Išplėstinis rizikos vertinimas
Kad tinkamai pasišuošti suvaldyti tiesiogines ir netiesiogines grėsmes ir, kiek įmanoma, sumažinti rizika būtinas rizikų vertinimas. Rizikos vertinimo reikalauja ne tik naujasis kibernetinio saugumo įstatymas, draudimo komppanijos ir kitos institucijos, bet ir yra esminis gerosios organizacinės praktikos dalis.
Vertinamos rizikos:
Stichinės nelaimės ir aplinkos poveikis
Techninės įrangos gedimas ar sutrikdymas
Tikslinės atakos įtakojančios informacijos praradimą/nutekinimą
Kibernetinio saugumo grėsmės
Fizinės saugos ir patalpų grėsmės
Kitos grėsmės
Vertinami poveikio kriterijai:
Teisinių pasekmių kriterijus
Veiklos sutrikdymo pasekmių kriterijus
Finansinių nuostolių (tiek vienkartinis tiek metinis) kriterijaus
Poveikio reputacijai kriterijus
Vertinime nustatomi grėsmių rizikos laipsniai, bei jų priimtinumas, įvertinamos rizikos mažinimo priemonės ir nustatoma liekamoji rizika.
Kodėl svarbu atlikti išplėstinį rizikos vertinimą?
1
Rizikos suvaldymas:
Naujasis įstatymas pabrėžia rizikos valdymo svarbą. Išplėstinis rizikos vertinimas leis identifikuoti galimas grėsmes ir sritis infrastruktūroje, kurios gali lemti veiklos sutrikdymą, finansinius nuostolius ar kitas neigiamas pasekmes. Vertinimas padės priimti informuotus sprendimus dėl rizikos mažinimo priemonių ir susidėlioti prioritetus.
2
Užtikrinti atitikimą:
Rizikos vertinimas yra viena iš pagrindinių priemonių akcentuojamų naujajame kibernetinio saugumo įstatyme. Kibernetinio saugumo sybjektai įpareigojami atlikti rizikų vertinimą ne rečiau kaip kartą per metus ir prieš vykdant esminius organizacinius ar sisteminius pokyčius.