arsis naudotojo vadovas - nksc.lt · arsis naudotojo vadovas 8/47 1.6 duomenų filtravimas...

Vilnius 2015

ARSIS naudotojo vadovas


2/47

Turinys

0. Įvadas 3

1. Bendrosios žinios 4

2. Informaciniai ištekliai 9

3. Reikalavimai 12

4. Atitikties valdymas 19

5. Rizikos valdymas 26

6. Apsaugos priemonių valdymas 41

7. Informacijos saugumo įvykių valdymas 46


3/47

0. Įvadas

Šiame dokumente yra aprašytos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos (toliau – ARSIS), naudotojo veiklų funkcionalumas, apimantis šias sritis:

Informacinių išteklių valdymas

Reikalavimų valdymas

Auditų valdymas

Rizikos valdymas

Apsaugos priemonių valdymas

Informacijos saugumo įvykių valdymas

Jei nenurodyta kitaip, naudotojo vadove nurodytas veiklas galima atlikti, prisijungus prie

sistemos naudotojo prisijungimo vardu, kuriam suteikta rolė „Išorinis naudotojas“.


4/47

1. Bendrosios žinios

1.1 Prisijungimas prie sistemos

Interneto naršyklės adresų laukelyje įveskite adresą https://arsis.nksc.lt. Jei esate registruotas ARSIS naudotojas, prie sistemos galite prisijungti per elektroninius

valdžios vartus.

Prisijungus bus rodomas pradinis sistemos langas, kurio viršutiniame dešiniajame kampe

rodomas naudotojo vardas ir pavardė.

1.2 Išsiregistravimas iš sistemos

Išsiregistruokite iš sistemos, nuspaudę mygtuką „Atsijungti“ viršutiniame dešiniame tinklalapio kampe.

https://arsis.nksc.lt/


5/47

1.3 Naudotojo nustatymai

Sistemos lango viršutiniame dešiniajame kampe nuspauskite ant naudotojo vardo ir pavardės. Bus rodomi naudotojo nustatymai: vardas, pavardė, elektroninio pašto adresas, pareigos, telefonas, vietovė. Ši informacija rodoma tik tiems naudotojams, kuriems suteikta teisė patiems keisti nurodytus duomenis.


6/47

1.4 Slaptažodžio keitimas

Slaptažodį pasikeisti gali tik tie naudotojai, kuriems suteikta teisė jungtis prie ARSIS sistemos panaudojant naudotojo vardą ir slaptažodį.

Norėdami pasikeisti slaptažodį, sistemos lango viršutiniame dešiniajame kampe

nuspauskite ant naudotojo vardo ir pavardės. Puslapio apačioje esančioje skiltyje „Slaptažodžio keitimas“ įveskite naują slaptažodį, jį pakartokite ir nuspauskite mygtuką „Išsaugoti“.

Atminkite, kad naujas slaptažodis turi atitikti šiuos reikalavimus:

slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;


7/47

slaptažodis turi būti sudarytas iš raidžių, skaitmenų, specialiųjų simbolių;

negalima sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius.

1.5 Duomenų eksportavimas į failus

Sistema suteikia galimybę eksportuoti lentelių duomenis į failus. Galimybę eksportuoti konkrečios lentelės duomenis nustato sistemos administratorius.

Meniu pasirinkite norimą informacijos saugumo valdymo sritį (pvz., „Ištekliai > Išteklių sąrašas“). Viršutiniame dešiniajame kampe šalia užrašo „Eksportuoti“ pasirinkite norimą eksporto formatą: Excel, Word arba PDF. Leistinus formatus nustato sistemos administratorius.

Failas bus atsiųstas į naršyklę ir jūs galėsite jį atsidaryti norima peržiūros programa.


8/47

1.6 Duomenų filtravimas

Sistemoje sąrašuose rodomus įrašus galima filtruoti pagal norimą pasirinkto laukelio vertę.

Norimo sąrašo viršutinėje dešinėje pusėje nuspauskite nuorodą „Filtras“.

Bus išskleisti visi galimi sąrašo įrašų laukeliai. Nurodykite vieno arba kelių laukelių vertes

ir filtro lango apačioje nuspauskite mygtuką „Filtruoti“. Bus rodomi filtro parametrus atitinkantys įrašai, o šalia nuorodos „Filtras“ bus rodomas aktyvių filtro laukelių kiekis.

Filtrą taip pat galima išsaugoti, jei norima tuos pačius filtro parametrus naudoti ir kitą kartą. Užpildykite norimus laukelius ir filtro lango apačioje nuspauskite nuorodą „Išsaugoti“. ši jūsų parinktis bus išsaugoma išsiregistravus ir vėl prisiregistravus prie sistemos.

Norėdami išvalyti filtro laukelius, filtro lango apačioje nuspauskite nuorodą „Išvalyti“.

1.7 Duomenų skirstymas puslapiais

Didesni įrašų sąrašai skirstomi puslapiais. Viename puslapyje rodoma iki 25 įrašų. Jei įrašų sąraše yra daugiau, į kitą puslapį galima patekti sąrašo apačioje nuspaudus puslapio numerį. Piktograma „<<“ reiškią pirmąjį sąrašo puslapį, „>>“ – paskutinįjį, „<“ – vienu puslapiu atgal ir „>“ – vienu puslapių į priekį.

1.8 Automatinis išregistravimas

Sistema automatiškai išregistruos naudotoją, jei per 15 minučių nebus atlikta jokių veiksmų sistemoje.


9/47

1.9 Reikalavimai naršyklei dirbant su ARSIS

Dirbant su ARSIS, naršyklė turi atitikti tokius techninius reikalavimus:

ARSIS svetainės lankytojams rekomenduojama naudotis tokiomis interneto naršyklėmis ir ne senesnėmis, nei nurodyta, jų versijomis:

o IE: 11. o Firefox: 43.0.4. o Chrome: 48.0.2564.82.

IE 11 naršyklėje ARSIS.NKSC.LT arba NKSC.LT adresai neturi būti įtraukti į suderinamumo su senesnėmis IE naršyklėmis (compatibility view) sąrašą. Šį sąrašą galima peržiūrėti naršyklės „Tools > Compatibilitiy View Settings“ lange.

2. Informaciniai ištekliai

Informacinių išteklių valdymo skiltyje pateikiami iš Registrų ir informacinių sistemų registro (toliau – RISR) gauti duomenys, papildyti informacijos saugos valdymui svarbiais duomenimis.

Pasirinkite meniu skiltį „Ištekliai > Išteklių sąrašas“. Bus rodomas naudotojo organizacijos valdomų arba tvarkomų informacinių išteklių sąrašas.

Kiekvieną informacinį išteklių aprašo šie laukai:

Pavadinimas* – informacinio ištekliaus pavadinimas; Saugos įgaliotinis – informacinio ištekliaus saugos įgaliotinis; Įregistravimo data – informacinio ištekliaus įregistravimo RISR data; Objekto tipas – objekto tipas; Valdytojas – informacinio ištekliaus valdytojas (-ai); Tvarkytojas – informacinio ištekliaus tvarkytojas (-ai); Duomenų valdymo įgaliotinis – duomenų valdymo įgaliotinio (-ių) pareigos, vardas ir

pavardė; Nuoroda – nuoroda į informacinio ištekliaus kortelę RISR interneto

svetainėje www.registrai.lt;

http://www.registrai.lt/


10/47

Duomenys iš RISR – požymis, ar duomenys buvo gauti iš RISR. Jei pažymėta, laukeliai „Pavadinimas“, „Įregistravimo data“, „Objekto tipas“, „Valdytojas“, „Tvarkytojas“, „Duomenų valdymo įgaliotinis“ ir „Nuoroda“ užpildomi duomenimis iš RISR ir duomenų teikėjas negalės jų keisti;

Duomenų teikėjas – naudotojo, įgalioto teikti duomenis į ARSIS, vardas ir pavardė; Kategorija – informacinio ištekliaus kategorija; Asmens duomenų saugumo lygis – asmens duomenų saugumo lygis; Rūšis – informacinio ištekliaus rūšis pagal Valstybės informacinių išteklių valdymo

įstatymą): pagrindinis valstybės registras, valstybės informacinė sistema, valstybės registras, vidaus administravimo sistema, žinybinis registras;

Tipas – informaciniame ištekliuje apdorojamos elektroninės informacijos tipas: ypatingos svarbos, svarbus, žinybinės svarbos, kita;

Elektroninės informacijos svarba – informaciniame ištekliuje apdorojamos elektroninės informacijos svarba: ypatingos svarbos, svarbi, žinybinės svarbos, kita;

Hierarchinė sąsaja – šiame laukelyje galima nurodyti kitą informacinį išteklių, kuriam priklauso ar su kuriuo siejamas konkretus informacinis išteklius;

Komentaras – papildomi duomenys apie informacinį išteklių; Susiję projektai – rodomi su informaciniu ištekliu susiję projektai; Susiję įvykiai – rodomi su informaciniu ištekliu susiję įvykiai.

* – privalomas laukas.

Laukelius „Saugos įgaliotinis“, „Kategorija“, „Asmens duomenų saugumo lygis“, „Rūšis“, „Tipas“, „Elektroninės informacijos svarba“, „Hierarchinė sąsaja“ ir „Komentaras“ gali pildyti tik vidiniai naudotojai.


11/47


12/47

3. Reikalavimai

3.1 Teisės aktai

Į teisės aktų skiltį įkelti informacijos saugumo valdymą reglamentuojantys teisės aktai: įstatymai, LRV nutarimai, įstaigų vadovų įsakymai, standartai ir kita.

Pasirinkite meniu skiltį „Reikalavimai > Teisės aktai“. Bus rodomas teisės aktų sąrašas.

Kiekvieną teisės aktą aprašo šie laukai:

Pavadinimas* – teisės akto pavadinimas; Teisės akto rūšis – įstatymas, nutarimas, įsakymas arba standartas; Priėmusios institucijos pavadinimas – teisės aktą priėmusios institucijos pavadinimas; Priėmimo data – teisės akto priėmimo data; Numeris – teisės akto numeris; Oficialaus paskelbimo šaltinis – teisės akto oficialaus paskelbimo šaltinis; Įsigaliojimo data – teisės akto įsigaliojimo data; Galiojanti suvestinė redakcija – galiojančios suvestinės redakcijos buvimo požymis: yra,

nėra; Nuoroda į teisės aktą – nuoroda į teisės aktą internete, pvz., Teisės aktų registre (TAR); Galiojimas – teisės akto galiojimo požymis: galioja, negalioja.


13/47

3.2 Reikalavimų sąrašas

Į reikalavimų skiltį įkelti informacijos saugumą reglamentuojančių teisės aktų reikalavimai. Kiekvienam reikalavimui skirtas atskiras įrašas, kuriame pateikiamas reikalavimo tekstas ir daugiau su reikalavimu susijusių duomenų.

Pasirinkite meniu skiltį „Reikalavimai > Reikalavimų sąrašas“. Bus rodomas pagal teisės aktus sugrupuotas reikalavimų sąrašas.


14/47

Kiekvieną reikalavimą aprašo šie laukai:

Nr.* – reikalavimo numeris;

Numerį sudaro taškais atskirti skaičiai, pvz.: 1.5. Pirmame segmente gali būti raidė "A", pvz.: A.7.6. Pirmame segmente šalia skaičiaus arba raidės gali būti skaičius skliaustuose, pvz.: 1(8).5.1.

Reikalavimas* – reikalavimo turinys; Aprašas – detalesnis reikalavimo aprašas; Įgyvendinimo rekomendacijos – reikalavimo įgyvendinimo rekomendacijos; Teisės aktas* – reikalavimo teisės akto pavadinimas; Galiojimas – reikalavimo galiojimo požymis: galioja, negalioja; Teisės akto rūšis* – įstatymas, nutarimas, įsakymas arba standartas; Privalomumas – požymis, ar reikalavimas yra privalomas: privalomas, neprivalomas; Reikalavimo sritis – elektroninės informacijos sauga (kibernetinis saugumas), elektroninės

informacijos sauga, kibernetinis saugumas, asmens duomenų apsauga; Taikoma ištekliaus rūšiai – ištekliaus rūšis, kuriai taikomas reikalavimas: pagrindinis

valstybės registras, valstybės registras, valstybės informacinė sistema, vidaus administravimo sistema, žinybinis registras;

Taikoma saugos kategorijai – informacinio ištekliaus kategorija, kuriai taikomas reikalavimas: 1, 2, 3, 4;

Taikoma informacinio ištekliaus tipui – informacinio ištekliaus tipas, kuriam taikomas reikalavimas: ypatingos svarbos, žinybinės svarbos, svarbus, kitas;

Taikoma tvarkomos elektroninės informacijos svarbai – informaciniame ištekliuje tvarkomos informacijos svarba, kuriai taikomas reikalavimas: ypatingos svarbos, žinybinės svarbos, svarbus, kitas;

Taikoma tvarkomų asmens duomenims saugumo lygiui – informaciniame ištekliuje tvarkomų asmens duomenų saugumo lygis, kuriam taikomas reikalavimas: 1, 2, 3;

Įgyvendinimo būdas – priemonės, kuriomis gali būti įgyvendinamas reikalavimas: organizacinės-teisinės priemonės, techninės-programinės;

Taikytina apsaugos priemonė (ISO 27002) – reikalavimo užtikrinimui taikytina apsaugos priemonė iš ISO 27002 klasifikatoriaus;


15/47

Taikytina apsaugos priemonė (SANS) – reikalavimo užtikrinimui taikytina apsaugos priemonė iš SANS klasifikatoriaus;

Reikalavimo neįgyvendimo keliama rizika – dėl reikalavimo neįgyvendinimo kylanti rizika iš rizikos veiksnių klasifikatoriaus;

Tipiniai reikalavimo įgyvendinimo klausimai – audito klausimynui skirti klausimai, kuriais siekiama įsitikinti, ar reikalavimas tinkamai įgyvendintas;

Komentaras – papildoma informacija apie reikalavimą; Nuoroda – nuoroda į reikalavimo įgyvendinimo tinklalapį Būtina įvertinti atitiktį – požymis, ar įtraukti reikalavimą į audito klausimyną. Jei

pažymėta, reikalavimas bus įtrauktas į audito klausimyną ir jam reikės pateikti įrodymus. Jei ne – reikalavimas gali būti įtrauktas į audito klausimyną tik rodymui (žr. lauko „Rodyti klausimyne“ aprašą);

Rodyti klausimyne – požymis, ar rodyti reikalavimą audito klausimyne. Būtina pagrįsti pridedant dokumentą – požymis, ar audito klausimyne prie reikalavimo

būtina pridėti dokumentą Sąsajos su auditais ir rizika – rodomi su reikalavimu susiję auditai ir rizikos

Netaikytina informaciniams ištekliams – nurodomi informaciniai ištekliai, kuriems dėl objektyvių priežasčių reikalavimas netaikomas.



16/47


17/47

3.3 Sąvokos

Sąvokų skiltyje pateiktos teisės aktuose naudojamos sąvokos. Pasirinkite meniu skiltį „Reikalavimai > Sąvokos“. Bus rodomas teisės aktų sąvokų

sąrašas.


18/47

Kiekvieną sąvoką aprašo šie laukai:

Sąvoka* – sąvokos pavadinimas; Raktinis žodis – sąvokos raktinis žodis, pagal kurį galima rūšiuoti ir filtruoti sąvokas; Aprašas – teisės akte pateiktas sąvokos aprašas; Teisės aktas* – sąvokos teisės akto pavadinimas.


3.4 COBIT brandos lygiai

Šioje skiltyje pateikiami COBIT procesų brandos lygiai, kurie gali būti naudojami atitikties vertinimo klausimynuose.

Pasirinkite meniu skiltį „Reikalavimai > COBIT brandos lygiai“. Bus rodomas COBIT brandos lygių sąrašas.

Kiekvieną COBIT brandos lygį aprašo šie laukai:

Brandos lygis – Brandos lygio reikšmė;

Aprašas – COBIT brandos lygio aprašymas.


19/47

4. Atitikties valdymas

4.1 Apžvalga

Auditų (arba atitikties vertinimo) funkcionalumas skirtas nustatyti konkretaus informacinio ištekliaus atitiktį jam taikytinų teisės aktų reikalavimams.

Auditus gali sukurti ir pateikti tik tie naudotojai, kurie konkrečiam informaciniam ištekliui nurodyti duomenų teikėjais.

4.2 Auditų būsenos

Auditas gali turėti šias būsenas:

Vykdoma;

Pateikta;

Priimta;

Grąžinta taisymui.

Naujai sukurto audito būsena bus „Vykdoma“. Norinti pateikti audito duomenis, reikia audito būseną pakeisti į „Pateikta“. Po to jį sukūręs naudotojas negalės keisti audito duomenų, o tik peržiūrėti duomenis. Jei pateiktas atitikties vertinimas bus priimtas be pastabų, jo būsena bus pakeista į „Priimta“. O jei pastabų bus, audito būsena bus pakeista į „Grąžinta taisymui“ ir audito duomenis bus galima koreguoti, o auditą pateikti pakartotinai.

4.3 Auditų peržiūra

Pasirinkite meniu skiltį „Atitikties vertinimas > Atitikties vertinimas“. Sąraše bus rodomi informacinių išteklių valdytojo arba tvarkytojo atlikti arba vykdomi auditai.

Nuspaudus audito pavadinimą, bus rodoma detalesnė informacija apie auditą, reikalavimai ir atitikties vertinimo duomenys.

Atitikties vertinimo duomenys rodomi šiose skiltyse:


20/47

Auditas – bendrieji audito duomenys; Atitikties vertinimo duomenys – atitikties teisės aktų reikalavimams įvertinimas; Neatitkčių valdymas – neatitikčių teisės aktų reikalavimams valdymo planas.

4.4 Audito sukūrimas

Norėdami įvesti naują auditą, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.

Kiekvieną auditą aprašo šie laukai:

Audito pavadinimas* – audito pavadinimas; Data ir laikas* – audito sukūrimo data ir laikas (užpildoma automatiškai); Teikiančioji organizacija* – atitikties vertinimą teikianti organizacija (užpildoma

automatiškai); Audito tipas – „Vidinis“, jei auditą atlieka informacinio ištekliaus valdytojo arba tvarkytojo

darbuotojai, arba „Nepriklausomas“, jei auditą atlieka trečioji šalis; Atsakingas* – išorinio naudotojo, kuris atliks klausimyno pildymą, vardas ir pavardė; Klausimyno užpildymo terminas – data, iki kurios turi būti atliktas auditas; Klausimyno pateikimo naudotojui data – data, kada audito klausimynas bus pateiktas jo

užpildymui numatytam darbuotojui (jei klausimyną pildo kitas naudotojas); Informacinis išteklius* – audituojamo informacinio ištekliaus pavadinimas; Pateikiama ataskaita – įkeliamas audito ataskaitos failas. Galima įkelti tik .doc, .docx, .odt

ir .pdf tipo failus; Sugeneruota ataskaita – pagal įkeltus audito duomenis sugeneruojama audito ataskaita; Būsena – audito vykdymo būsena: „Vykdoma“, „Pateikta“, „Priimta“, "Grąžinta taisymui".



21/47

Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus

rodomas sukurtas auditas.

4.5 Klausimyno pildymas

Pasirinkite naujai arba anksčiau sukurtą auditą, kurio būsena yra „Vykdomas“.

Pasirinkite skiltį „Atitikties vertinimo duomenys“.

Lentelėje pateikti informaciniam ištekliui taikytinų teisės aktų pavadinimai, reikalavimų numeriai ir turinys bei tipiniai reikalavimo įgyvendinimo klausimai, kuriais vadovaujantis reikia pateikti atitikties duomenis.

Atitikties duomenis pateikite šiuose laukuose:


22/47

Įvertinimas* – atitikties nurodytam reikalavimui lygio skaitinė vertė (nuo 1 iki 5); Pagrindimas – reikalavimo įvertinimo lygio pagrindimo aprašas; Pagrindimo dokumentai – reikalavimo įvertinimo lygį pagrindžiantys įrodymų failai.

Galima įkelti tik .pdf, .doc, .dox, .xls, .xlsx, .ppt, .pptx, .odt, .ods, .odp, .txt, .jpg, .jpeg, .png tipo failus.


Laukelį „Pagrindimo dokumentai“ privalu užpildyti tada, kai reikalavimo įvertinimo pagrindimui būtina pateikti įrodymų.

Nebūtina užpildyti visus klausimyno laukus per vieną kartą. Nuspaudus redaguojamos

eilutės dešinėje pusėje esantį mygtuką „Išsaugoti“, įvesti duomenys bus išsaugoti ir klausimyno pildymą bus galima pratęsti vėliau.

Pagal LR vidaus reikalų ministro 2004-05-06 įsakymu Nr. 1V-156 patvirtintą

„Informacinių technologijų saugos atitikties vertinimo metodiką“, objektas vertinamas pagal penkių balų skalę, kurioje žemiausia reikšmė yra vienetas, o aukščiausia – penketas:

vienetas – nėra vertinamo objekto; dvejetas – parengtas vertinamo objekto projektas; trejetas – vertinamas objektas patvirtintas, tačiau netaikomas (nesivadovaujama

parengtomis priemonėmis ar procedūromis, vartotojai nesupažindinti su jomis, nepaskirtas atsakingas vykdytojas ir pan.);

ketvertas – vertinamas objektas taikomas, tačiau rasta nežymių trūkumų, kurie nurodomi pastabose;

penketas – vertinamas objektas taikomas.

4.6 Atsakymų importas

Klausimyną taip pat galima užpildyti Excel faile ir jį importuoti į sistemą. Paspauskite vykdomo audito klausimyno lentelės viršuje esančią nuorodą „Eksportuoti“.

Į kompiuterį bus parsisiųsdintas klausimyno Excel failas.


23/47

Užpildykite šio failo stulpelius „Įvertinimas“ ir „Komentaras“ atitikties duomenimis.

Tuomet paspauskite klausimyno lentelės viršuje esančią nuorodą „Importuoti“ ir įkelkite bylą. Atitikties vertinimo duomenys bus perkelti į klausimo lentelę.

Reikėtų atminti, kad negalima importuoti įrodymų failų: juos reikia įkelti atskirai klausimų lentelėje.

4.7 Neatitiktys

Pasirinkite Atitikties vertinimo skiltį „Neatitikčių valdymas“. Sąraše bus rodomos audito neatitiktys.


24/47

Neatitikčių valdymui nurodykite apsaugos priemones ir jų įgyvendinimo veiksmus:

Apsaugos priemonė* – apsaugos priemonės pavadinimas; Atsakingas – už apsaugos priemonės diegimą atsakingas darbuotojas; Diegimo pradžia – apsaugos priemonės diegimo pradžios data; Diegimo pabaiga – apsaugos priemonės diegimo pabaigos data; Biudžetas, € – apsaugos priemonės diegimui reikalingos finansinės sąnaudos eurais; Darbo val. – apsaugos priemonės diegimui reikalingos įstaigos darbuotojų darbo

sąnaudos darbo valandomis.


Norėdami pakeisti neatitikties valdymo apsaugos priemonės ir jos įgyvendinimo veiksmų duomenis, nuspauskite lentelėje eilutės dešinėje redagavimo simbolį ir pakeiskite eilutės laukų reikšmes. Baigę nuspauskite eilutės dešineje simbolį „Išsaugoti“.

Apsaugos priemones priskyrimo langelyje paspaudę nuorodą „Sukurti įrašą“, galėsite sukurti naują apsaugos priemonę.


25/47

4.8 Atitikties vertinimo pateikimas

Kai visi atitikties vertinimo duomenys bus įvesti, skiltyje „Auditas“ laukelyje „Būsena“ parinkite „Pateikta“ ir nuspauskite mygtuką „Išsaugoti“. Atitikties vertinimo duomenys bus išsaugoti ir būsena pakeista į „Pateikta“. Atitikties vertinimo duomenų nebus galima redaguoti.


26/47

5. Rizikos valdymas

5.1 Apžvalga

Rizikos vertinimo funkcionalumas skirtas nustatyti informaciniam ištekliui kylančias rizikas, jų lygį, priimtinumą, parinkti riziką mažinančias apsaugos priemones ir nurodyti likutinę riziką.

Rizikos vertinimus gali sukurti ir pateikti tik tie išoriniai naudotojai, kurie konkrečiam informaciniam ištekliui nurodyti duomenų teikėjais.

5.2 Rizikos vertinimų būsenos

Rizikos vertinimas gali turėti šias būsenas:

Nepateikta;

Pateikta;

Priimta;

Grąžinta taisymui.

Naujai sukurto rizikos vertinimo būsena bus „Nepateikta“. Norinti pateikti rizikos

vertinimo duomenis, reikia rizikos vertinimo grupės būseną pakeisti į „Pateikta“. Po to vertinimą sukūręs naudotojas negalės keisti rizikos vertinimo duomenų, o tik peržiūrėti duomenis. Jei pateiktas rizikos vertinimas bus priimtas be pastabų, jo būsena bus pakeista į „Priimta“. O jei pastabų bus, rizikos vertinimo būsena bus pakeista į „Grąžinta taisymui“ ir rizikos vertinimo duomenis bus galima koreguoti, o rizikos vertinimą pateikti pakartotinai.

5.3 Rizikos vertinimo pateikimo būdai

Rizikos vertinimo duomenis galima pateikti vienu ir dviejų būdų:

ARSIS metodu;

Kitu metodu.

ARSIS metodas padeda naudotojams atlikti rizikos vertinimą, atliekant tarpinius rizikos nustatymo veiksmus. šiuo būdu naudotojai iš pradžių nurodo informacinio ištekliaus kritiškumą, po to grėsmių tikimybes, o sistema iš šių duomenų apskaičiuoja rizikos lygį ir rizikos priimtinumą. Naudotojui belieka įvertinti rizikos priimtiną, nepriimtinai rizikai parinkti apsaugos priemones ir nurodyti likutinę riziką.

Kitas metodas suteikia galimybę įvesti visus su rizika susijusius duomenis (rizikos pavadinimą, aprašą, lygį, priimtinumą, apsaugos priemones, likutinę riziką) iš karto. Tai gali būti aktualu, jei įstaiga naudoja savo pasirinktą rizikos vertinimo metodą ir nori tiesiog pateikti tokio rizikos vertinimo rezultatus – rizikas.

Rizikos vertinimo pateikimo būdą reikia nurodyti, kuriant naują rizikos vertinimą.


27/47

5.4 Rizikos vertinimo peržiūra

Pasirinkite meniu skiltį „Rizikos > Vertinimai“. Sąraše bus rodomi informacinių išteklių valdytojo arba tvarkytojo atlikti arba vykdomi rizikos vertinimai.

Nuspaudus rizikos vertinimo pavadinimą, bus rodoma detalesnė informacija apie rizikos vertinimą. Rizikos vertinimo duomenys rodomi šiose skiltyse:

Rizikos vertinimas – bendrieji duomenys apie rizikos vertinimą; Informacinių ištekių kritiškumas – rizikos vertinimo informacinių išteklių kritiškumas (tik

pateikiant duomenis rizikos nustatymo būdu); Grėsmių tikimybės – grėsmių ir jų tikimybių duomenys (tik pateikiant duomenis rizikos

nustatymo būdu); Rizikos – rizikų sąrašas; Rizikos valdymo planai – nepriimtinų rizikų valdymui skirtų apsaugos priemonių diegimo

duomenys.

5.5 Rizikos vertinimo sukūrimas

Norėdami įvesti naują rizikos vertinimą, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.

Kiekvieną rizikos vertinimą aprašo šie laukai:

Pavadinimas* – rizikos vertinimo pavadinimas; Data ir laikas* – rizikos vertinimo sukūrimo data ir laikas; Teikiančioji organizacija* – rizikos vertinimą teikianti organizacija (užpildoma

automatiškai); Atsakingas* – rizikos vertinimą teikiančio naudotojo vardas ir pavardė (užpildoma

automatiškai); Pateikiama ataskaita – įkeliamas rizikos vertinimo ataskaitos failas. Galima įkelti tik .doc,

.docx, .odt ir .pdf tipo failus; Sugeneruota ataskaita – pagal įkeltus rizikos vertinimo duomenis sugeneruojama rizikos

vertinimo ataskaita;


28/47

Rizikos vertinimo apžvalga – įvestų rizikos vertinimo duomenų ataskaita; Pateikimo būdas* – nurodomas vertinimo būdas: ARSIS metodu arba Kitu metodu; Informacinis išteklius* – informacinio ištekliaus (arba išteklių), kuriems atliekamas rizikos

vertinimas, pavadinimas; Būsena – rizikos vertinimo pateikimo būsena: „Nepateikta“, „Pateikta“, „Priimta“ arba

„Grąžinta taisymui“.


Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus rodomas sukurtas rizikos vertinimas.


29/47

5.6 Rizikos vertinimas – ARSIS metodu

Sąraše paspauskite pasirinkto nepateikto rizikos vertinimo pavadinimą. Įsitikinkite, kad skilties „Rizikos vertinimas“ laukelyje „Pateikimo būdas“ nurodyta „ARSIS metodas“.

Informacinių išteklių kritiškumas

Pasirinkite skiltį „Informacinių išteklių kritiškumas“.

Bus rodomas rizikos vertinimui parinktų informacinių išteklių sąrašas kartu su jų kritiškumu pagal konfidencialumą, vientisumą ir pasiekiamumą. Kiekvienas kritiškumo parametras gali turėti vertes nuo 1 iki 5:

1 – labai mažas; 2 – mažas;


30/47

3 – vidutinis; 4 – didelis; 5 – labai didelis.

Toliau pateiktoje lentelėje nurodyti informacinių išteklių kritiškumo nustatymo – priskyrimo konkrečiam kritiškumo lygiui – kriterijai.


31/47

Kritišku-

mas

Valdymo ir veiklos

sutrikdymas

Asmenų

saugumas

Gamta ir

aplinkos

saugumas

Finansiniai

nuostoliai Viešoji tvarka

Tarptautiniai

santykiai

Padariniai

valstybei ir

institucijoms

Labai

mažas(1)

Veikla nebus

sutrikdyta

Netaikoma Netaikoma Nuostolių nebus Netaikoma Netaikoma Padarinių

valstybei ir

institucijoms

nebus

Mažas (2) Gali kilti grėsmė įvykti

procesams, kurie gali

turėti neigiamų

padarinių atskirų

institucijos padalinių

veiklai

Netaikoma Netaikoma Gali kilti grėsmė

įvykti procesams,

kurie vienai

institucijai gali

sukelti finansinius

nuostolius, ne

didesnius nei 290

eurų


įvykti procesams,

kurie gali sukelti

kitų neigiamų

padarinių

institucijai atskirų

institucijos

padalinių veiklai

Vidutinis

(3)

Gali kilti grėsmė įvykti


turėti neigiamų

padarinių institucijos

veiklai


įvykti procesams,

kurie vienai

institucijai gali

sukelti finansinius

nuostolius, ne

didesnius nei 0,3

mln. eurų

Gali kilti grėsmė

įvykti

procesams,

kurie gali

padaryti žalą

vieno ar kelių

fizinių ar

juridinių

asmenų

teisėtiems

interesams,

taip pat ir

Netaikoma Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

kitų neigiamų

padarinių

institucijai


32/47

Kritišku-

mas

Valdymo ir veiklos

sutrikdymas

Asmenų

saugumas

Gamta ir

aplinkos

saugumas

Finansiniai


Tarptautiniai

santykiai

Padariniai

valstybei ir

institucijoms

asmens

duomenų

apsaugai

Didelis (4) Gali kilti grėsmė įvykti


sutrikdyti kelių

institucijų veiklą ar

viešųjų paslaugų

teikimą daugiau kaip

vienai dienai

Gali kilti grėsmė

įvykti

procesams,

kurie gali turėti

neigiamų

padarinių

Lietuvos

Respublikos

teritorijos

gyventojų

sveikatos

apsaugai

Gali kilti grėsmė

įvykti

procesams,

kurie gali sukelti

pavojų gamtos

ir aplinkos

saugumui

Gali kilti grėsmė

įvykti procesams,

kelioms

institucijoms gali

sukelti finansinius

nuostolius,

didesnius nei 0,3

mln. eurų, bet ne

didesnius nei 1,5

mln. eurų

Gali kilti grėsmė

įvykti

procesams,

kurie gali

sukelti pavojų

viešajai tvarkai

ir gyventojų

saugumui

Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

kelių institucijų

tarptautinių sutarčių

ir įsipareigojimų

pažeidimą, kurio

pasekmių

pašalinimas sukeltų

didesnius nei 0,3

mln. eurų, bet ne

didesnius nei 1,5

mln. eurų,

nuostolius

Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

kitų sunkių

padarinių kelioms

institucijoms ar jų

reguliavimo sričiai

priskirtai ūkio

šakai


33/47

Kritišku-

mas

Valdymo ir veiklos

sutrikdymas

Asmenų

saugumas

Gamta ir

aplinkos

saugumas

Finansiniai


Tarptautiniai

santykiai

Padariniai

valstybei ir

institucijoms

Labai

didelis (5)

Gali kilti grėsmė įvykti


turėti sunkių

padarinių Lietuvos

ūkiui – sukelti žymų,

daugiau kaip 5

procentų, metinio

nacionalinio produkto

sumažėjimą ar kitus

sunkius padarinius

Gali kilti grėsmė

įvykti

procesams, nuo

kurių tiesiogiai

priklauso

Lietuvos

Respublikos

teritorijos

gyventojų

sveikata ir

gyvybė

Gali kilti grėsmė

įvykti

procesams, nuo

kurių tiesiogiai

priklauso

neigiami

padariniai

gamtai ir

aplinkos

saugumui

Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

didesnius kaip 1,5

mln. eurų

finansinius

nuostolius

valstybei

Gali kilti grėsmė

įvykti

procesams,

kurie gali turėti

neigiamų

padarinių

viešajai tvarkai

ir gyventojų

saugumui

Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

valstybės

tarptautinių sutarčių

ir įsipareigojimų

pažeidimą, kurio

pasekmių

pašalinimas sukeltų

didesnius kaip 1,5

mln. eurų nuostolius

Gali kilti grėsmė

įvykti procesams,

kurie gali sukelti

kitų sunkių

padarinių

valstybei ar jos

gyventojams


34/47

Pradinis kiekvieno ištekliaus kritiškumas bus nustatomas automatiškai pagal ištekliaus tipą. Jei norite pakeisti ištekliaus kritiškumą, nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.

Grėsmių tikimybės

Pasirinkite skiltį „Grėsmių tikimybės“.

Bus rodomas grėsmių sąrašas, kurių kiekvieną aprašo šie laukai:

Grėsmė – grėsmės pavadinimas; Informaciniai ištekliai – rizikos vertinimui parinkti informaciniai ištekliai; Tikimybė – grėsmės tikimybės lygis (nuo 1 iki 5); Klausimai – grėsmės tikimybę padedantys nustatyti klausimai; Pažeidžiamumai – grėsmę įtakojančių pažeidžiamumų aprašas.

Grėsmės tikimybės vertės gali būti šios:

Labai žemas (1) – rečiau nei vieną kartą per 3 metus; Žemas (2) – ne dažniau nei vieną kartą per 3 metus; Vidutinis (3) – vieną kartą per metus; Aukštas (4) – kelis kartus per metus; Labai aukštas (5) – vieną kartą per mėnesį ir dažniau;

Numatytoji grėsmės tikimybės vertė yra „1“.

Norėdami pakeisti grėsmės tikimybę ir aprašyti pažeidžiamumus nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.

Rizikos

Pasirinkite skiltį „Rizikos“.


35/47

Bus rodomas rizikų sąrašas, kurių kiekvieną aprašo šie laukai:

Pavadinimas* – rizikos pavadinimas; Klasifikatorius* – rizikos pavadinimas iš rizikos klasifikatoriaus; Lygis* – apskaičiuotos rizikos lygis (nuo 1 iki 5); Priimtinumas – rizikos priimtinumo vertės „Priimtina“ arba „Nepriimtina“; Apsaugos priemonė – nepriimtinai rizikai parinkta apsaugos priemonė; Likut. rizika – likutinės rizikos, įdiegus apsaugos priemonę, vertė; Informaciniai ištekliai* – informacinių išteklių, kuriems taikoma rizika, pavadinimai.


Rizikos lygis ir rizikos priimtinumas bus nustatyti automatiškai pagal įvestus informacinių išteklių kritiškumo ir grėsmių tikimybių duomenis.

Rizikos lygio vertės gali būti šios:

1 – labai maža; 2 – maža ; 3 – vidutinė; 4 – didelė; 5 – labai didelė.

Apsaugos priemones priskyrimo langelyje paspaudę nuorodą „Sukurti įrašą“, galėsite sukurti naują apsaugos priemonę.


36/47

Pasirinkite skiltį „Rizikos valdymo planai“.

Bus rodomos nepriimtinų rizikų valdymui skirtos apsaugos priemonės, kurių kiekvieną aprašo šie laukai:




Norėdami pakeisti nepriimtinos rizikos valdymo apsaugos priemonės duomenis, nuspauskite lentelėje ant norimo reikšmės lango ir atidarius redagavimo laukui pakeiskite reikšmę. Baigę nuspauskite mygtuką „Išsaugoti“.

5.7 Rizikos vertinimas – kitu metodu (rezultatų įvedimas)

Sąraše paspauskite pasirinkto nepateikto rizikos vertinimo pavadinimą. Įsitikinkite, kad skilties „Rizikos vertinimas“ laukelyje „Pateikimo būdas“ nurodyta „Kitas metodas“.

Pastaba. Pateikiant rizikas rezultatų įvedimo būdu, skiltys „Informacinių išteklių kritiškumas“ ir „Grėsmių tikimybės“ nenaudojamos.

Rizikų įvedimas

Pasirinkite skiltį „Rizikos“. Norėdami įvesti naują riziką, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“.

Kiekvieną riziką aprašo šie laukai:

Pavadinimas* – rizikos pavadinimas; Aprašymas – rizikos aprašymas;


37/47

Klasifikatorius* – rizikos pavadinimas iš rizikos klasifikatoriaus; Lygis* – apskaičiuotos rizikos lygis (nuo 1 iki 5); Priimtinumas – rizikos priimtinumo vertės „Priimtina“ arba „Nepriimtina“; Apsaugos priemonė – nepriimtinai rizikai parinkta apsaugos priemonė; Likut. rizika – likutinės rizikos, įdiegus apsaugos priemonę, vertė; Informaciniai ištekliai* – informacinių išteklių, kuriems taikoma rizika, pavadinimai.


Rizikos lygio vertės gali būti šios:

1 – labai maža; 2 – maža ; 3 – vidutinė; 4 – didelė; 5 – labai didelė.

Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“. Sąraše bus rodoma sukurta rizika.


38/47

Rizikų importas

Rizikas taip pat galima užpildyti Excel faile ir jį importuoti į sistemą. Paspauskite lentelės viršuje esančią nuorodą „Eksportuoti“. Į kompiuterį bus parsisiųsdintas klausimyno Excel failas. Užpildykite šio failo stulpelius ir įrašykite failo pakeitimus. Tuomet paspauskite lentelės viršuje esančią nuorodą „Importuoti“ ir įkelkite bylą. Rizikų duomenys bus perkelti į lentelę.

Rizikos valdymo planai

Pasirinkite skiltį „Rizikos valdymo planai“.


39/47

Bus rodomos nepriimtinų rizikų valdymui skirtos apsaugos priemonės, kurių kiekvieną aprašo šie laukai:




Norėdami pakeisti nepriimtinos rizikos valdymo apsaugos priemonės duomenis, nuspauskite įrašo gale esantį redagavimo mygtuką.

Baigę nuspauskite įrašymo mygtuką.


40/47

5.8 Rizikos vertinimo pateikimas

Kai visi rizikos vertinimo duomenys bus įvesti, skiltyje „Rizikos vertinimas“ laukelyje „Būsena“ parinkite „Pateikta“ ir nuspauskite mygtuką „Išsaugoti“. Rizikos vertinimo duomenys bus išsaugoti ir būsena pakeista į „Pateikta“. Rizikos vertinimo duomenų nebus galima redaguoti.


41/47

6. Apsaugos priemonių valdymas

6.1 Apsaugos priemonės

Apsaugos priemonių valdymo skiltyje pateikiami duomenys apie apsaugos priemones, skirtas valdyti nepriimtinoms rizikos arba pašalinti neatitiktis teisės aktų reikalavimams.

Pasirinkite meniu skiltį „Apsaugos priemonės > Apsaugos priemonės“.

Sąraše bus pateikiamas apsaugos priemonių sąrašas.

Kiekvieną apsaugos priemonę aprašo šie laukai:

Pavadinimas* – apsaugos priemonės pavadinimas; Aprašas – trumpas apsaugos priemonės savybių aprašas; ISO 27002 klasifikatorius* – sąsaja su LST ISO/IEC 27002 standarte nurodytomis valdymo

priemonėmis; SANS klasifikatorius – sąsaja su SANS kritinėmis saugumo valdymo priemonėmis;



42/47

6.2 ISO 27002 klasifikatorius

ISO 27002 klasifikatoriuje pateiktos tipinės apsaugos (valdymo) priemonės, aprašytos LST ISO/IEC 27002:2014 standarte ir LST ISO/IEC 27001:2013 standarto priede A.

Pasirinkite meniu skiltį „Apsaugos priemonės > ISO 27002 klasifikatorius“.


Kiekvieną klasifikatoriaus apsaugos priemonę aprašo šie laukai:

Pavadinimas* – apsaugos priemonės pavadinimas; Aprašas – apsaugos priemonės aprašas iš LST ISO/IEC 27002:2014 standarto (šis laukas

rodomas tik tiems naudotojams, kurie yra įsigiję LST ISO/IEC 27002:2014 standartą);


43/47

Įgyvendinimo rekomendacijos – apsaugos priemonės įgyvendinimo rekomendacijos iš LST ISO/IEC 27002:2014 standarto (šis laukas rodomas tik tiems naudotojams, kurie yra įsigiję LST ISO/IEC 27002:2014 standartą);

Mažinama rizika – mažinama rizika iš rizikos klasifikatoriaus; Darbo sąnaudos – apsaugos priemonės įdiegimo darbo sąnaudos: iki 1 dienos, iki 1

savaitės, iki 1 mėnesio, 1-3 mėnesiai, virš 3 mėnesių; Darbo sąnaudų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų darbo

sąnaudų aprašas; Įdiegimo investicijos – apsaugos priemonės įdiegimui reikalingos investicijos: iki 3.000 €,

3.001 – 58.000 €, 58.001 – 80.000 €, 80.001 – 145.000 €, 145.000 – 750.000 €, 750.000 – 1.000.000 €, virš 1.000.000 €;

Investicijų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų investicijų aprašas.


6.3 SANS klasifikatorius

SANS instituto sudarytas kritinių apsaugos priemonių sąrašas sudarytas iš 20 apsaugos priemonių. Daugiau informacijos apie šias priemones pateikta SANS instituto interneto tinklalapyje https://www.sans.org/critical-security-controls .

Pasirinkite meniu skiltį „Apsaugos priemonės > SANS klasifikatorius“.

https://www.sans.org/critical-security-controls


44/47


Kiekvieną projektą aprašo šie laukai:

Pavadinimas* – apsaugos priemonės pavadinimas; Pavadinimas angliškai – apsaugos priemonės pavadinimas anglų kalba; Aprašas – apsaugos priemonės aprašas; Mažinama rizika* – mažinama rizika iš rizikos klasifikatoriaus; Darbo sąnaudos – apsaugos priemonės įdiegimo darbo sąnaudos: iki 1 dienos, iki 1

savaitės, iki 1 mėnesio, 1-3 mėnesiai, virš 3 mėnesių; Darbo sąnaudų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų darbo

sąnaudų aprašas; Įdiegimo investicijos – apsaugos priemonės įdiegimui reikalingos investicijos: iki 3.000 €,

3.001 – 58.000 €, 58.001 – 80.000 €, 80.001 – 145.000 €, 145.000 – 750.000 €, 750.000 – 1.000.000 €, virš 1.000.000 €;

Investicijų aprašas – trumpas apsaugos priemonės įdiegimui reikalingų investicijų aprašas;

Nuoroda – nuoroda į kritinės apsaugos priemonės aprašą SANS instituto tinklalapyje.


45/47


46/47

7. Informacijos saugumo įvykių valdymas

Informacijos saugumo valdymo skiltyje pateikiami duomenys apie saugumo įvykius, automatiškai pateiktus informacinių išteklių valdymo sistemų arba įvestus rankiniu būdu.

Pasirinkite meniu skiltį „Įvykiai“.

Sąraše bus pateikiamas saugumo įvykių sąrašas.

Kiekvieną saugumo įvykį aprašo šie laukai:

Data ir laikas* – saugumo įvykio data ir laikas; Pavadinimas* – saugumo įvykio pavadinimas; Aprašas – trumpas saugumo įvykio aplinkybių aprašas; Rizikos veiksnys* – rizikos klasifikatoriaus rizikos veiksnys, kuris įtakojo saugumo įvykį; Informacinis išteklius* – informacinis išteklius (arba ištekliai), kuriame įvyko saugumo

įvykis; Teikėjas* – jei įvykis buvo pateikiamas automatiniu būdu, šiame lauke nurodoma įvykį

pateikusi sistema. Jei įvykis įvestas rankiniu būdu, nurodoma įvykį įvedusio naudotojo vardas ir pavardė.



47/47

Norėdami rankiniu būdu įvesti saugumo įvykį, sąrašo dešinėje viršutinėje pusėje nuspauskite „Sukurti įrašą“. Užpildykite privalomus duomenų laukus ir nuspauskite mygtuką „Išsaugoti“.

arsis naudotojo vadovas - nksc.lt · arsis naudotojo vadovas 8/47 1.6 duomenų filtravimas...

Documents