Kibernetinio saugumo įstatymo 14 straipsnio 5 dalyje nustatyti pagrindiniai kibernetinio saugumo elementai, kurių atžvilgių organizacija turi turėti suformavusi aiškią politiką ir jos pagrindu veikiančius procesus. Vienas iš šių elementų – kibernetinio saugumo rizikos analizės politika.
Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ detalizuoti reikalavimai rizikos vertinimo ir valdymo procesui. Dar daugiau informacijos, kaip vertinti rizikas, pateikta NKSC parengtame Kasmetinių rizikų vertinimo leidinyje.
Organizacija į Kibernetinio saugumo informacinę sistemą (KSIS) turi pateikti rizikos vertinimo ataskaitos ir rizikos valdymo plano patvirtinimo duomenis, nurodydamas patvirtinimo datą ir registracijos numerį bei rizikos vertinimo metu nustatytus apibendrintus rezultatus: identifikuotas grėsmes, jų tikimybę ir poveikį veiklai, rizikos lygius ir valdymo priemones. Šie dokumentai turi būti saugomi ne mažiau kaip 3 metus ir pateikti NKSC, atliekant kibernetinio saugumo subjekto patikrinimą.
Neeilinis organizacijos rizikos vertinimas gali būti atliekamas, kai įvyksta esminiai pokyčiai, darantys įtaką organizacijos veiklai ir kibernetiniam saugumui, pvz.:
- inicijuojama nauja arba iš esmės keičiama organizacijos veikla ir (ar) pagrindiniai veiklos procesai (teikiamos paslaugos);
- sukuriama nauja tinklų ir informacinė sistema arba iš esmės modernizuojama jau veikianti;
- atliekami esminiai tinklų ir informacinės sistemos programinės ir (ar) aparatinės įrangos pakeitimai;
- įvyksta didelis kibernetinis incidentas;
- pasikeičia tinklų ir informacinių sistemų priežiūros ir vystymo paslaugų tiekėjai, kurie organizacijai teikia kritines paslaugas.
Trečiosios šalys, teikiančios organizacijai pasaugas, be kitų sutartimis nustatytų įpareigojimų, turėtų ne rečiau kaip kartą per metus arba įvykus esminiams trečiosios šalies organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui atlikti tinklų ir informacinių sistemų kibernetinio saugumo rizikos vertinimą, parengti ir organizacijos atsakingiems darbuotojams pateikti rizikos vertinimo ataskaitą ir rizikų valdymo planą. Organizacijoje, kokio dydžio ji bebūtų, turi būti darbuotojas (kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis), kuris turėtų išmanyti kibernetinio saugumo klausimus, formuoti organizacijos saugumo kryptį, rengti ir (ar) peržiūrėti kibernetinio saugumo politikos dokumentus, dalyvauti įvairiuose procesuose (rizikų vertinimo, pranešimų apie incidentus, pirkimų reikalavimų formavime ir pan.). Siūloma, kad būtent šis darbuotojas peržiūrėtų trečiųjų šalių pateiktą dokumentaciją ir teiktų tvirtinimui organizacijos vadovui.
