Riigikaitseministeeriumi all tegutsev Riiklik Küberjulgeoleku Keskus (NKSC) on ette valmistanud uue küberjulgeolekuriskide hindamise metoodika, mis on suunatud küberjulgeoleku subjektidele. See aitab organisatsioonidel hinnata küberohtusid ning valmistuda vastavuseks Küberjulgeoleku seaduse nõuetele.
Metoodika alus ja rahvusvahelised standardid
Lietuvas tegutsevatele küberjulgeoleku subjektidele koostatud riskijuhtimise metoodika tugineb rahvusvaheliselt tunnustatud standarditele, nagu NATO riskijuhtimise põhimõtted, ISO/IEC 27005, NIST ja BSI praktikad. Koos metoodikaga antakse organisatsioonidele ka praktilised näidised – riskihindamise aruande ja riskijuhtimiskava vormid.
„Küberjulgeolekuriskide hindamise metoodika on loodud tuginedes parimatele rahvusvahelistele praktikatele. See aitab organisatsioonidel ühtlustada riskihindamise protsessi riigi tasandil, määratleda üheselt kasutatavad mõisted ning teha põhjendatud otsuseid,“ selgitab NKSC direktor Antanas Aleknavičius.
Riskide tuvastamine vara põhjal
Oluline osa metoodikast on vara põhjal teostatav riskide tuvastamine. Selle protsessi käigus koostatakse vara kataloog, määratletakse olulised infosüsteemide ja -võrkude komponendid, tuvastatakse nende omanikud ning hinnatakse vara kriitilisust konfidentsiaalsuse, tervikluse ja käideldavuse vaatenurgast.
Riskide tuvastamise protsess võimaldab organisatsioonidel objektiivsemalt hinnata, millist mõju võivad avastatud haavatavused avaldada konkreetsele varale või varagrupile ning millised riskid sellest tulenevad. Metoodikas on esitatud ka ohtude ja haavatavuste kataloog, mida organisatsioonid saavad kohandada vastavalt oma sektori eripärale, läbiviidud testidele, audititele või varem kogetud intsidentidele.
Soovitusliku iseloomuga metoodika
NKSC koostatud riskihindamise metoodika on soovitusliku iseloomuga, mistõttu võivad organisatsioonid seda kohandada vastavalt oma tegevusvaldkonnale, riskitasemele ja sisemistele protsessidele. Samas rõhutab NKSC, et metoodika kasutamine on tungivalt soovitatav, kuna küberjulgeolekuriskide hindamine ise on Küberjulgeoleku seaduse rakendusnõuete kirjelduse (KSRA) järgi kohustuslik.
Riskihindamine aitab organisatsioonidel hinnata olemasolevat IT vara, selle seoseid ja haavatavusi. Metoodika võimaldab teha ühtseid ja põhjendatud otsuseid riskide juhtimise osas.
Metoodika kättesaadavus ja tugivahendid
Küberjulgeolekuriskide hindamise metoodika on kättesaadav Küberjulgeoleku infosüsteemis (KSIS). KSIS-ile saavad ligi need subjektid, kellel on küberjulgeoleku subjekti staatus. NKSC tuletab meelde, et KSIS keskkonnast leiab laia valiku vahendeid, mis on mõeldud organisatsioonide küberjulgeoleku infrastruktuuri tugevdamiseks.
NKSC kutsub organisatsioone liituma KSIS süsteemiga ja kasutama neile mõeldud tööriistu ja meetmeid, mis on välja töötatud just Eesti (Lietuva) organisatsioonide vajadusi silmas pidades.
Küsimused ja kontakt
Kui tekib küsimusi süsteemiga liitumise, riskijuhtimise metoodika kasutamise või teiste meetmete rakendamise kohta, võivad organisatsioonid pöörduda e-posti teel aadressil atitiktis@nksc.lt.
