arsis naudotojo vadovas - nksc.lt · arsis naudotojo vadovas 8/47 1.6 duomenų filtravimas...
TRANSCRIPT
ARSIS naudotojo vadovas
2/47
Turinys
0. Įvadas 3
1. Bendrosios žinios 4
2. Informaciniai ištekliai 9
3. Reikalavimai 12
4. Atitikties valdymas 19
5. Rizikos valdymas 26
6. Apsaugos priemonių valdymas 41
7. Informacijos saugumo įvykių valdymas 46
ARSIS naudotojo vadovas
3/47
0. Įvadas
Šiame dokumente yra aprašytos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos (toliau – ARSIS), naudotojo veiklų funkcionalumas, apimantis šias sritis:
Informacinių išteklių valdymas
Reikalavimų valdymas
Auditų valdymas
Rizikos valdymas
Apsaugos priemonių valdymas
Informacijos saugumo įvykių valdymas
Jei nenurodyta kitaip, naudotojo vadove nurodytas veiklas galima atlikti, prisijungus prie
sistemos naudotojo prisijungimo vardu, kuriam suteikta rolė „Išorinis naudotojas“.
ARSIS naudotojo vadovas
4/47
1. Bendrosios žinios
1.1 Prisijungimas prie sistemos
Interneto naršyklės adresų laukelyje įveskite adresą https://arsis.nksc.lt. Jei esate registruotas ARSIS naudotojas, prie sistemos galite prisijungti per elektroninius
valdžios vartus.
Prisijungus bus rodomas pradinis sistemos langas, kurio viršutiniame dešiniajame kampe
rodomas naudotojo vardas ir pavardė.
1.2 Išsiregistravimas iš sistemos
Išsiregistruokite iš sistemos, nuspaudę mygtuką „Atsijungti“ viršutiniame dešiniame tinklalapio kampe.
ARSIS naudotojo vadovas
5/47
1.3 Naudotojo nustatymai
Sistemos lango viršutiniame dešiniajame kampe nuspauskite ant naudotojo vardo ir pavardės. Bus rodomi naudotojo nustatymai: vardas, pavardė, elektroninio pašto adresas, pareigos, telefonas, vietovė. Ši informacija rodoma tik tiems naudotojams, kuriems suteikta teisė patiems keisti nurodytus duomenis.
ARSIS naudotojo vadovas
6/47
1.4 Slaptažodžio keitimas
Slaptažodį pasikeisti gali tik tie naudotojai, kuriems suteikta teisė jungtis prie ARSIS sistemos panaudojant naudotojo vardą ir slaptažodį.
Norėdami pasikeisti slaptažodį, sistemos lango viršutiniame dešiniajame kampe
nuspauskite ant naudotojo vardo ir pavardės. Puslapio apačioje esančioje skiltyje „Slaptažodžio keitimas“ įveskite naują slaptažodį, jį pakartokite ir nuspauskite mygtuką „Išsaugoti“.
Atminkite, kad naujas slaptažodis turi atitikti šiuos reikalavimus:
slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;
ARSIS naudotojo vadovas
7/47
slaptažodis turi būti sudarytas iš raidžių, skaitmenų, specialiųjų simbolių;
negalima sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija;
slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius.
1.5 Duomenų eksportavimas į failus
Sistema suteikia galimybę eksportuoti lentelių duomenis į failus. Galimybę eksportuoti konkrečios lentelės duomenis nustato sistemos administratorius.
Meniu pasirinkite norimą informacijos saugumo valdymo sritį (pvz., „Ištekliai > Išteklių sąrašas“). Viršutiniame dešiniajame kampe šalia užrašo „Eksportuoti“ pasirinkite norimą eksporto formatą: Excel, Word arba PDF. Leistinus formatus nustato sistemos administratorius.
Failas bus atsiųstas į naršyklę ir jūs galėsite jį atsidaryti norima peržiūros programa.
ARSIS naudotojo vadovas
8/47
1.6 Duomenų filtravimas
Sistemoje sąrašuose rodomus įrašus galima filtruoti pagal norimą pasirinkto laukelio vertę.
Norimo sąrašo viršutinėje dešinėje pusėje nuspauskite nuorodą „Filtras“.
Bus išskleisti visi galimi sąrašo įrašų laukeliai. Nurodykite vieno arba kelių laukelių vertes
ir filtro lango apačioje nuspauskite mygtuką „Filtruoti“. Bus rodomi filtro parametrus atitinkantys įrašai, o šalia nuorodos „Filtras“ bus rodomas aktyvių filtro laukelių kiekis.
Filtrą taip pat galima išsaugoti, jei norima tuos pačius filtro parametrus naudoti ir kitą kartą. Užpildykite norimus laukelius ir filtro lango apačioje nuspauskite nuorodą „Išsaugoti“. ši jūsų parinktis bus išsaugoma išsiregistravus ir vėl prisiregistravus prie sistemos.
Norėdami išvalyti filtro laukelius, filtro lango apačioje nuspauskite nuorodą „Išvalyti“.
1.7 Duomenų skirstymas puslapiais
Didesni įrašų sąrašai skirstomi puslapiais. Viename puslapyje rodoma iki 25 įrašų. Jei įrašų sąraše yra daugiau, į kitą puslapį galima patekti sąrašo apačioje nuspaudus puslapio numerį. Piktograma „<<“ reiškią pirmąjį sąrašo puslapį, „>>“ – paskutinįjį, „<“ – vienu puslapiu atgal ir „>“ – vienu puslapių į priekį.
1.8 Automatinis išregistravimas
Sistema automatiškai išregistruos naudotoją, jei per 15 minučių nebus atlikta jokių veiksmų sistemoje.
ARSIS naudotojo vadovas
9/47
1.9 Reikalavimai naršyklei dirbant su ARSIS
Dirbant su ARSIS, naršyklė turi atitikti tokius techninius reikalavimus:
ARSIS svetainės lankytojams rekomenduojama naudotis tokiomis interneto naršyklėmis ir ne senesnėmis, nei nurodyta, jų versijomis:
o IE: 11. o Firefox: 43.0.4. o Chrome: 48.0.2564.82.
IE 11 naršyklėje ARSIS.NKSC.LT arba NKSC.LT adresai neturi būti įtraukti į suderinamumo su senesnėmis IE naršyklėmis (compatibility view) sąrašą. Šį sąrašą galima peržiūrėti naršyklės „Tools > Compatibilitiy View Settings“ lange.
2. Informaciniai ištekliai
Informacinių išteklių valdymo skiltyje pateikiami iš Registrų ir informacinių sistemų registro (toliau – RISR) gauti duomenys, papildyti informacijos saugos valdymui svarbiais duomenimis.
Pasirinkite meniu skiltį „Ištekliai > Išteklių sąrašas“. Bus rodomas naudotojo organizacijos valdomų arba tvarkomų informacinių išteklių sąrašas.
Kiekvieną informacinį išteklių aprašo šie laukai:
Pavadinimas* – informacinio ištekliaus pavadinimas; Saugos įgaliotinis – informacinio ištekliaus saugos įgaliotinis; Įregistravimo data – informacinio ištekliaus įregistravimo RISR data; Objekto tipas – objekto tipas; Valdytojas – informacinio ištekliaus valdytojas (-ai); Tvarkytojas – informacinio ištekliaus tvarkytojas (-ai); Duomenų valdymo įgaliotinis – duomenų valdymo įgaliotinio (-ių) pareigos, vardas ir
pavardė; Nuoroda – nuoroda į informacinio ištekliaus kortelę RISR interneto
svetainėje www.registrai.lt;
ARSIS naudotojo vadovas
10/47
Duomenys iš RISR – požymis, ar duomenys buvo gauti iš RISR. Jei pažymėta, laukeliai „Pavadinimas“, „Įregistravimo data“, „Objekto tipas“, „Valdytojas“, „Tvarkytojas“, „Duomenų valdymo įgaliotinis“ ir „Nuoroda“ užpildomi duomenimis iš RISR ir duomenų teikėjas negalės jų keisti;
Duomenų teikėjas – naudotojo, įgalioto teikti duomenis į ARSIS, vardas ir pavardė; Kategorija – informacinio ištekliaus kategorija; Asmens duomenų saugumo lygis – asmens duomenų saugumo lygis; Rūšis – informacinio ištekliaus rūšis pagal Valstybės informacinių išteklių valdymo
įstatymą): pagrindinis valstybės registras, valstybės informacinė sistema, valstybės registras, vidaus administravimo sistema, žinybinis registras;
Tipas – informaciniame ištekliuje apdorojamos elektroninės informacijos tipas: ypatingos svarbos, svarbus, žinybinės svarbos, kita;
Elektroninės informacijos svarba – informaciniame ištekliuje apdorojamos elektroninės informacijos svarba: ypatingos svarbos, svarbi, žinybinės svarbos, kita;
Hierarchinė sąsaja – šiame laukelyje galima nurodyti kitą informacinį išteklių, kuriam priklauso ar su kuriuo siejamas konkretus informacinis išteklius;
Komentaras – papildomi duomenys apie informacinį išteklių; Susiję projektai – rodomi su informaciniu ištekliu susiję projektai; Susiję įvykiai – rodomi su informaciniu ištekliu susiję įvykiai.
* – privalomas laukas.
Laukelius „Saugos įgaliotinis“, „Kategorija“, „Asmens duomenų saugumo lygis“, „Rūšis“, „Tipas“, „Elektroninės informacijos svarba“, „Hierarchinė sąsaja“ ir „Komentaras“ gali pildyti tik vidiniai naudotojai.
ARSIS naudotojo vadovas
12/47
3. Reikalavimai
3.1 Teisės aktai
Į teisės aktų skiltį įkelti informacijos saugumo valdymą reglamentuojantys teisės aktai: įstatymai, LRV nutarimai, įstaigų vadovų įsakymai, standartai ir kita.
Pasirinkite meniu skiltį „Reikalavimai > Teisės aktai“. Bus rodomas teisės aktų sąrašas.
Kiekvieną teisės aktą aprašo šie laukai:
Pavadinimas* – teisės akto pavadinimas; Teisės akto rūšis – įstatymas, nutarimas, įsakymas arba standartas; Priėmusios institucijos pavadinimas – teisės aktą priėmusios institucijos pavadinimas; Priėmimo data – teisės akto priėmimo data; Numeris – teisės akto numeris; Oficialaus paskelbimo šaltinis – teisės akto oficialaus paskelbimo šaltinis; Įsigaliojimo data – teisės akto įsigaliojimo data; Galiojanti suvestinė redakcija – galiojančios suvestinės redakcijos buvimo požymis: yra,
nėra; Nuoroda į teisės aktą – nuoroda į teisės aktą internete, pvz., Teisės aktų registre (TAR); Galiojimas – teisės akto galiojimo požymis: galioja, negalioja.
ARSIS naudotojo vadovas
13/47
3.2 Reikalavimų sąrašas
Į reikalavimų skiltį įkelti informacijos saugumą reglamentuojančių teisės aktų reikalavimai. Kiekvienam reikalavimui skirtas atskiras įrašas, kuriame pateikiamas reikalavimo tekstas ir daugiau su reikalavimu susijusių duomenų.
Pasirinkite meniu skiltį „Reikalavimai > Reikalavimų sąrašas“. Bus rodomas pagal teisės aktus sugrupuotas reikalavimų sąrašas.
ARSIS naudotojo vadovas
14/47
Kiekvieną reikalavimą aprašo šie laukai:
Nr.* – reikalavimo numeris;
Numerį sudaro taškais atskirti skaičiai, pvz.: 1.5. Pirmame segmente gali būti raidė "A", pvz.: A.7.6. Pirmame segmente šalia skaičiaus arba raidės gali būti skaičius skliaustuose, pvz.: 1(8).5.1.
Reikalavimas* – reikalavimo turinys; Aprašas – detalesnis reikalavimo aprašas; Įgyvendinimo rekomendacijos – reikalavimo įgyvendinimo rekomendacijos; Teisės aktas* – reikalavimo teisės akto pavadinimas; Galiojimas – reikalavimo galiojimo požymis: galioja, negalioja; Teisės akto rūšis* – įstatymas, nutarimas, įsakymas arba standartas; Privalomumas – požymis, ar reikalavimas yra privalomas: privalomas, neprivalomas; Reikalavimo sritis – elektroninės informacijos sauga (kibernetinis saugumas), elektroninės
informacijos sauga, kibernetinis saugumas, asmens duomenų apsauga; Taikoma ištekliaus rūšiai – ištekliaus rūšis, kuriai taikomas reikalavimas: pagrindinis
valstybės registras, valstybės registras, valstybės informacinė sistema, vidaus administravimo sistema, žinybinis registras;
Taikoma saugos kategorijai – informacinio ištekliaus kategorija, kuriai taikomas reikalavimas: 1, 2, 3, 4;
Taikoma informacinio ištekliaus tipui – informacinio ištekliaus tipas, kuriam taikomas reikalavimas: ypatingos svarbos, žinybinės svarbos, svarbus, kitas;
Taikoma tvarkomos elektroninės informacijos svarbai – informaciniame ištekliuje tvarkomos informacijos svarba, kuriai taikomas reikalavimas: ypatingos svarbos, žinybinės svarbos, svarbus, kitas;
Taikoma tvarkomų asmens duomenims saugumo lygiui – informaciniame ištekliuje tvarkomų asmens duomenų saugumo lygis, kuriam taikomas reikalavimas: 1, 2, 3;
Įgyvendinimo būdas – priemonės, kuriomis gali būti įgyvendinamas reikalavimas: organizacinės-teisinės priemonės, techninės-programinės;
Taikytina apsaugos priemonė (ISO 27002) – reikalavimo užtikrinimui taikytina apsaugos priemonė iš ISO 27002 klasifikatoriaus;
ARSIS naudotojo vadovas
15/47
Taikytina apsaugos priemonė (SANS) – reikalavimo užtikrinimui taikytina apsaugos priemonė iš SANS klasifikatoriaus;
Reikalavimo neįgyvendimo keliama rizika – dėl reikalavimo neįgyvendinimo kylanti rizika iš rizikos veiksnių klasifikatoriaus;
Tipiniai reikalavimo įgyvendinimo klausimai – audito klausimynui skirti klausimai, kuriais siekiama įsitikinti, ar reikalavimas tinkamai įgyvendintas;
Komentaras – papildoma informacija apie reikalavimą; Nuoroda – nuoroda į reikalavimo įgyvendinimo tinklalapį Būtina įvertinti atitiktį – požymis, ar įtraukti reikalavimą į audito klausimyną. Jei
pažymėta, reikalavimas bus įtrauktas į audito klausimyną ir jam reikės pateikti įrodymus. Jei ne – reikalavimas gali būti įtrauktas į audito klausimyną tik rodymui (žr. lauko „Rodyti klausimyne“ aprašą);
Rodyti klausimyne – požymis, ar rodyti reikalavimą audito klausimyne. Būtina pagrįsti pridedant dokumentą – požymis, ar audito klausimyne prie reikalavimo
būtina pridėti dokumentą Sąsajos su auditais ir rizika – rodomi su reikalavimu susiję auditai ir rizikos
Netaikytina informaciniams ištekliams – nurodomi informaciniai ištekliai, kuriems dėl objektyvių priežasčių reikalavimas netaikomas.
* – privalomas laukas.
ARSIS naudotojo vadovas
17/47
3.3 Sąvokos
Sąvokų skiltyje pateiktos teisės aktuose naudojamos sąvokos. Pasirinkite meniu skiltį „Reikalavimai > Sąvokos“. Bus rodomas teisės aktų sąvokų
sąrašas.
ARSIS naudotojo vadovas
18/47
Kiekvieną sąvoką aprašo šie laukai:
Sąvoka* – sąvokos pavadinimas; Raktinis žodis – sąvokos raktinis žodis, pagal kurį galima rūšiuoti ir filtruoti sąvokas; Aprašas – teisės akte pateiktas sąvokos aprašas; Teisės aktas* – sąvokos teisės akto pavadinimas.
* – privalomas laukas.
3.4 COBIT brandos lygiai
Šioje skiltyje pateikiami COBIT procesų brandos lygiai, kurie gali būti naudojami atitikties vertinimo klausimynuose.
Pasirinkite meniu skiltį „Reikalavimai > COBIT brandos lygiai“. Bus rodomas COBIT brandos lygių sąrašas.
Kiekvieną COBIT brandos lygį aprašo šie laukai:
Brandos lygis – Brandos lygio reikšmė;
Aprašas – COBIT brandos lygio aprašymas.
ARSIS naudotojo vadovas
19/47
4. Atitikties valdymas
4.1 Apžvalga
Auditų (arba atitikties vertinimo) funkcionalumas skirtas nustatyti konkretaus informacinio ištekliaus atitiktį jam taikytinų teisės aktų reikalavimams.
Auditus gali sukurti ir pateikti tik tie naudotojai, kurie konkrečiam informaciniam ištekliui nurodyti duomenų teikėjais.
4.2 Auditų būsenos
Auditas gali turėti šias būsenas:
Vykdoma;
Pateikta;
Priimta;
Grąžinta taisymui.
Naujai sukurto audito būsena bus „Vykdoma“. Norinti pateikti audito duomenis, reikia audito būseną pakeisti į „Pateikta“. Po to jį sukūręs naudotojas negalės keisti audito duomenų, o tik peržiūrėti duomenis. Jei pateiktas atitikties vertinimas bus priimtas be pastabų, jo būsena bus pakeista į „Priimta“. O jei pastabų bus, audito būsena bus pakeista į „Grąžinta taisymui“ ir audito duomenis bus galima koreguoti, o auditą pateikti pakartotinai.
4.3 Auditų peržiūra
Pasirinkite meniu skiltį „Atitikties vertinimas > Atitikties vertinimas“. Sąraše bus rodomi informacinių išteklių valdytojo arba tvarkytojo atlikti arba vykdomi auditai.
Nuspaudus audito pavadinimą, bus rodoma detalesnė informacija apie auditą, reikalavimai ir atitikties vertinimo duomenys.
Atitikties vertinimo duomenys rodomi šiose skiltyse:
ARSIS naudotojo vadovas
20/47
Auditas – bendrieji audito duomenys; Atitikties vertinimo duomenys – atitikties teisės aktų reikalavimams įvertinimas; Neatitkčių valdymas – neatitikčių teisės aktų reikalavimams valdymo planas.
4.4 Audito sukūrimas
Norėdami įvesti naują auditą, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.
Kiekvieną auditą aprašo šie laukai:
Audito pavadinimas* – audito pavadinimas; Data ir laikas* – audito sukūrimo data ir laikas (užpildoma automatiškai); Teikiančioji organizacija* – atitikties vertinimą teikianti organizacija (užpildoma
automatiškai); Audito tipas – „Vidinis“, jei auditą atlieka informacinio ištekliaus valdytojo arba tvarkytojo
darbuotojai, arba „Nepriklausomas“, jei auditą atlieka trečioji šalis; Atsakingas* – išorinio naudotojo, kuris atliks klausimyno pildymą, vardas ir pavardė; Klausimyno užpildymo terminas – data, iki kurios turi būti atliktas auditas; Klausimyno pateikimo naudotojui data – data, kada audito klausimynas bus pateiktas jo
užpildymui numatytam darbuotojui (jei klausimyną pildo kitas naudotojas); Informacinis išteklius* – audituojamo informacinio ištekliaus pavadinimas; Pateikiama ataskaita – įkeliamas audito ataskaitos failas. Galima įkelti tik .doc, .docx, .odt
ir .pdf tipo failus; Sugeneruota ataskaita – pagal įkeltus audito duomenis sugeneruojama audito ataskaita; Būsena – audito vykdymo būsena: „Vykdoma“, „Pateikta“, „Priimta“, "Grąžinta taisymui".
* – privalomas laukas.
ARSIS naudotojo vadovas
21/47
Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus
rodomas sukurtas auditas.
4.5 Klausimyno pildymas
Pasirinkite naujai arba anksčiau sukurtą auditą, kurio būsena yra „Vykdomas“.
Pasirinkite skiltį „Atitikties vertinimo duomenys“.
Lentelėje pateikti informaciniam ištekliui taikytinų teisės aktų pavadinimai, reikalavimų numeriai ir turinys bei tipiniai reikalavimo įgyvendinimo klausimai, kuriais vadovaujantis reikia pateikti atitikties duomenis.
Atitikties duomenis pateikite šiuose laukuose:
ARSIS naudotojo vadovas
22/47
Įvertinimas* – atitikties nurodytam reikalavimui lygio skaitinė vertė (nuo 1 iki 5); Pagrindimas – reikalavimo įvertinimo lygio pagrindimo aprašas; Pagrindimo dokumentai – reikalavimo įvertinimo lygį pagrindžiantys įrodymų failai.
Galima įkelti tik .pdf, .doc, .dox, .xls, .xlsx, .ppt, .pptx, .odt, .ods, .odp, .txt, .jpg, .jpeg, .png tipo failus.
* – privalomas laukas.
Laukelį „Pagrindimo dokumentai“ privalu užpildyti tada, kai reikalavimo įvertinimo pagrindimui būtina pateikti įrodymų.
Nebūtina užpildyti visus klausimyno laukus per vieną kartą. Nuspaudus redaguojamos
eilutės dešinėje pusėje esantį mygtuką „Išsaugoti“, įvesti duomenys bus išsaugoti ir klausimyno pildymą bus galima pratęsti vėliau.
Pagal LR vidaus reikalų ministro 2004-05-06 įsakymu Nr. 1V-156 patvirtintą
„Informacinių technologijų saugos atitikties vertinimo metodiką“, objektas vertinamas pagal penkių balų skalę, kurioje žemiausia reikšmė yra vienetas, o aukščiausia – penketas:
vienetas – nėra vertinamo objekto; dvejetas – parengtas vertinamo objekto projektas; trejetas – vertinamas objektas patvirtintas, tačiau netaikomas (nesivadovaujama
parengtomis priemonėmis ar procedūromis, vartotojai nesupažindinti su jomis, nepaskirtas atsakingas vykdytojas ir pan.);
ketvertas – vertinamas objektas taikomas, tačiau rasta nežymių trūkumų, kurie nurodomi pastabose;
penketas – vertinamas objektas taikomas.
4.6 Atsakymų importas
Klausimyną taip pat galima užpildyti Excel faile ir jį importuoti į sistemą. Paspauskite vykdomo audito klausimyno lentelės viršuje esančią nuorodą „Eksportuoti“.
Į kompiuterį bus parsisiųsdintas klausimyno Excel failas.
ARSIS naudotojo vadovas
23/47
Užpildykite šio failo stulpelius „Įvertinimas“ ir „Komentaras“ atitikties duomenimis.
Tuomet paspauskite klausimyno lentelės viršuje esančią nuorodą „Importuoti“ ir įkelkite bylą. Atitikties vertinimo duomenys bus perkelti į klausimo lentelę.
Reikėtų atminti, kad negalima importuoti įrodymų failų: juos reikia įkelti atskirai klausimų lentelėje.
4.7 Neatitiktys
Pasirinkite Atitikties vertinimo skiltį „Neatitikčių valdymas“. Sąraše bus rodomos audito neatitiktys.
ARSIS naudotojo vadovas
24/47
Neatitikčių valdymui nurodykite apsaugos priemones ir jų įgyvendinimo veiksmus:
Apsaugos priemonė* – apsaugos priemonės pavadinimas; Atsakingas – už apsaugos priemonės diegimą atsakingas darbuotojas; Diegimo pradžia – apsaugos priemonės diegimo pradžios data; Diegimo pabaiga – apsaugos priemonės diegimo pabaigos data; Biudžetas, € – apsaugos priemonės diegimui reikalingos finansinės sąnaudos eurais; Darbo val. – apsaugos priemonės diegimui reikalingos įstaigos darbuotojų darbo
sąnaudos darbo valandomis.
* – privalomas laukas.
Norėdami pakeisti neatitikties valdymo apsaugos priemonės ir jos įgyvendinimo veiksmų duomenis, nuspauskite lentelėje eilutės dešinėje redagavimo simbolį ir pakeiskite eilutės laukų reikšmes. Baigę nuspauskite eilutės dešineje simbolį „Išsaugoti“.
Apsaugos priemones priskyrimo langelyje paspaudę nuorodą „Sukurti įrašą“, galėsite sukurti naują apsaugos priemonę.
ARSIS naudotojo vadovas
25/47
4.8 Atitikties vertinimo pateikimas
Kai visi atitikties vertinimo duomenys bus įvesti, skiltyje „Auditas“ laukelyje „Būsena“ parinkite „Pateikta“ ir nuspauskite mygtuką „Išsaugoti“. Atitikties vertinimo duomenys bus išsaugoti ir būsena pakeista į „Pateikta“. Atitikties vertinimo duomenų nebus galima redaguoti.
ARSIS naudotojo vadovas
26/47
5. Rizikos valdymas
5.1 Apžvalga
Rizikos vertinimo funkcionalumas skirtas nustatyti informaciniam ištekliui kylančias rizikas, jų lygį, priimtinumą, parinkti riziką mažinančias apsaugos priemones ir nurodyti likutinę riziką.
Rizikos vertinimus gali sukurti ir pateikti tik tie išoriniai naudotojai, kurie konkrečiam informaciniam ištekliui nurodyti duomenų teikėjais.
5.2 Rizikos vertinimų būsenos
Rizikos vertinimas gali turėti šias būsenas:
Nepateikta;
Pateikta;
Priimta;
Grąžinta taisymui.
Naujai sukurto rizikos vertinimo būsena bus „Nepateikta“. Norinti pateikti rizikos
vertinimo duomenis, reikia rizikos vertinimo grupės būseną pakeisti į „Pateikta“. Po to vertinimą sukūręs naudotojas negalės keisti rizikos vertinimo duomenų, o tik peržiūrėti duomenis. Jei pateiktas rizikos vertinimas bus priimtas be pastabų, jo būsena bus pakeista į „Priimta“. O jei pastabų bus, rizikos vertinimo būsena bus pakeista į „Grąžinta taisymui“ ir rizikos vertinimo duomenis bus galima koreguoti, o rizikos vertinimą pateikti pakartotinai.
5.3 Rizikos vertinimo pateikimo būdai
Rizikos vertinimo duomenis galima pateikti vienu ir dviejų būdų:
ARSIS metodu;
Kitu metodu.
ARSIS metodas padeda naudotojams atlikti rizikos vertinimą, atliekant tarpinius rizikos nustatymo veiksmus. šiuo būdu naudotojai iš pradžių nurodo informacinio ištekliaus kritiškumą, po to grėsmių tikimybes, o sistema iš šių duomenų apskaičiuoja rizikos lygį ir rizikos priimtinumą. Naudotojui belieka įvertinti rizikos priimtiną, nepriimtinai rizikai parinkti apsaugos priemones ir nurodyti likutinę riziką.
Kitas metodas suteikia galimybę įvesti visus su rizika susijusius duomenis (rizikos pavadinimą, aprašą, lygį, priimtinumą, apsaugos priemones, likutinę riziką) iš karto. Tai gali būti aktualu, jei įstaiga naudoja savo pasirinktą rizikos vertinimo metodą ir nori tiesiog pateikti tokio rizikos vertinimo rezultatus – rizikas.
Rizikos vertinimo pateikimo būdą reikia nurodyti, kuriant naują rizikos vertinimą.
ARSIS naudotojo vadovas
27/47
5.4 Rizikos vertinimo peržiūra
Pasirinkite meniu skiltį „Rizikos > Vertinimai“. Sąraše bus rodomi informacinių išteklių valdytojo arba tvarkytojo atlikti arba vykdomi rizikos vertinimai.
Nuspaudus rizikos vertinimo pavadinimą, bus rodoma detalesnė informacija apie rizikos vertinimą. Rizikos vertinimo duomenys rodomi šiose skiltyse:
Rizikos vertinimas – bendrieji duomenys apie rizikos vertinimą; Informacinių ištekių kritiškumas – rizikos vertinimo informacinių išteklių kritiškumas (tik
pateikiant duomenis rizikos nustatymo būdu); Grėsmių tikimybės – grėsmių ir jų tikimybių duomenys (tik pateikiant duomenis rizikos
nustatymo būdu); Rizikos – rizikų sąrašas; Rizikos valdymo planai – nepriimtinų rizikų valdymui skirtų apsaugos priemonių diegimo
duomenys.
5.5 Rizikos vertinimo sukūrimas
Norėdami įvesti naują rizikos vertinimą, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.
Kiekvieną rizikos vertinimą aprašo šie laukai:
Pavadinimas* – rizikos vertinimo pavadinimas; Data ir laikas* – rizikos vertinimo sukūrimo data ir laikas; Teikiančioji organizacija* – rizikos vertinimą teikianti organizacija (užpildoma
automatiškai); Atsakingas* – rizikos vertinimą teikiančio naudotojo vardas ir pavardė (užpildoma
automatiškai); Pateikiama ataskaita – įkeliamas rizikos vertinimo ataskaitos failas. Galima įkelti tik .doc,
.docx, .odt ir .pdf tipo failus; Sugeneruota ataskaita – pagal įkeltus rizikos vertinimo duomenis sugeneruojama rizikos
vertinimo ataskaita;
ARSIS naudotojo vadovas
28/47
Rizikos vertinimo apžvalga – įvestų rizikos vertinimo duomenų ataskaita; Pateikimo būdas* – nurodomas vertinimo būdas: ARSIS metodu arba Kitu metodu; Informacinis išteklius* – informacinio ištekliaus (arba išteklių), kuriems atliekamas rizikos
vertinimas, pavadinimas; Būsena – rizikos vertinimo pateikimo būsena: „Nepateikta“, „Pateikta“, „Priimta“ arba
„Grąžinta taisymui“.
* – privalomas laukas.
Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus rodomas sukurtas rizikos vertinimas.
ARSIS naudotojo vadovas
29/47
5.6 Rizikos vertinimas – ARSIS metodu
Sąraše paspauskite pasirinkto nepateikto rizikos vertinimo pavadinimą. Įsitikinkite, kad skilties „Rizikos vertinimas“ laukelyje „Pateikimo būdas“ nurodyta „ARSIS metodas“.
Informacinių išteklių kritiškumas
Pasirinkite skiltį „Informacinių išteklių kritiškumas“.
Bus rodomas rizikos vertinimui parinktų informacinių išteklių sąrašas kartu su jų kritiškumu pagal konfidencialumą, vientisumą ir pasiekiamumą. Kiekvienas kritiškumo parametras gali turėti vertes nuo 1 iki 5:
1 – labai mažas; 2 – mažas;
ARSIS naudotojo vadovas
30/47
3 – vidutinis; 4 – didelis; 5 – labai didelis.
Toliau pateiktoje lentelėje nurodyti informacinių išteklių kritiškumo nustatymo – priskyrimo konkrečiam kritiškumo lygiui – kriterijai.
ARSIS naudotojo vadovas
31/47
Kritišku-
mas
Valdymo ir veiklos
sutrikdymas
Asmenų
saugumas
Gamta ir
aplinkos
saugumas
Finansiniai
nuostoliai Viešoji tvarka
Tarptautiniai
santykiai
Padariniai
valstybei ir
institucijoms
Labai
mažas(1)
Veikla nebus
sutrikdyta
Netaikoma Netaikoma Nuostolių nebus Netaikoma Netaikoma Padarinių
valstybei ir
institucijoms
nebus
Mažas (2) Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių atskirų
institucijos padalinių
veiklai
Netaikoma Netaikoma Gali kilti grėsmė
įvykti procesams,
kurie vienai
institucijai gali
sukelti finansinius
nuostolius, ne
didesnius nei 290
eurų
Netaikoma Netaikoma Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
kitų neigiamų
padarinių
institucijai atskirų
institucijos
padalinių veiklai
Vidutinis
(3)
Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių institucijos
veiklai
Netaikoma Netaikoma Gali kilti grėsmė
įvykti procesams,
kurie vienai
institucijai gali
sukelti finansinius
nuostolius, ne
didesnius nei 0,3
mln. eurų
Gali kilti grėsmė
įvykti
procesams,
kurie gali
padaryti žalą
vieno ar kelių
fizinių ar
juridinių
asmenų
teisėtiems
interesams,
taip pat ir
Netaikoma Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
kitų neigiamų
padarinių
institucijai
ARSIS naudotojo vadovas
32/47
Kritišku-
mas
Valdymo ir veiklos
sutrikdymas
Asmenų
saugumas
Gamta ir
aplinkos
saugumas
Finansiniai
nuostoliai Viešoji tvarka
Tarptautiniai
santykiai
Padariniai
valstybei ir
institucijoms
asmens
duomenų
apsaugai
Didelis (4) Gali kilti grėsmė įvykti
procesams, kurie gali
sutrikdyti kelių
institucijų veiklą ar
viešųjų paslaugų
teikimą daugiau kaip
vienai dienai
Gali kilti grėsmė
įvykti
procesams,
kurie gali turėti
neigiamų
padarinių
Lietuvos
Respublikos
teritorijos
gyventojų
sveikatos
apsaugai
Gali kilti grėsmė
įvykti
procesams,
kurie gali sukelti
pavojų gamtos
ir aplinkos
saugumui
Gali kilti grėsmė
įvykti procesams,
kelioms
institucijoms gali
sukelti finansinius
nuostolius,
didesnius nei 0,3
mln. eurų, bet ne
didesnius nei 1,5
mln. eurų
Gali kilti grėsmė
įvykti
procesams,
kurie gali
sukelti pavojų
viešajai tvarkai
ir gyventojų
saugumui
Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
kelių institucijų
tarptautinių sutarčių
ir įsipareigojimų
pažeidimą, kurio
pasekmių
pašalinimas sukeltų
didesnius nei 0,3
mln. eurų, bet ne
didesnius nei 1,5
mln. eurų,
nuostolius
Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
kitų sunkių
padarinių kelioms
institucijoms ar jų
reguliavimo sričiai
priskirtai ūkio
šakai
ARSIS naudotojo vadovas
33/47
Kritišku-
mas
Valdymo ir veiklos
sutrikdymas
Asmenų
saugumas
Gamta ir
aplinkos
saugumas
Finansiniai
nuostoliai Viešoji tvarka
Tarptautiniai
santykiai
Padariniai
valstybei ir
institucijoms
Labai
didelis (5)
Gali kilti grėsmė įvykti
procesams, kurie gali
turėti sunkių
padarinių Lietuvos
ūkiui – sukelti žymų,
daugiau kaip 5
procentų, metinio
nacionalinio produkto
sumažėjimą ar kitus
sunkius padarinius
Gali kilti grėsmė
įvykti
procesams, nuo
kurių tiesiogiai
priklauso
Lietuvos
Respublikos
teritorijos
gyventojų
sveikata ir
gyvybė
Gali kilti grėsmė
įvykti
procesams, nuo
kurių tiesiogiai
priklauso
neigiami
padariniai
gamtai ir
aplinkos
saugumui
Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
didesnius kaip 1,5
mln. eurų
finansinius
nuostolius
valstybei
Gali kilti grėsmė
įvykti
procesams,
kurie gali turėti
neigiamų
padarinių
viešajai tvarkai
ir gyventojų
saugumui
Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
valstybės
tarptautinių sutarčių
ir įsipareigojimų
pažeidimą, kurio
pasekmių
pašalinimas sukeltų
didesnius kaip 1,5
mln. eurų nuostolius
Gali kilti grėsmė
įvykti procesams,
kurie gali sukelti
kitų sunkių
padarinių
valstybei ar jos
gyventojams
ARSIS naudotojo vadovas
34/47
Pradinis kiekvieno ištekliaus kritiškumas bus nustatomas automatiškai pagal ištekliaus tipą. Jei norite pakeisti ištekliaus kritiškumą, nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.
Grėsmių tikimybės
Pasirinkite skiltį „Grėsmių tikimybės“.
Bus rodomas grėsmių sąrašas, kurių kiekvieną aprašo šie laukai:
Grėsmė – grėsmės pavadinimas; Informaciniai ištekliai – rizikos vertinimui parinkti informaciniai ištekliai; Tikimybė – grėsmės tikimybės lygis (nuo 1 iki 5); Klausimai – grėsmės tikimybę padedantys nustatyti klausimai; Pažeidžiamumai – grėsmę įtakojančių pažeidžiamumų aprašas.
Grėsmės tikimybės vertės gali būti šios:
Labai žemas (1) – rečiau nei vieną kartą per 3 metus; Žemas (2) – ne dažniau nei vieną kartą per 3 metus; Vidutinis (3) – vieną kartą per metus; Aukštas (4) – kelis kartus per metus; Labai aukštas (5) – vieną kartą per mėnesį ir dažniau;
Numatytoji grėsmės tikimybės vertė yra „1“.
Norėdami pakeisti grėsmės tikimybę ir aprašyti pažeidžiamumus nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.
Rizikos
Pasirinkite skiltį „Rizikos“.
ARSIS naudotojo vadovas
35/47
Bus rodomas rizikų sąrašas, kurių kiekvieną aprašo šie laukai:
Pavadinimas* – rizikos pavadinimas; Klasifikatorius* – rizikos pavadinimas iš rizikos klasifikatoriaus; Lygis* – apskaičiuotos rizikos lygis (nuo 1 iki 5); Priimtinumas – rizikos priimtinumo vertės „Priimtina“ arba „Nepriimtina“; Apsaugos priemonė – nepriimtinai rizikai parinkta apsaugos priemonė; Likut. rizika – likutinės rizikos, įdiegus apsaugos priemonę, vertė; Informaciniai ištekliai* – informacinių išteklių, kuriems taikoma rizika, pavadinimai.
* – privalomas laukas.
Rizikos lygis ir rizikos priimtinumas bus nustatyti automatiškai pagal įvestus informacinių išteklių kritiškumo ir grėsmių tikimybių duomenis.
Rizikos lygio vertės gali būti šios:
1 – labai maža; 2 – maža ; 3 – vidutinė; 4 – didelė; 5 – labai didelė.
Apsaugos priemones priskyrimo langelyje paspaudę nuorodą „Sukurti įrašą“, galėsite sukurti naują apsaugos priemonę.
ARSIS naudotojo vadovas
36/47
Pasirinkite skiltį „Rizikos valdymo planai“.
Bus rodomos nepriimtinų rizikų valdymui skirtos apsaugos priemonės, kurių kiekvieną aprašo šie laukai:
Apsaugos priemonė* – apsaugos priemonės pavadinimas; Atsakingas – už apsaugos priemonės diegimą atsakingas darbuotojas; Diegimo pradžia – apsaugos priemonės diegimo pradžios data; Diegimo pabaiga – apsaugos priemonės diegimo pabaigos data; Biudžetas, € – apsaugos priemonės diegimui reikalingos finansinės sąnaudos eurais; Darbo val. – apsaugos priemonės diegimui reikalingos įstaigos darbuotojų darbo
sąnaudos darbo valandomis.
* – privalomas laukas.
Norėdami pakeisti nepriimtinos rizikos valdymo apsaugos priemonės duomenis, nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.
5.7 Rizikos vertinimas – kitu metodu (rezultatų įvedimas)
Sąraše paspauskite pasirinkto nepateikto rizikos vertinimo pavadinimą. Įsitikinkite, kad skilties „Rizikos vertinimas“ laukelyje „Pateikimo būdas“ nurodyta „Kitas metodas“.
Pastaba. Pateikiant rizikas rezultatų įvedimo būdu, skiltys „Informacinių išteklių kritiškumas“ ir „Grėsmių tikimybės“ nenaudojamos.
Rizikų įvedimas
Pasirinkite skiltį „Rizikos“. Norėdami įvesti naują riziką, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.
Kiekvieną riziką aprašo šie laukai:
Pavadinimas* – rizikos pavadinimas; Aprašymas – rizikos aprašymas;
ARSIS naudotojo vadovas
37/47
Klasifikatorius* – rizikos pavadinimas iš rizikos klasifikatoriaus; Lygis* – apskaičiuotos rizikos lygis (nuo 1 iki 5); Priimtinumas – rizikos priimtinumo vertės „Priimtina“ arba „Nepriimtina“; Apsaugos priemonė – nepriimtinai rizikai parinkta apsaugos priemonė; Likut. rizika – likutinės rizikos, įdiegus apsaugos priemonę, vertė; Informaciniai ištekliai* – informacinių išteklių, kuriems taikoma rizika, pavadinimai.
* – privalomas laukas.
Rizikos lygio vertės gali būti šios:
1 – labai maža; 2 – maža ; 3 – vidutinė; 4 – didelė; 5 – labai didelė.
Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus rodoma sukurta rizika.
ARSIS naudotojo vadovas
38/47
Rizikų importas
Rizikas taip pat galima užpildyti Excel faile ir jį importuoti į sistemą. Paspauskite lentelės viršuje esančią nuorodą „Eksportuoti“. Į kompiuterį bus parsisiųsdintas klausimyno Excel failas. Užpildykite šio failo stulpelius ir įrašykite failo pakeitimus. Tuomet paspauskite lentelės viršuje esančią nuorodą „Importuoti“ ir įkelkite bylą. Rizikų duomenys bus perkelti į lentelę.
Rizikos valdymo planai
Pasirinkite skiltį „Rizikos valdymo planai“.
ARSIS naudotojo vadovas
39/47
Bus rodomos nepriimtinų rizikų valdymui skirtos apsaugos priemonės, kurių kiekvieną aprašo šie laukai:
Apsaugos priemonė* – apsaugos priemonės pavadinimas; Atsakingas – už apsaugos priemonės diegimą atsakingas darbuotojas; Diegimo pradžia – apsaugos priemonės diegimo pradžios data; Diegimo pabaiga – apsaugos priemonės diegimo pabaigos data; Biudžetas, € – apsaugos priemonės diegimui reikalingos finansinės sąnaudos eurais; Darbo val. – apsaugos priemonės diegimui reikalingos įstaigos darbuotojų darbo
sąnaudos darbo valandomis.
* – privalomas laukas.
Norėdami pakeisti nepriimtinos rizikos valdymo apsaugos priemonės duomenis, nuspauskite įrašo gale esantį redagavimo mygtuką.
Baigę nuspauskite įrašymo mygtuką.
ARSIS naudotojo vadovas
40/47
5.8 Rizikos vertinimo pateikimas
Kai visi rizikos vertinimo duomenys bus įvesti, skiltyje „Rizikos vertinimas“ laukelyje „Būsena“ parinkite „Pateikta“ ir nuspauskite mygtuką „Išsaugoti“. Rizikos vertinimo duomenys bus išsaugoti ir būsena pakeista į „Pateikta“. Rizikos vertinimo duomenų nebus galima redaguoti.
ARSIS naudotojo vadovas
41/47
6. Apsaugos priemonių valdymas
6.1 Apsaugos priemonės
Apsaugos priemonių valdymo skiltyje pateikiami duomenys apie apsaugos priemones, skirtas valdyti nepriimtinoms rizikos arba pašalinti neatitiktis teisės aktų reikalavimams.
Pasirinkite meniu skiltį „Apsaugos priemonės > Apsaugos priemonės“.
Sąraše bus pateikiamas apsaugos priemonių sąrašas.
Kiekvieną apsaugos priemonę aprašo šie laukai:
Pavadinimas* – apsaugos priemonės pavadinimas; Aprašas – trumpas apsaugos priemonės savybių aprašas; ISO 27002 klasifikatorius* – sąsaja su LST ISO/IEC 27002 standarte nurodytomis valdymo
priemonėmis; SANS klasifikatorius – sąsaja su SANS kritinėmis saugumo valdymo priemonėmis;
* – privalomas laukas.
ARSIS naudotojo vadovas
42/47
6.2 ISO 27002 klasifikatorius
ISO 27002 klasifikatoriuje pateiktos tipinės apsaugos (valdymo) priemonės, aprašytos LST ISO/IEC 27002:2014 standarte ir LST ISO/IEC 27001:2013 standarto priede A.
Pasirinkite meniu skiltį „Apsaugos priemonės > ISO 27002 klasifikatorius“.
Sąraše bus pateikiamas apsaugos priemonių sąrašas.
Kiekvieną klasifikatoriaus apsaugos priemonę aprašo šie laukai:
Pavadinimas* – apsaugos priemonės pavadinimas; Aprašas – apsaugos priemonės aprašas iš LST ISO/IEC 27002:2014 standarto (šis laukas
rodomas tik tiems naudotojams, kurie yra įsigiję LST ISO/IEC 27002:2014 standartą);
ARSIS naudotojo vadovas
43/47
Įgyvendinimo rekomendacijos – apsaugos priemonės įgyvendinimo rekomendacijos iš LST ISO/IEC 27002:2014 standarto (šis laukas rodomas tik tiems naudotojams, kurie yra įsigiję LST ISO/IEC 27002:2014 standartą);
Mažinama rizika – mažinama rizika iš rizikos klasifikatoriaus; Darbo sąnaudos – apsaugos priemonės įdiegimo darbo sąnaudos: iki 1 dienos, iki 1
savaitės, iki 1 mėnesio, 1-3 mėnesiai, virš 3 mėnesių; Darbo sąnaudų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų darbo
sąnaudų aprašas; Įdiegimo investicijos – apsaugos priemonės įdiegimui reikalingos investicijos: iki 3.000 €,
3.001 – 58.000 €, 58.001 – 80.000 €, 80.001 – 145.000 €, 145.000 – 750.000 €, 750.000 – 1.000.000 €, virš 1.000.000 €;
Investicijų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų investicijų aprašas.
* – privalomas laukas.
6.3 SANS klasifikatorius
SANS instituto sudarytas kritinių apsaugos priemonių sąrašas sudarytas iš 20 apsaugos priemonių. Daugiau informacijos apie šias priemones pateikta SANS instituto interneto tinklalapyje https://www.sans.org/critical-security-controls .
Pasirinkite meniu skiltį „Apsaugos priemonės > SANS klasifikatorius“.
ARSIS naudotojo vadovas
44/47
Sąraše bus pateikiamas apsaugos priemonių sąrašas.
Kiekvieną projektą aprašo šie laukai:
Pavadinimas* – apsaugos priemonės pavadinimas; Pavadinimas angliškai – apsaugos priemonės pavadinimas anglų kalba; Aprašas – apsaugos priemonės aprašas; Mažinama rizika* – mažinama rizika iš rizikos klasifikatoriaus; Darbo sąnaudos – apsaugos priemonės įdiegimo darbo sąnaudos: iki 1 dienos, iki 1
savaitės, iki 1 mėnesio, 1-3 mėnesiai, virš 3 mėnesių; Darbo sąnaudų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų darbo
sąnaudų aprašas; Įdiegimo investicijos – apsaugos priemonės įdiegimui reikalingos investicijos: iki 3.000 €,
3.001 – 58.000 €, 58.001 – 80.000 €, 80.001 – 145.000 €, 145.000 – 750.000 €, 750.000 – 1.000.000 €, virš 1.000.000 €;
Investicijų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų investicijų aprašas;
Nuoroda – nuoroda į kritinės apsaugos priemonės aprašą SANS instituto tinklalapyje.
ARSIS naudotojo vadovas
46/47
7. Informacijos saugumo įvykių valdymas
Informacijos saugumo valdymo skiltyje pateikiami duomenys apie saugumo įvykius, automatiškai pateiktus informacinių išteklių valdymo sistemų arba įvestus rankiniu būdu.
Pasirinkite meniu skiltį „Įvykiai“.
Sąraše bus pateikiamas saugumo įvykių sąrašas.
Kiekvieną saugumo įvykį aprašo šie laukai:
Data ir laikas* – saugumo įvykio data ir laikas; Pavadinimas* – saugumo įvykio pavadinimas; Aprašas – trumpas saugumo įvykio aplinkybių aprašas; Rizikos veiksnys* – rizikos klasifikatoriaus rizikos veiksnys, kuris įtakojo saugumo įvykį; Informacinis išteklius* – informacinis išteklius (arba ištekliai), kuriame įvyko saugumo
įvykis; Teikėjas* – jei įvykis buvo pateikiamas automatiniu būdu, šiame lauke nurodoma įvykį
pateikusi sistema. Jei įvykis įvestas rankiniu būdu, nurodoma įvykį įvedusio naudotojo vardas ir pavardė.
* – privalomas laukas.