vCISO — Virtualus kibernetinio saugumo vadovas
Pagal KSI 15 str. kiekvienas KSI subjektas privalo turėti kibernetinio saugumo vadovą. vCISO leidžia įvykdyti šį reikalavimą su nepriklausomu sertifikuotu specialistu — be pilno etato kaštų.
KSI 15 str. — privalomas kibernetinio saugumo vadovas
Pagal KSI 15 str. 1 d.: kiekvienas KSI subjektas privalo paskirti kibernetinio saugumo vadovą, tiesiogiai atskaitingą organizacijos vadovui.
KSI 15 str. 2 d.: taip pat privaloma paskirti saugos įgaliotinį kiekvienai tinklų ir informacinei sistemai.
KSI 15 str. 4 d. — leidžiamas outsourcingas:
„Kibernetinio saugumo subjektui leidžiama iš tiekėjo įsigyti paslaugas, kurias teikiant būtų atliekamos kibernetinio saugumo vadovo ir (ar) saugos įgaliotinio funkcijas."
vCISO veiklos sritys:
- KSI atitikties užtikrinimas ir NKSC komunikacija
- Rizikų registro sudarymas ir priežiūra
- KS politikų parengimas ir pasirašymas
- Incidentų valdymo koordinavimas (KSI 18 str.)
- IT tiekėjų tiekimo grandinės priežiūra
- Auditų koordinavimas ir dokumentų rinkinys (13 dok.)
Dažna ir brangi klaida: IT tiekėjas = KS vadovas
„Mūsų IT priežiūros įmonė sakė, kad jie gali būti ir CISO" — tai interesų konfliktas, kurį NKSC fiksuoja auditų metu.
| Problema | Paaiškinimas |
|---|---|
| Tiekimo grandinės savikontrolė | KS vadovas pagal KSI 14 str. 5 d. 5 p. privalo prižiūrėti IT tiekėjus. Jei IT tiekėjas = KS vadovas — jis prižiūri pats save. |
| NKSC auditas tai užfiksuos | Pirmasis klausimas audito metu: „Kas yra KS vadovas ir kokie jo ryšiai su IT tiekėjais?" |
| Baudos rizika | Esminiams subjektams — iki 10 mln. EUR arba 2 % apyvartos (KSI 30 str. 2 d.). |
Ko reikia KS vadovui — tikrinimo sąrašas (KSI 15 str. 5 d.)
Nepriekaištinga reputacija — atitinka Valstybės tarnybos įstatymo reikalavimus (be teistumų, administracinių nuobaudų KS/BDAR srityje per pastaruosius metus)
≥ 2 metų patirtis IT, kibernetinio saugumo arba tinklų srityje ARBA aukštojo mokslo diplomas ARBA pripažintas tarptautinis sertifikatas
Nepriklausomumas — nėra verslo ryšių su organizacijos IT infrastruktūros tiekėjais
Atskaitingumas — tiesiogiai atskaitingas organizacijos vadovui, ne IT skyriui
Pripažinti tarptautiniai sertifikatai KS vadovui
| Sertifikatas | Išdavėjas | Lygmuo |
|---|---|---|
| CISSP | ISC2 | Aukštas — pilnas KS vadovo profilis |
| CISM | ISACA | Aukštas — valdymo orientacija |
| CISA | ISACA | Vidutinis — audito orientacija |
| CRISC / CGEIT | ISACA | Vidutinis — rizikų valdymas |
| CompTIA CASP+ (SecurityX) | CompTIA | Vidutinis — techninė kompetencija |
| ISO/IEC 27001 Lead Implementer | Akredituota įstaiga | Vidutinis — ISMS diegimas |
| EC-Council CCISO | EC-Council | Aukštas — vykdomojo lygio KS |
Atsakomybių pasiskirstymas — kas ką daro (KSI)
Dažna klaida: viskas suverčiama ant IT tiekėjo pečių. KSI aiškiai atskiria keturis vaidmenis.
| Objektas | Pagrindinės funkcijos | Reikalavimai |
|---|---|---|
| KS vadovas (vCISO) | KSI atitikties užtikrinimas; rizikų registras; KS politikos; incidentų koordinavimas; NKSC komunikacija; IT tiekėjų priežiūra | ≥ 2 m. patirtis arba sertifikatas; nepriklausomas nuo IT tiekėjo; (KSI 15 str.) |
| Saugos įgaliotinis | Konkrečios IS techninė atitiktis; prieigos teisės; logų saugojimas; incidentų registravimas | IT žinios; gali būti vidinis darbuotojas |
| IT skyrius / IT tiekėjas | Infrastruktūros priežiūra; MFA, backup, patch; monitoringas | Negali eiti KS vadovo pareigų — interesų konfliktas |
| KS auditorius | KSI atitikties vertinimas; audito ataskaita NKSC; šalinimo plano rekomendacijos | Sertifikatas (CISSP/CISM/CISA/ISO27001 LA); negali audituoti to, ką diegė |
KSG vCISO paslauga — kas įeina?
1 Onboarding (vienkartinis — 1 800 €)
- KSIS registracija ir profilio pildymas
- Esamų dokumentų surinkimas ir GAP analizė
- IT infrastruktūros ir sistemų peržiūra
- KSI GAP analizė ir veiksmų planas
- Rizikų registro sukūrimas
- Tiekimo grandinės inventorizacija ir vertinimas
- Dokumentų rinkinys (13 dok.) arba esamų adaptacija
2 Nuolatinė veikla (mėnesinė — 15 €/KDV)
- Dokumentų priežiūra ir atnaujinimas
- IT tiekėjų stebėsena (tiekimo grandinės saugumas)
- Mėnesinių SOC ataskaitų peržiūra ir komentavimas
- Reaktyvus konsultavimas incidentų atvejais
- NKSC komunikacija ir pranešimai
- NKSC reikalavimų pokyčių sekimas
Kodėl KSG vCISO — o ne vidinis darbuotojas?
| Kriterijus | Vidinis darbuotojas | KSG vCISO |
|---|---|---|
| Sertifikacija | Dažnai nėra | CISSP / ISO27001 LA lygis |
| Nepriklausomumas | Gali turėti vidinių interesų | Visiškai nepriklausomas |
| Kaina | Pilnas etatas (~2 500–4 000 €/mėn.) | Nuo 500 €/mėn. |
| Patirtis | Vienos org. patirtis | Keliolika KSI subjektų |
| Prieinamumas | Atostogos / liga | Garantuota paslauga |
vCISO kainodara
Dažnai užduodami klausimai
Kas yra vCISO?
vCISO (virtualus CISO) — kibernetinio saugumo vadovas kaip paslauga pagal KSI 15 str. 4 d. Prisiima KS vadovo ir saugos įgaliotinio funkcijas: atitiktis, rizikų valdymas, politika, NKSC komunikacija.
Ar IT tiekėjas gali būti KS vadovas?
Tai sukuria interesų konfliktą: KS vadovas privalo prižiūrėti IT tiekėjus (KSI 14 str. 5 d. 5 p.). Jei IT tiekėjas = KS vadovas — jis prižiūri pats save. NKSC tai fiksuoja auditų metu.
Kokia yra vCISO kaina?
KSG: 1 800 € onboarding + 15 €/KDV/mėn. (min. 500 €/mėn.). 50 KDV organizacijai — 750 €/mėn. kartu su visomis KSI 15 str. funkcijomis.
Kuo skiriasi vCISO ir SOC?
vCISO — strategija, politika, rizikų valdymas, NKSC. SOC — 24/7 stebėsena ir incidentų reagavimas. Efektyviausias modelis: derinys.
Ar vCISO padeda NIS2 / KSI atitikčiai?
Taip — vCISO yra pagrindinis KSI atitikties mechanizmas: paskirtas KSI 15 str. vadovas, dokumentai, rizikų registras, NKSC komunikacija.
Kiek laiko trunka vCISO onboarding?
Tipiškai 4–8 savaitės: GAP analizė, dokumentai, rizikų registras, KSIS profilis. Tikslus terminas priklauso nuo organizacijos dydžio.