Eesti infoturbestandard (E-ITS) on eestikeelne ja Eesti õigusruumile vastav infoturbe käsitlemise alus, mis on loodud avalike ülesannete täitmiseks kasutatavate äriprotsesside ja infosüsteemide kaitse tagamiseks.
E-ITS põhineb rahvusvaheliselt tunnustatud infoturbehalduse standardil ISO/IEC 27001 ja Saksa etalonturbe süsteemil BSI IT-Grundschutz. Standardi eesmärk on tõsta Eesti avaliku ja erasektori organisatsioonide infoturbe taset ning muuta turbe juhtimine süsteemseks.
E-ITS on ISO 27001 kõrval ka üks kahest võimalikust infoturbehalduse standardist, mille juurutamine on kohustuslik elutähtsa teenuse osutajatele, avalikule sektorile ja teistele, kellele kohaldub võrgu- ja infosüsteemide turvalisuse direktiiv NIS 2. Nende hulka kuuluvad näiteks ettevõtted, mis vastutavad kaugküttega varustamise, kohalike teede sõidetavuse tagamise, veega varustamise ja kanalisatsiooni toimimise ning ravimitega varustamise eest.
Millised on E-ITS-i rakendamise sammud?
E-ITS-i rakendamine on süstemaatiline protsess, mis hõlmab järgmisi põhisamme:
- Äriprotsesside kaardistamine
Äriprotsess on tegevuste, toimingute või protseduuride kogum, mille tulemusena võivad tekkida tooted või teenused (näiteks makseteenus, kütteteenus jne). Sammu eesmärk on tuvastada kaitsmist vajavad äriprotsessid.
Kahjuanalüüsi abil uuritakse iga äriprotsessi infoturbe põhieesmärkide, s.o konfidentsiaalsuse, tervikluse või käideldavuse rikkumise tagajärjel tekkivat võimalikku kahju. Kahju koosneb otsesest kahjust (nt saamata jäänud toetusrahastus või sunniraha õiguslike tagajärgede tõttu) ja kaudsetest kahjudest (nt maine kaotus). Kahjuanalüüs annab sisendi kaitsetarbe (vara väärtusest tulenev vajadus vara kaitsta) määramiseks.
Määratletakse kaitsealasse kuuluvad tegevused, teenused (äriprotsessid) ja nendega seotud varad, mida turbeprotsess hakkab edaspidi kaitsma. Eesmärk on kaitseala võimalikult selgelt piiritleda ja dokumenteerida.
Koostatakse sobiv riskihaldusmetoodika ja viiakse läbi riskihalduse protsess, mis koosneb riskide tuvastamisest, analüüsist ja hindamisest ning riskikäsitluse kavandamisest.
- Infoturbe alusdokumentide koostamine
Alusdokumentides määratletakse infoturbe sihid ja põhimõtted, seatakse mõõdetavad eesmärgid ning koostatakse infoturbe strateegia, poliitika ja teised vajalikud põhidokumendid. Selles etapis ei koostata dokumente, mis on vajalikud konkreetsete turvameetmete rakendamiseks.
- Turvameetmete määramine ja infoturbe meetmete rakendusplaani (IMR) koostamine
Infoturbe meetmete rakendusplaan on töökava, mille alusel organisatsioon turvameetmeid rakendab. Rakendusplaanis kirjeldatakse ajaraam, vastutajad, tegevused ja ressursid. See on organisatsioonis kogu infoturbe protsessi rakendamise haldus- ja kontrollivahend. IMR-i koostamiseks määratletakse rakendatavad turvameetmed, võttes arvesse eelmiste sammude tulemusi ja riskianalüüsi ning tuvastatakse nende rakendamise hetkeolukord. Seejärel koostatakse IMR ja määratakse tegevuste prioriteedid.
Infoturbemeetmeid rakendatakse vastavalt rakendusplaanile. Üksikute meetmete rakendamise detailne analüüs tehakse edasise töö käigus.
Kes peavad E-ITS-i rakendama ja auditeerima?
E-ITS on kohustuslik järgmistele organisatsioonidele (loetelu ei ole ammendav):
- avaliku sektori asutused;
- elutähtsate teenuste osutajad;
- muud küberturvalisuse seadusega määratud organisatsioonid (seadus on muutmisel ja nimekiri täieneb).
Suur osa kõnealustest organisatsioonidest peab lisaks E-ITS-i rakendamisele tellima ka E-ITS-i tingimuste täitmise auditi.
Auditit ei pea tellima:
- mikroettevõtja, st teenuseosutaja, kellel on majandusaasta jooksul keskmiselt alla 10 töötaja ja kelle aasta bilansimaht või käive ei ületa 2 miljonit eurot;
- riigimuuseum, avalik-õigusliku isiku muuseum, valla või linna ametiasutus, valla või linna ametiasutuse hallatav asutus, osavalla või linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav asutus ning kohaliku omavalitsuse üksuste ühisamet ja -asutus, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud töötlejaga;
- teenuseosutaja, kes on rakendanud ISO/IEC 27001 nõuetele vastavad turvameetmed ja esitab RIA-le sellekohase sertifikaadi.
Kuna küberturvalisuse seadus on muutmisel, siis võib E-ITS-i rakendamise ja auditeerimise kohustuslaste ring muutuda.
Mida ma pean tegema, kui standard tundub keeruline ja ei oska kuskilt alustada?
- Osale koolitusel Digiriigi Akadeemias: Eesti infoturbestandardi (E-ITS) ABC ja E-ITS-i rakendamine: kaitsetarbest rakendusplaanini.
- Suhtle rakendajatega teistest asutustest, küsi nõu.
- Osale RIA teabepäevadel ja üritustel.
- Loe portaalist eits.ria.ee lisamaterjale.
- Hakka rakendama, sest enamik oskuseid ja arusaamu tekib töö käigus.
- Võta Grant Thornton Balticuga ühendust, kirjutades päringuvormi kaudu või kontakteerudes meie infoturbeteenuste valdkonna juhi Artti Astoniga artti.aston@ee.gt.com.
