Kiberdrošības audits — NIS2 un GDPR atbilstības novērtējums
Vai jūsu uzņēmums ir gatavs NIS2 auditam? Vai zināt, kur ir jūsu drošības vājās vietas, pirms tās atrod uzbrucējs? Kiberdrošības audits ir pirmais solis pretī reālai drošībai — ne formālai atbilstībai, bet faktiskai aizsardzībai pret kiberdraudiem.
securIT kiberdrošības audits apvieno automatizētu ievainojamību skenēšanu, manuālu penetrācijas testēšanu, politiku un procesu pārskatu un atbilstības analīzi vienā pakalpojumā. Rezultāts — detalizēts ziņojums ar konkrētiem konstatējumiem, riska matricu un prioritizētu uzlabojumu ceļakarti.
Mūsu auditori strādā ar Latvijas un Eiropas regulatīvo ietvaru — NIS2/NKDL, GDPR, ISO 27001 — un saprot vietējo biznesa vidi. Audita rezultāti ir gatavi iesniegšanai regulatoram, auditoriem un valdei.
Kādi kiberdrošības auditu veidi ir pieejami?
securIT piedāvā vairākus audita formātus, kas piemērojami jūsu uzņēmuma vajadzībām un regulatīvajām prasībām.
NIS2 atbilstības audits — pilnvērtīgs novērtējums atbilstoši NIS2 direktīvas 21. panta prasībām. Pārbaude ietver drošības politikas, incidentu apstrādes procedūras, piegādes ķēdes drošību, darbības nepārtrauktību, kriptogrāfijas izmantošanu un cilvēkresursu drošību. Rezultāts — detalizēts atbilstības ziņojums ar GAP analīzi un ceļakarti pilnai atbilstībai.
GDPR datu aizsardzības audits — koncentrēts uz personas datu apstrādes drošību. Pārbaude ietver datu plūsmu kartēšanu, piekļuves kontroles, šifrēšanas praksi, datu dzēšanas procedūras un trešo pušu apstrādātāju drošību. Piemērots uzņēmumiem, kas apstrādā lielu apjomu personas datu.
Vispārējais drošības novērtējums — plašs infrastruktūras drošības pārskats, kas ietver tīkla arhitektūru, serveru konfigurācijas, gala ierīču aizsardzību, e-pasta drošību un mākoņpakalpojumu konfigurāciju. Piemērots uzņēmumiem, kas vēlas saprast savu drošības stāvokli kopumā.
Penetrācijas tests (pentest) — simulēts kiberuzbrukums, kas pārbauda jūsu aizsardzību praksē. Var būt ārējs (no interneta puses), iekšējs (no darbinieka perspektīvas) vai kombinēts.
Ko ietver kiberdrošības audits?
Neatkarīgi no izvēlētā audita veida, securIT nodrošina šādas komponentes:
Infrastruktūras novērtējums — automatizēta un manuāla jūsu IT infrastruktūras pārbaude: serveri, tīkla iekārtas, ugunsmūri, VPN konfigurācija, DNS iestatījumi, sertifikātu derīgums. Identificējam neaizsargātas sistēmas, atvērtus portus un novecojušu programmatūru.
Ievainojamību skenēšana — profesionālu skenēšanas rīku izmantošana, lai identificētu zināmās ievainojamības (CVE) jūsu sistēmās. Katra ievainojamība tiek novērtēta pēc nopietnības (CVSS skala) un izmantojamības.
Penetrācijas testēšana — manuāla ekspluatācijas mēģinājumi, lai noskaidrotu, kuras ievainojamības ir reāli izmantojamas. Tas sniedz patiesu ainu par jūsu drošības stāvokli — ne tikai teorētisku risku sarakstu.
Politiku un procesu pārskats — jūsu drošības politiku, procedūru un dokumentācijas atbilstības pārbaude. Vai ir incidentu reaģēšanas plāns? Vai darbinieki tiek apmācīti? Vai ir piekļuves kontroles politika?
Atbilstības GAP analīze — salīdzinājums starp jūsu pašreizējo drošības stāvokli un piemērojamā regulējuma (NIS2, GDPR, ISO 27001) prasībām. Katrai nepilnībai — konkrēts ieteikums un prioritātes līmenis.
Audita rezultāti un nodevumi
securIT kiberdrošības audita rezultāts ir konkrēts un darbināms — ne formāls dokuments, ko ielikt plauktā.
Detalizēts tehniskais ziņojums — pilns konstatējumu saraksts ar katras ievainojamības aprakstu, nopietnības novērtējumu, pierādījumiem (screenshot, log fragmenti) un konkrētām remediācijas instrukcijām. Šis ziņojums ir paredzēts jūsu IT komandai.
Riska matrica — vizuāls konstatējumu novērtējums pēc divām asīm: ietekmes nopietnība un izmantošanas iespējamība. Ļauj ātri identificēt kritiski svarīgās problēmas.
Remediācijas ceļakarte — prioritizēts uzlabojumu plāns ar konkrētiem soļiem, atbildīgajām personām un laika ietvariem. Sadalīts fāzēs: tūlītēji (kritiskās ievainojamības), īstermiņa (1-3 mēneši) un vidējā termiņa (3-12 mēneši).
Vadības kopsavilkums (Executive Summary) — 2-3 lappušu dokuments netehnisku valodā, kas paredzēts uzņēmuma vadībai un valdei. Apraksta galvenos riskus, potenciālo biznesa ietekmi un nepieciešamos ieguldījumus.
Atbilstības ziņojums — ja audits veikts atbilstības kontekstā (NIS2, GDPR), atsevišķs dokuments ar GAP analīzi un atbilstības statusu katrai prasībai. Gatavs iesniegšanai regulatoram vai ārējiem auditoriem.
Laika grafiks un audita norise
securIT kiberdrošības audita process ir strukturēts un prognozējams.
1. posms — Sākotnējā konsultācija (bezmaksas). Noskaidrojam jūsu vajadzības, infrastruktūras apjomu un regulatīvās prasības. Sagatavojam individuālu piedāvājumu 48 stundu laikā.
2. posms — Sagatavošanās (1-2 darba dienas). Saskaņojam audita tvērumu, laika grafiku un piekļuves. Parakstām konfidencialitātes līgumu (NDA) un pakalpojuma līgumu.
3. posms — Aktīvais audits (1-3 nedēļas atkarībā no apjoma). Veicam infrastruktūras novērtējumu, ievainojamību skenēšanu, penetrācijas testēšanu un dokumentācijas pārskatu. Audita laikā minimāli traucējam jūsu ikdienas darbību.
4. posms — Ziņojuma sagatavošana (3-5 darba dienas). Apkopojam konstatējumus, sagatavojam visus iepriekš aprakstītos nodevumus.
5. posms — Prezentācija un konsultācija. Prezentējam rezultātus jūsu IT komandai un vadībai. Atbildam uz jautājumiem un palīdzam prioritizēt remediācijas darbus.
Kopējais laiks no līguma parakstīšanas līdz gala ziņojumam: 2-4 nedēļas standarta auditam. Lieliem uzņēmumiem (virs 500 darbinieku) — līdz 6 nedēļām.
Cik bieži jāveic kiberdrošības audits?
Audita biežums ir atkarīgs no jūsu nozares, regulatīvajām prasībām un riska līmeņa.
NIS2/NKDL subjektiem ieteicams pilns audits vismaz reizi gadā, ar ievainojamību skenēšanu reizi ceturksnī. Ja notikušas būtiskas infrastruktūras izmaiņas (jauni serveri, mākoņmigrācija, apvienošanās), papildu audits ir obligāts.
GDPR kontekstā — datu aizsardzības ietekmes novērtējumu (DPIA) jāveic, kad tiek ieviesta jauna personas datu apstrāde ar paaugstinātu risku. Regulārs drošības audits ir GDPR 32. panta prasība.
Praksē securIT rekomendē šādu pieeju: pilns kiberdrošības audits — 1x gadā; ievainojamību skenēšana — 1x ceturksnī; penetrācijas tests — 2x gadā (pēc būtiskām izmaiņām); pikšķerēšanas simulācijas — nepārtraukti (ikmēneša cikls).
Uzņēmumiem, kas izmanto securIT SOC pakalpojumu, ievainojamību skenēšana un uzraudzība notiek nepārtraukti — audits papildina to ar padziļinātu manuālu pārbaudi.
Kāpēc izvēlēties securIT auditam?
Latvijas tirgū ir vairāki kiberdrošības pakalpojumu sniedzēji. Lūk, kāpēc uzņēmumi izvēlas securIT.
Vietējā ekspertīze — mūsu auditori pārzina Latvijas regulatīvo vidi (NKDL, CERT.LV prasības, DVI prakse) un saprot vietējo biznesa kontekstu. Ziņojumi ir latviešu valodā (vai angļu — pēc vēlēšanās).
Praktiski rezultāti — mūsu audita ziņojumi nav formāli dokumenti ar simtiem teorētisku risku. Katrs konstatējums ir pierādīts, novērtēts un aprīkots ar konkrētu remediācijas instrukciju.
Viss vienā vietā — pēc audita securIT var arī palīdzēt novērst konstatētās problēmas: ieviest SOC uzraudzību, veikt darbinieku apmācības vai izveidot drošības politikas. Nav nepieciešams meklēt citu pakalpojumu sniedzēju ieviešanai.
Konfidencialitāte — visi audita materiāli tiek apstrādāti un glabāti atbilstoši GDPR un ISO 27001 prasībām. NDA ir standarta daļa no katra audita līguma.
Biežāk uzdotie jautājumi
Cik maksā kiberdrošības audits?
Audita cena ir atkarīga no apjoma un veida. Vispārējais drošības novērtējums mazam uzņēmumam (līdz 50 darbiniekiem) sākas no aptuveni €2 500. NIS2 atbilstības audits — no €4 000. Pilns audits ar penetrācijas testēšanu lielam uzņēmumam — no €8 000. Precīzu piedāvājumu sagatavojam pēc bezmaksas sākotnējās konsultācijas.
Kā sagatavoties auditam?
Minimālā sagatavošanās: nodrošiniet auditoriem piekļuvi infrastruktūras dokumentācijai (tīkla diagrammas, aktīvu saraksti), esošajām drošības politikām un atbildīgajai kontaktpersonai. Mēs sagatavojam detalizētu sagatavošanās instrukciju pēc līguma parakstīšanas. Nav nepieciešams mainīt vai uzlabot neko pirms audita — mēs novērtējam pašreizējo stāvokli.
Vai audita laikā tiks traucēta mūsu ikdienas darbība?
Minimāli. Ievainojamību skenēšana un penetrācijas testēšana tiek plānota tā, lai neradītu traucējumus. Agresīvākus testus (piemēram, DoS testēšanu) veicam tikai pēc saskaņošanas un parasti ārpus darba laika. Audita laikā jūsu IT komandai var būt nepieciešams veltīt 2-4 stundas intervijām un dokumentu piegādei.
Ko darīt, ja audits atklāj kritiskas ievainojamības?
Ja audita laikā konstatējam kritisku ievainojamību, kas tiek aktīvi izmantota (vai var tikt izmantota nekavējoties), mēs informējam jūs nekavējoties — negaidot gala ziņojumu. Šādos gadījumos sniedzam konkrētu remediācijas instrukciju un, ja nepieciešams, palīdzam ar steidzamu labojumu ieviešanu.
Vai audita ziņojums ir derīgs regulatora vajadzībām?
Jā. securIT audita ziņojumi ir sagatavoti atbilstoši nozares standartiem un piemēroti iesniegšanai CERT.LV, DVI un citām kompetentajām iestādēm. NIS2 atbilstības audita ziņojums satur visas nepieciešamās sadaļas atbilstoši NKDL prasībām.