Ar galima pateikti audito ataskaitą su neatitikimais?

Ką tiksliai sako VERT 191.7

PETA 191.7 punktas (galiojanti redakcija) eksplicitiškai nurodo:

„Aptiktos saugumo spragos turi būti pašalintos iki Deklaracijos pateikimo. Nesant galimybės spragos pašalinti šiame papunktyje nurodytais terminais, arba, jei nėra galimybės jos pašalinti, privaloma taikyti, dokumentuoti ir periodiškai peržiūrėti pagalbines priemones, mažinančias spragos išnaudojimo galimybę ir išnaudojimo neigiamą poveikį."

Taigi VERT numato tik dvi galimybes: arba pašalinti spragą, arba įdiegti dokumentuotas pagalbines priemones. Jokio 12 mėn. „pažado" mechanizmo kibernetiniame saugume nėra.

Kodėl atsiranda 12 mėn. mitas — kas yra 14 priedas iš tikrųjų

VERT O3-470 14 priedas yra „Patvirtinimo apie reikalavimų, neturinčių įtakos elektros energetikos sistemos darbo saugumui, stabilumui ir patikimumui, įgyvendinimo terminą" pavyzdinė forma. Pavadinimas tiesiogiai išskiria, kad jis taikomas tik tokiems reikalavimams, kurie NETURI ĮTAKOS sistemos saugumui.

Faktinis 14 priedo turinys — du eksplicitūs check-box'ai:

• PETA 10 priedo 19 punktas (A2 tipo elektros energijos gamybos modulių reaktyviosios galios paklaida vykdant Q(U) funkciją — ±10 %)
• Bendrieji techniniai reikalavimai pagal Tarybos 2025-11-21 nutarimą Nr. O3E-1705 (generatorių prijungimas pagal ES reglamentą 2016/631)

Kibernetinio saugumo (191.x, 192.x, 193.x reikalavimai) 14 priedo formoje nepateikti ir negali būti pažymėti.

Be to, 14 priedo mechanizmas (PETA 184.9.x) reikalauja:

• Per 5 darbo dienas pateikti rašytinį patvirtinimą
• Per 10 darbo dienų pateikti banko garantiją (prievolių įvykdymo užtikrinimą pagal Įstatymo 21¹ str. 11 d. arba 48² str. 11 d.)
• Jei per 12 mėn. neatitiktys nepašalintos — Operatorius pasinaudoja banko garantija

Tai yra prijungimo etapo finansinis instrumentas, ne kibernetinio saugumo deklaravimo eiga.

Kas iš tikrųjų galima — kompensacinės priemonės (compensating controls, 191.7)

Jei spraga negali būti pašalinta (gamintojas nebeišleidžia patch'ų / naujinių, įranga jau yra EOL — eksploatacijos pabaigos, naujinys sugriautų veikimą), VERT leidžia įdiegti kompensacines priemones (angl. compensating controls), kurios sumažina riziką iki priimtino lygio. Šios priemonės turi būti:

• Dokumentuotos — su aiškia spragos identifikacija (CVE numeris arba aiškus aprašymas, CVSS pavojingumo įvertinimas), pagrindimu, kodėl pašalinti negalima, ir įdiegtų priemonių sąrašu.
• Įgyvendintos faktiškai — ne planuojamos, o veikiančios audito metu.
• Periodiškai peržiūrimos — kad atspindėtų esamą rizikos lygį.

Praktikoje kompensacinės priemonės apima vidinio tinklo atskyrimą į saugius segmentus (VLAN), papildomas ugniasienės (firewall) taisykles, ribotą prieigą tik patikimiems asmenims (whitelist), tarpinį prieigos serverį (bastion / jump host) su MFA (dvigubu autentifikavimu), papildomą stebėseną ir raktų kontrolę.

Atskiras atvejis — periodinis auditas (191.8.3)

Tarp periodinių auditų atsiradusios programinės įrangos saugumo spragos, pagal PETA 191.8.3, turi būti pašalintos „ne vėliau kaip iki kito Valdymo sistemos kibernetinio saugumo audito pradžios" — tai reiškia iki 3 metų terminą. Tačiau:

• Tai galioja tik tarp auditų, ne audito ataskaitos pateikimo metu.
• Sąsają su internetu turinčių įrenginių kritinio ir aukšto lygio spragos (CVSS ≥ 7.0) pagal 191.10 šalinamos per 5 kalendorines dienas nuo naujinio paskelbimo. Jokios 3 metų ar 12 mėn. tolerancijos.

Pasirinkimų suvestinė

Praktinė reikšmė kliento sprendimui

Tinkama strategija — neperkelti audito „į paskutinę dieną prieš deklaraciją". Auditas turėtų būti atliktas pakankamai anksti (PETA 191.7 leidžia ne anksčiau kaip prieš 6 mėnesius iki Deklaracijos), kad spragų šalinimo arba pagalbinių priemonių įdiegimo darbai būtų atlikti tvarkingai.

Jei jau turite konkrečią situaciją (pavyzdžiui, gamintojas neišleidžia naujinio arba įranga jau planuojama keisti dėl amžiaus), konsultacijos etape galima įvertinti, kuris kelias jūsų objektui tinka — pašalinimas, pagalbinės priemonės ar abu kartu.