikti rizikų vertinimą, bet ir teikti nustatytą informaciją Nacionaliniam kibernetinio saugumo centrui (NKSC) bei saugoti rizikos vertinimo dokumentus nustatytą laikotarpį.
Nuolatinė stebėsena, vidinių ir išorinių auditų rezultatai, incidentų analizė ir organizacijos pokyčiai turi būti naudojami rizikų valdymo sistemos tobulinimui.
Apibendrinimas
Kasmetinis rizikų vertinimas yra ne formalus reikalavimas, o praktinis įrankis, leidžiantis organizacijoms sustiprinti kibernetinį saugumą, užtikrinti veiklos tęstinumą ir priimti rizika pagrįstus sprendimus. Tik nuoseklus, dokumentuotas ir reguliariai peržiūrimas rizikų valdymo procesas leidžia organizacijai išlikti atspariai nuolat kintančioje grėsmių aplinkoje.
Turite klausimų, ar norite sužinoti daugiau apie kasmetinį rizikų vertinimą? Susisiekime.