AETHER
Gauti auditą

Kaip pasiruošti NKSC auditui per 48 val. — praktinis vadovas

Paskutinį kartą atnaujinta: 2026 m. balandžio 23 d.

Gavote pranešimą iš NKSC, kad po 48 valandų vyks patikrinimas. Arba vidinis deadline'as artėja, o norite repetuoti realius scenarijus. Šiame praktiniame vadove — valandų tvarkaraštis, ką daryti nuo 0-osios valandos iki audito pradžios, konkretūs failai, kuriuos reikės parodyti, ir tipinės klaidos, dėl kurių įmonės „nukrenta" net turėdamos gerą saugumo lygį.

Svarbus prelude'as: 48 val. — tai ne tikro KSRA įgyvendinimo laikotarpis. Tikras įgyvendinimas — 12 mėn. organizaciniams, 24 mėn. techniniams reikalavimams (žr. NKSC 2025 terminai). Bet 48 val. — realus pasiruošimo auditui laikotarpis: pateikti tai, ką jau esate padarę, tinkama forma. Daugelis įmonių „nukrenta" ne dėl saugumo spragų, o dėl to, kad nepavyksta per 48 val. surinkti įrodymų.

Valanda 0 — greita situacijos analizė

Prieš bet ką darant, per 30 min. atsakykite į keturis klausimus:

  1. Koks audito tipas? Planinis (rutininis NKSC patikrinimas), reaguotinis (po incidento) ar savanoriškas (įmonė pati paprašė konsultacijos)? Nuo to priklauso, kokie dokumentai bus prašomi pirmąja eile.
  2. Kas atsakingas? CISO, IT vadovas, išorinis konsultantas? Vienas asmuo turi būti point-of-contact, kad auditoriai neklaustų penkių skirtingų žmonių tos pačios informacijos.
  3. Kokios jūsų subjektų kategorijos? Pagrindinis vs svarbus subjektas — reikalavimai skiriasi. Jei nesate tikri — pasitikrinkite Kibernetinio saugumo subjektų registre arba NKSC laiške.
  4. Ar turite ankstesnį auditą? Jei taip — atsineškite jo rezultatus ir korekcinių veiksmų planą. Auditoriai vertina „tęstinumą" — ne tik dabartinę būseną.

Valandos 1–4 — dokumentacijos rinkimas

Pagrindinis rūpestis — neparašyti naują dokumentaciją (per 48 val. tai neįmanoma padaryti patikimai), o surinkti egzistuojančią į vieną vietą. Minimum set'as:

  1. Kibernetinio saugumo politika — patvirtinta valdybos arba ekvivalento dokumentas. Jei neturite — per 48 val. neišrašysite gerai. Pripažinkite spragą ir pateikite juodraštį su patvirtinimo data (planuojama).
  2. Rizikos valdymo registras — rizikų lentelė su tikimybe × poveikiu × mitigacija. Excel / Google Sheets forma — OK. Svarbu: bent 10–15 įrašų, peržiūros data per paskutinius 12 mėn.
  3. Incidentų valdymo planas — dokumentas, aprašantis, kas daroma per pirmas 24 val. po incidento: eskalavimo grandinė, pranešimo NKSC procedūra (24 val. pagrindiniams subjektams), komunikacijos protokolas.
  4. Atsakingo asmens paskyrimas — rašytinis sprendimas, kad X asmuo yra atsakingas už kibernetinį saugumą. Parašas, pareigybė, data.
  5. Mokymų įrodymai — sąrašas darbuotojų, kurie per paskutinius 12 mėn. išklausė kibernetinio saugumo mokymus. Su data, turiniu, dalyvavimo patvirtinimu.
  6. Phishing pratybų rezultatai — bent du kartus per metus simuliacijos, procentinis „nukritimo" rodiklis, korekciniai veiksmai tiems, kurie nukrito.
  7. Tiekėjų sąrašas + saugumo sąlygos sutartyse — paskutinių 10 svarbiausių IT tiekėjų sąrašas, sutarčių ištraukos su saugumo sąlygomis.
  8. Technikos inventoriumas — serverių, darbo stočių, tinklo įrenginių sąrašas su OS versijomis, patch status.

Viską sudėkite į vieną aplanką (OneDrive / SharePoint / Google Drive) su aiškia failų nomenklatūra: 01-Politika-2025-12-15.pdf, 02-Rizikos-Registras-2026-03.xlsx ir t.t. Auditoriai vertina struktūrą — chaotiškas aplankas signalizuoja, kad dokumentai buvo surinkti „ad hoc".

Valandos 4–12 — gap analizė

Dabar turite aiškų vaizdą, kas yra ir ko trūksta. Per šias 8 val. atlikite realistinę gap analizę — palyginkite su KSRA 8 blokais (žr. 8 KSRA reikalavimų blokai paaiškinti paprastai) ir atžymėkite:

  • ✅ Įgyvendinta — turite dokumentaciją + veikia praktiškai
  • 🟡 Dalinai — yra politika, bet nėra pilnai įgyvendinta, arba atvirkščiai
  • ❌ Neįgyvendinta — nei dokumentacijos, nei praktikos
  • N/A— netaikoma jūsų subjekto kategorijai ar technologijos stack'ui (turite pagrįsti kodėl)

Pagrindinė taisyklė: neslėpkite 🟡 ir ❌ nuo auditorių. Jie mato šimtus įmonių — iliuzija, kad „viskas puikiai", atpažįstama per 15 minučių. Atvirumas + korekcinių veiksmų planas (su realiais terminais) yra vertingesnis nei bandymas apsisukti.

Valandos 12–24 — greitieji fix'ai ("low-hanging fruit")

Kai kurie reikalavimai gali būti įgyvendinti per kelias valandas, net jei iki tol buvo apleisti. Prioritetų sąrašas:

  1. MFA įjungimas administratoriams — jei naudojate Azure AD / Google Workspace / Okta, MFA visiems admin accounts galite įjungti per 30 min. (Conditional Access policy). Pradėti nuo admin accounts — tada user accounts.
  2. Patch status update — atlikti Windows Update / apt-get upgrade / WSUS push į visas kritines mašinas. Ne visos naujinti reikia, bet dokumentuokite, kurios atnaujintos, kurios ne (su priežastimi — pvz. legacy aplikacijos kompatibilumas).
  3. Audit log įjungimas — jei Windows įvykių žurnalas (Event Log) neįjungtas svarbiems serveriams arba nesaugomas centralizuotai — įjunkite bent vietinį logging su 90 dienų retention.
  4. Atsarginių kopijų verifikacija— padarykite „restore test" su vienu atsitiktiniu failu. Dokumentuokite sėkmingą restore'o rezultatą su data. Auditoriai klausia: „kada paskutinį kartą testavote atkūrimą?"
  5. TLS certificate check— visi viešai prieinami endpoint'ai turi TLS 1.2+ (geriau 1.3). Patikrinkite su ssllabs.com arba curl -I. Jei kur nors yra HTTP be TLS — įjunkite HSTS arba išjunkite HTTP visai.
  6. Paskyrų peržiūra— ex-employees, buvusių rangovų accounts disable'kite arba pašalinkite. Dokumentuokite sprendimą + datą.

Svarbu:darykite tik tai, kas yra patikrinta praktika. Nepraktikuoti change'ai kritinėse sistemose per 48 val. prieš auditą — didelė rizika. Jei nepasitikite savo ability įjungti MFA be incidento — pažymėkite „planuojama" ir pateikite terminą (pvz. „per 30 dienų").

Valandos 24–36 — komandos briefingas ir repeticija

Auditas — tai interviu, ne tik dokumentų peržiūra. Auditoriai klausia darbuotojų — CISO, IT vadovo, tiekėjų valdymo atsakingo asmens. Jei atsakymai nesutampa su dokumentacija — tai signalas, kad dokumentacija yra „rašytinė, ne gyvoji".

Per 12 val. perteikite šiuos dalykus savo komandai:

  1. Kas bus audituojama — kokie dokumentai pateikti, kokie procesai tikrinami
  2. Kas bus interviu'uojamas — dažniausiai: CISO/saugumo koordinatorius, IT vadovas, HR atstovas (mokymams), tiekėjų valdytojas
  3. Kaip atsakyti į klausimus — tiesiai, trumpai, faktais. „Nežinau" — geresnis atsakymas nei spėliojimas. „Tikriausiai taip" — blogesnis nei „leiskite pasitikslinti"
  4. Dokumentacijos lokacija — kad kiekvienas komandos narys žinotų, kaip rasti politiką, incidentų planą, rizikos registrą. Linkas į cloud aplanką — ne „yra kažkur Igorio laptope"

Atlikite 20 min. mock interview: kas nors komandoje suvaidina auditorių ir užduoda klausimus. Tipiniai klausimai:

  • „Kas yra jūsų atsakingas asmuo už kibernetinį saugumą ir kada jis buvo paskirtas?"
  • „Parodykite mokymų įrodymus už paskutinius 12 mėn."
  • „Kada paskutinį kartą testavote atsarginių kopijų atkūrimą?"
  • „Kokios yra jūsų top-5 rizikos pagal rizikos registrą?"
  • „Aprašykite, kas nutiktų per pirmas 24 val. po rimto incidento."
  • „Kaip vertinate savo IT tiekėjų saugumą?"
  • „Ar turite MFA visiems vartotojams? Kurie išimti ir kodėl?"

Valandos 36–48 — galutinis patikrinimas

Paskutinė para — nieko naujo nedarykite. Galutinė rutina:

  1. Dokumentacijos revizija — perskaitykite savo politikos dokumentą. Ar jame nurodyti vaidmenys atitinka realybę? (Dažna klaida: politika mini „Saugumo komitetą", kurio iš tikrųjų nėra.)
  2. Gap listo finalizavimas — jūsų korekcinių veiksmų planas turi būti rašytinis dokumentas, ne mintyse. Su kolonelėmis: Reikalavimas / Dabartinė būsena / Tikslinė būsena / Terminas / Atsakingas.
  3. Susitikimo patalpos paruošimas — jei auditoriai ateina į biurą, paruoškite patalpą su projektoriumi (jiems rodyti failus). Jei nuotolinis — Teams/Zoom meeting link paruoštas.
  4. Access provision — jei auditoriai turės peržiūrėti konkrečias sistemas (pvz. AD, backup console), iš anksto sukurkite „auditor" paskyrą su read-only teisėmis. Nenaudokite admin paskyros.
  5. Juridinio pagrindo patikrinimas — turėkite po ranka NKSC oficialų laišką (audito pranešimą) ir/arba KSRA įstatymą (e-seimas.lrs.lt). Kad aiškiai suprastumėte, kokia auditorių apimtis.

Kas NEGALI per 48 val. pavykti

Realybė: kai kurie reikalavimai negali būti įgyvendinti per 48 val. Šie punktai reikalauja mėnesių, ne dienų:

  • Pilnas EDR rolloutper visus endpoint'us — bent 2–4 savaitės
  • Tinklo segmentacijos restruktūrizacija— bent 1–3 mėn. (VLAN'ai, firewall'ai, routing tables)
  • SIEM/SOC setup — bent 2 mėn. iki operating, plus ongoing tuning
  • Penetration test — išorinis testas reikalauja 2–4 sav. scheduling + 2 sav. reporting
  • Disaster recovery testas — reikia business continuity plano, komunikacijos tretieji šalims, stakeholder buy-in

Pripažinkite tai auditoriams. Pateikite šiuos punktus kaip „planuojami įgyvendinti per X mėn." su konkrečiais terminais ir atsakingais asmenimis. NKSC audito tikslas — ne pagauti jus, o įvertinti ar einate teisinga kryptimi. Nuoseklus planas su aiškiais terminais yra geresnis signalas nei „pasakojimas, kad jau padaryta".

Tipinės klaidos, dėl kurių įmonės „nukrenta"

  1. Dokumentacijos chaosas — failai išblaškyti po šimtus lokacijų, senos versijos suplakamos su naujomis. Fix: vieningas cloud aplankas + versijų kontrolė (pvz. „politika-v2.1-2026-03.pdf")
  2. Atsakomybės difuzija — „saugumas yra visų" = saugumas yra nieko. Fix: vienas paskirtas asmuo + rašytinis paskyrimo aktas
  3. „Mūsų tiekėjas rūpinasi" — kai IT outsourced, įmonės mano, kad atsakomybė perkelta. Realybė: atsakomybė nėra perkelta, tik dalis uždavinių deleguota. Fix: sutartyje apibrėžti saugumo sąlygos, audit rights, SLA'os
  4. Rizikos registras be gyvybės — 5 generinės rizikos („malware atakai"), parašytos prieš 3 metus, neperžiūrėtos. Fix: 15–30 specifinių rizikų su peržiūros datomis per paskutinius 12 mėn.
  5. Mokymai „ant popieriaus" — politikoje parašyta „kasmet", bet paskutiniai mokymai buvo prieš 3 metus. Fix: dokumentuotas dalyvavimas, testų rezultatai, atnaujinta turinio data
  6. MFA išimtys be pagrindimo— „service account'ai be MFA, nes sudėtinga" be rašytinės rizikos analizės. Fix: arba įgyvendinti (Conditional Access su trusted IP), arba dokumentuoti kompensacinius kontrolę (log monitoring, restricted IP whitelist)
  7. Incidentų plano nežinojimas — dokumentas yra, bet darbuotojai paklausti nežino, ką daryti per pirmas valandas. Fix: kasmet simuliuota „tabletop exercise" (1–2 val. scenarijaus peržaidimas)

Checklistas — ką turėti paruošta

  • ☐ Kibernetinio saugumo politika (patvirtinta, ≤12 mėn. senumo)
  • ☐ Rizikos valdymo registras (15+ įrašų, peržiūra ≤12 mėn.)
  • ☐ Incidentų valdymo planas (su NKSC pranešimo procedūra)
  • ☐ Atsakingo asmens paskyrimo aktas
  • ☐ Mokymų įrodymai (dalyvių sąrašas, data, turinys)
  • ☐ Phishing pratybų rezultatai (2× per metus)
  • ☐ Tiekėjų sąrašas + saugumo sutarčių ištraukos
  • ☐ Technikos inventoriumas + patch status
  • ☐ Atsarginių kopijų restore test dokumentacija
  • ☐ MFA status raportas (admin + user accounts)
  • ☐ Audit log / SIEM access (peržiūros teisės auditoriui)
  • ☐ Korekcinių veiksmų planas (gap list + terminai)
  • ☐ Komandos briefingas atliktas (kas atsakys į klausimus)
  • ☐ Mock interview praėjo (≥ 1 val.)

Kur kreiptis, jei nespėjate

Jei 48 val. pasirodo per mažai — tai normalus signalas. Sprendimų variantai:

  • Atidėjimo prašymas NKSC — pagristas raštas su priežastimi (pvz. „naujas atsakingas asmuo pradėjo dirbti prieš 2 sav.") gali būti priimtas
  • Pasitelkti išorinį konsultantą — 48 val. CISO-as-a-service už 2000–5000 EUR gali žymiai pagerinti dokumentacijos kokybę
  • AETHER platforma — jei norite automatizuoto gap assessment per 30 min., žiūrėkite kaip veikia arba užsiregistruokite nemokamai

Susiję straipsniai ir resursai

Turite konkretų klausimą apie savo situaciją? Parašykite mums — arba peržiūrėkite KSRA apžvalgą, kad geriau suprastumėte reguliacijos rėmus. Jei norite įvertinti savo pasiruošimo lygį per 30 min. automatiškai, užsiregistruokite ir gaukite pirmą auditą nemokamai.