Išplėstinis rizikos vertinimas

Kad tinkamai pasišuošti suvaldyti tiesiogines ir netiesiogines grėsmes ir, kiek įmanoma, sumažinti rizika būtinas rizikų vertinimas. Rizikos vertinimo reikalauja ne tik naujasis kibernetinio saugumo įstatymas, draudimo komppanijos ir kitos institucijos, bet ir yra esminis gerosios organizacinės praktikos dalis.

Vertinamos rizikos:

Stichinės nelaimės ir aplinkos poveikis

Techninės įrangos gedimas ar sutrikdymas

Tikslinės atakos įtakojančios informacijos praradimą/nutekinimą

Kibernetinio saugumo grėsmės

Fizinės saugos ir patalpų grėsmės

Kitos grėsmės

Vertinami poveikio kriterijai:

Teisinių pasekmių kriterijus

Veiklos sutrikdymo pasekmių kriterijus

Finansinių nuostolių (tiek vienkartinis tiek metinis) kriterijaus

Poveikio reputacijai kriterijus

Vertinime nustatomi grėsmių rizikos laipsniai, bei jų priimtinumas, įvertinamos rizikos mažinimo priemonės ir nustatoma liekamoji rizika.

Kodėl svarbu atlikti išplėstinį rizikos vertinimą?

1

Rizikos suvaldymas:

Naujasis įstatymas pabrėžia rizikos valdymo svarbą. Išplėstinis rizikos vertinimas leis identifikuoti galimas grėsmes ir sritis infrastruktūroje, kurios gali lemti veiklos sutrikdymą, finansinius nuostolius ar kitas neigiamas pasekmes. Vertinimas padės priimti informuotus sprendimus dėl rizikos mažinimo priemonių ir susidėlioti prioritetus.

2

Užtikrinti atitikimą:

Rizikos vertinimas yra viena iš pagrindinių priemonių akcentuojamų naujajame kibernetinio saugumo įstatyme. Kibernetinio saugumo sybjektai įpareigojami atlikti rizikų vertinimą ne rečiau kaip kartą per metus ir prieš vykdant esminius organizacinius ar sisteminius pokyčius.