SEA Saulės elektrinių auditas
Rinkos diferenciacija

Kas gali atlikti kibernetinio saugumo auditą

Ne kiekvienas IT rangovas gali teisėtai ir priimtinai atlikti auditą jūsų objektui.

Pagrindinis principas – nepriklausomumas

Auditą turi atlikti nepriklausomas auditorius, audito įmonė ar kita institucija, nesusiję su įrenginio projektavimu ar priežiūra. Tai yra viena svarbiausių vietų, kur rinkoje dažniausiai kyla painiava — rangovas ir auditorius negali būti tas pats subjektas to paties objekto atveju.

  • Nesusijęs su projektavimu, įrengimu ar priežiūra
  • Atitinka nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus
  • Turi pripažintus profesionalius informacinių sistemų saugumo sertifikatus

Profesionalūs sertifikatai

Plačiausiai pripažįstami informacinių sistemų saugumo atitikties auditoriaus sertifikatai:

ISO/IEC 27001 Lead Auditor ISACA CISA ISACA CISM ISACA CRISC ISC2 CISSP ISC2 CGRC ISC2 ISSMP CompTIA CASP+ GIAC GSNA GIAC GSLC EC-Council CCISO

Kas negali atlikti audito

Praktiškai tai reiškia labai paprastą dalyką: tas pats subjektas negali ir projektuoti ar prižiūrėti konkretaus objekto, ir tuo pačiu būti jo nepriklausomu auditoriumi. Rangovams tai nėra kliūtis – tai tiesiog priežastis turėti patikimą partnerį nepriklausomam auditui.

Ką tai reiškia klientui

Klientui tai reiškia vertinimą, kuriuo galima pasitikėti: aiškiai atskirtą nuo projektavimo ir priežiūros, atliekamą pagal nepriklausomumo principą ir su suprantama atsakomybių riba.

Edukacinė dalis

Kas yra kibernetinio saugumo auditas

Kibernetinio saugumo auditas — tai nepriklausomas valdymo sistemos patikrinimas. Auditorius pažiūri, kaip jūsų elektrinė apsaugota nuo kibernetinių grėsmių, ir parengia ataskaitą, kuri tampa saugumo deklaracijos dalimi.

Audito metu vertinama:

  • Tinklo struktūra — kaip įrenginiai sujungti, kur yra interneto sąsaja, ar valdymo dalis atskirta nuo kitų sistemų
  • Prieigos kontrolė — kas turi galimybę prisijungti, kokie slaptažodžiai naudojami, kaip suteikiamos ir atimamos teisės
  • Apsaugos priemonės — ugniasienė, srauto stebėjimas, antivirusinė apsauga
  • Žurnaliniai įrašai — ką sistema fiksuoja, kiek ilgai saugoma, kas peržiūri
  • Dokumentacija — ar parengtos reikalingos politikos, atsakingo asmens paskyrimas, prieigų sąrašas
  • Fizinis saugumas — patalpų ir spintų rakinimas, raktų apskaita

Patikrinimo apimtį nustato VERT 2026-04-30 nutarimas Nr. O3-470 ir gerosios kibernetinio saugumo praktikos.

Patikimumas

Kuo audito ataskaita yra patikima

Audito ataskaita yra naudinga tik tada, kai ja galima pasitikėti. Tam reikia kelių sąlygų:

Nepriklausomumas

Auditą atlieka ne tas pats asmuo, kuris projektavo ar prižiūri sistemą. Kitaip auditas tampa savęs vertinimu — o tai jau ne auditas.

Aiški eiga

Klientas iš anksto žino, kokie etapai bus, ką reikia paruošti, kiek laiko užtruks. Jokių staigmenų vidury kelio.

Faktais paremta

Kiekvienas teiginys ataskaitoje paremtas konkrečiu įrodymu — dokumentu, ekrano kopija, foto ar pokalbio užrašu. Be įrodymo nėra išvados.

Konfidencialumas

Informacija, kurią auditorius sužino, lieka tarp jūsų ir audito vykdytojo. Trečiosioms šalims perduodama tik su raštišku sutikimu.

Praktiniai patarimai

Kaip pasiruošti auditui

Kuo geriau pasiruošta — tuo sklandžiau eina auditas. Naudinga turėti:

  • Tinklo schemą — bendrą vaizdą: kokie inverteriai, kur stovi valdymo įranga, kaip vyksta ryšys su ESO, ar yra interneto sąsaja
  • Įrangos sąrašą — gamintojai, modeliai, programinės įrangos versijos. Galima naudoti tiekėjo pateiktą perdavimo dokumentą.
  • Atsakingų asmenų sąrašą — kas atsakingas už kibernetinį saugumą jūsų pusėje, kas atlieka techninę priežiūrą, kas turės bendrauti su auditoriumi
  • Vidines tvarkas, jei jos jau parengtos — atnaujinimų politika, prieigos suteikimo procesas, incidentų reagavimo planas

Jei kažko trūksta — tai dažna situacija. Vienas iš audito tikslų ir yra nustatyti, ko reikia parengti iki deklaracijos pateikimo.

Oficialūs šaltiniai

ESO DUK: kas gali atlikti kibernetinio saugumo auditą ESO informacija verslui apie auditorių reikalavimus

Turite projektą ir reikia nepriklausomo partnerio?

Tai ypač aktualu rangovams ir vystytojams. Aptarkime modelį, kaip klientą perduoti sklandžiai ir išlaikyti aiškias atsakomybes.

Partnerystės puslapis
Susiję puslapiai

Audito puslapis

Peržiūrėkite, kada auditas aktualus ir ką jis apima praktiškai.

Atidaryti puslapį

Paslaugų modelis

Kaip atskiriame auditą nuo konsultacijų ir įgyvendinimo pagalbos.

Atidaryti puslapį

Partnerystė rangovams

Sprendimas tais atvejais, kai to paties objekto negalite audituoti patys.

Atidaryti puslapį