Kibernetinio saugumo auditas elektrinėms (>100 kW)

Nepriklausomas elektros gamybos ir (ar) energijos kaupimo įrenginių valdymo sistemų kibernetinio saugumo auditas, skirtas įvertinti esamą saugumo būklę ir pasirengimą atitikti LR Elektros energetikos įstatymo 73³ straipsnio reikalavimus. Audito metu pateikiamos rekomendacijos ir veiksmų planas, reikalingas atitikčiai.

Auditas skirtas saulės, vėjo ir kitų elektrinių bei energijos kaupimo sistemų valdytojams, kurių įrenginių įrengtoji galia viršija 100 kW.

Audito tikslas – objektyviai įvertinti, ar įdiegtos techninės ir organizacinės priemonės veiksmingai apsaugo nuo neteisėto nuotolinio valdymo, atitinka nustatytus standartus ir leidžia užtikrinti veiklos tęstinumą.

Audito metu vertinama ir analizuojama:

Tinklo architektūra ir segmentacija

Prieigos kontrolės ir autentifikavimo mechanizmai

Nuotolinės prieigos valdymas

Ryšių apsauga

Ugniasienių ir kitų saugumo sprendimų konfigūracijos

Fizinė prieiga

Atsakomybių paskirstymas

Tiekimo grandinės rizikos

Periodinių saugumo auditų vykdymas

Audito metu idenfiikuojami:

neatitikimai, saugumo spragos ir rizikos, galinčios turėti įtakos saugiam ir patikimam infrastruktūros veikimui.

Rezultatas:

pateikiama struktūruota ataskaita su aiškiai prioritetizuotomis rekomendacijomis, padedančiomis užtikrinti atitiktį taikomiems teisės aktų reikalavimams ir pasirengti perdavimo sistemos operatoriaus ar kitų priežiūros institucijų patikrinimams. Ši ataskaita tinkama pateikti ESO / LITGRID sistemose.

PROCESAS:

1. Apimties ir reikalavimų nustatymas

Suderinama audito apimtis, vertinimo kriterijai ir planas pagal teisės aktų reikalavimus bei kliento infrastruktūrą. Identifikuojami taikytini techniniai ir organizaciniai reikalavimai, atsakomybės bei vertinimo ribos.

2. Duomenų surinkimas ir analizė

Atliekama dokumentacijos, tinklo architektūros, sistemų konfigūracijų ir taikomų saugumo priemonių analizė. Taip pat vertinami vidiniai procesai, atsakomybių paskirstymas, prieigos valdymo praktikos ir tiekimo grandinės aspektai.

3. Techninis ir organizacinis vertinimas

Vertinamos valdymo sistemos, tinklo infrastruktūra, prieigos kontrolė, nuotolinės prieigos valdymas bei saugumo priemonių įgyvendinimas. Papildomai analizuojami organizaciniai procesai – kibernetinio saugumo valdymas, auditų vykdymas, incidentų valdymas ir atitikties užtikrinimas.

4. Ataskaita ir rekomendacijos

Pateikiama išsami ataskaita su identifikuotais neatitikimais, rizikomis bei prioritetizuotomis rekomendacijomis. Taip pat pateikiamos gairės procesų tobulinimui ir pasirengimui atitikties deklaravimui bei galimiems patikrinimams.

#greita

#paprasta

#saugu

Auditas vykdomas derinant dokumentacijos analizę, techninį vertinimą ir praktinius patikrinimus. Atsižvelgiant į infrastruktūros pobūdį ir vertinimo apimtį, atliekami vizitai į objekto vietą fizinės infrastruktūros bei kritinių komponentų įvertinimui. Visi darbai planuojami ir vykdomi iš anksto suderintais laiko langais, užtikrinant efektyvų, kontroliuojamą ir sklandų audito procesą.

Vertinimas atliekamas laikantis saugumo principų ir suderintų testavimo scenarijų, užtikrinant minimalų poveikį veikiančioms sistemoms. Visi veiksmai derinami iš anksto bei užtikrinama jautrių sistemų tikrinimo kontrolė.

Audito procesas yra struktūruotas ir aiškiai apibrėžtas, reikalaujantis minimalaus kliento įsitraukimo. Visa reikalinga informacija bei prieigos suderinamos iš anksto, o vertinimas vykdomas etapais, užtikrinant sklandų, kontroliuojamą ir efektyvų procesą.

Dažniausiai užduodami klausimai (D.U.K.)

Nuo 2025 m. gegužės 1 d. įsigaliojo Lietuvos Respublikos energetikos įstatymo pakeitimai. Pagal šiuos pakeitimus elektros energijos gamybos ir (ar) energijos kaupimo įrenginiams taikomas 73³ str, kuriuo remiantis esant daugiau nei 100 kW įrengtai galiai, atsiranda pareiga atitikti keliamus saugumo reikalavimus ir pateikti saugumo atitikties deklraciją bei kiberinetinio saugumo audito ataskaitą.

Kibernetinio saugumo auditą turi atlikti nepriklausomas auditorius, audito įmonės ar kita institucija, nesusijusi su įrenginio projektavimu ar priežiūra, kuri atitinka NKSC kibernetinio saugumo audito atlikimo metodikoje nustatytus nepriklausumumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus ir turi bent vieną iš šių auditorių seritifikatų: CompTIA CASP+, ISC2 CGRC, ISC2 ISSMP, ISC2 CISSP, GIAC GSNA, GIAC GSLC, ISACA CISA, ISACA CISM, ISACA CRISC, ISACA CGEIT, EC CCISO arba ISO 27001. Kartu su saugumo deklaracija turi būti pateikti dokumentai, įrodantys, kad kibernetinio saugumo auditą atliko šiuos reikalavimus atitinkantis asmuo ar institucija.

Kibernetinio saugumo auditorius negali būti ta pati įmonė, kuri teikia kibernetinio saugumo sprendimus.

Taip, deklaraciją ir audito ataskaitą reikia pateikti.

Kvalifikuoto auditoriaus parengtas dokumentas įvertinantis kibernetinio saugumo rizikas ir keliamų reikalavimų įgyvendinimo faktą.

Šiuo metu reikia kartoti kas 12 mėn.

Kibernetinio saugumo auditas elektrinėms (>100 kW)

Audito metu vertinama ir analizuojama:

Tinklo architektūra ir segmentacija

Prieigos kontrolės ir autentifikavimo mechanizmai

Nuotolinės prieigos valdymas

Ryšių apsauga

Ugniasienių ir kitų saugumo sprendimų konfigūracijos

Fizinė prieiga

Atsakomybių paskirstymas

Tiekimo grandinės rizikos

Periodinių saugumo auditų vykdymas

Audito metu idenfiikuojami:

neatitikimai, saugumo spragos ir rizikos, galinčios turėti įtakos saugiam ir patikimam infrastruktūros veikimui.

Rezultatas:

PROCESAS:

1.

Apimties ir reikalavimų nustatymas

Suderinama audito apimtis, vertinimo kriterijai ir planas pagal teisės aktų reikalavimus bei kliento infrastruktūrą. Identifikuojami taikytini techniniai ir organizaciniai reikalavimai, atsakomybės bei vertinimo ribos.

2.

Duomenų surinkimas ir analizė

Atliekama dokumentacijos, tinklo architektūros, sistemų konfigūracijų ir taikomų saugumo priemonių analizė. Taip pat vertinami vidiniai procesai, atsakomybių paskirstymas, prieigos valdymo praktikos ir tiekimo grandinės aspektai.

3.

Techninis ir organizacinis vertinimas

Vertinamos valdymo sistemos, tinklo infrastruktūra, prieigos kontrolė, nuotolinės prieigos valdymas bei saugumo priemonių įgyvendinimas. Papildomai analizuojami organizaciniai procesai – kibernetinio saugumo valdymas, auditų vykdymas, incidentų valdymas ir atitikties užtikrinimas.

4.

Ataskaita ir rekomendacijos

Pateikiama išsami ataskaita su identifikuotais neatitikimais, rizikomis bei prioritetizuotomis rekomendacijomis. Taip pat pateikiamos gairės procesų tobulinimui ir pasirengimui atitikties deklaravimui bei galimiems patikrinimams.

#greita

#paprasta

#saugu

Vertinimas atliekamas laikantis saugumo principų ir suderintų testavimo scenarijų, užtikrinant minimalų poveikį veikiančioms sistemoms. Visi veiksmai derinami iš anksto bei užtikrinama jautrių sistemų tikrinimo kontrolė.

Audito procesas yra struktūruotas ir aiškiai apibrėžtas, reikalaujantis minimalaus kliento įsitraukimo. Visa reikalinga informacija bei prieigos suderinamos iš anksto, o vertinimas vykdomas etapais, užtikrinant sklandų, kontroliuojamą ir efektyvų procesą.

Dažniausiai užduodami klausimai (D.U.K.)

Kas yra saugumo atitikties deklaracija ir nuo kada ji įsigaliojo?

Kas gali atlikti kibernetinio saugumo auditas elektrinėms (>100 kW) auditą?

Jei elektrinė neturi valdymo prieigos internetu, ar turiu teikti auditą / deklaraciją?

Ar atsijungęs elektrinę nuo tinklo turiu teikti auditą / deklaraciją?

Kas yra audito ataskaita?

Kada auditą reikia kartoti?

Gaukite pasiūlymą

Džiugu, kad domitės mūsų pasiūlymais. Palikite užklausą ir su jumis susisieksime per 1 d.d.

Paslaugos

Informacija

Džiugu, kad domitės mūsų
pasiūlymais. Palikite užklausą ir
su jumis susisieksime per 1 d.d.