|
|
|
|
Infoturbe konsultatsioon |
Infoturbe konsultatsioon
Ettevõtte või organisatsiooni üheks põhivaraks on informatsioon.
Tänapäeval on väga palju erinevaid ohtusid, mis võivad kahjustada Teie
ettevõtte või organisatsiooni infovarasid. Informatsiooni konfidentsiaalsuse,
käideldavuse või tervikluse kadu või riive võib peale materiaalse kahju
tekitamise, rikkuda ka organisatsiooni mainet ja kui tegu on hooletusega,
siis võivad sellel olla ka juriidilised tagajärjed. Infoturve ei ole kunagi
lõpptulemus, vaid riskide vähendamise elav protsess ja tunnustatud infoturbe
standardi järgimine loob infoturbe haldusest hästi organiseeritud ja
läbimõeldud äriprotsessi osa. AS Stallion aitab Teil valida ja rakendada nõuetele vastava ITHS
standardi, läbi viia riskianalüüsi ja koostada infoturbe poliitika
dokumentatsiooni. Samuti võime auditeerida Teie organisatsiooni turbe
vastavust standarditele, õigusaktidest tulenevatele nõuetele ja hea tava
soovitustele. Infoturbepoliitika dokumentatsiooni
koostamine
Igal asutusel ja organisatsioonil peaks olema oma infoturbepoliitika.
Infoturbepoliitika annab aluse andmeturbe arendamiseks ettevõtte vajadustest
ja nõuetest lähtuvalt. Infoturbepoliitika koostamise peaks algatama asutuse IT
nõukogu, see võib toimuda IT juhi initsiatiivil. Infoturbepoliitika
kujundamise suunamiseks ja nõustamiseks on otstarbekas moodustada infoturbe
projektigrupp, kuhu kuuluvad juhtkonna esindaja, IT juht, infoturbe eest
vastutav spetsialist, tarnijate ja kasutajate esindajad, vajadusel muud
töötajad või väliseksperdid. Infoturbe dokumentatsiooni tegemisel tuleks teha valik, kas teha üks
mahukas infoturbepoliitika dokument või luua suhteliselt lakooniline
poliitika, millele lisanduvad spetsiifilisemad dokumendid nagu
talitluspidevuse plaan, taasteplaan, varundamise kord, füüsiline turve jne. AS Stallion aitab Teil otsustada, milline turvapoliitika on Teie
asutusele otstarbekas ja koostöös Teie enda spetsialistidega saame Teile
koostada vastavad dokumendid ja juhised. ISO/IEC 27001:2005 rakendamine
ISO/IEC 27001:2005 on infoturbe juhtimissüsteem, mis valmis 2005 . aasta
oktoobris ja baseerub BS7799-2 standardi teisel versioonil. ISO/IEC 27001
käsitleb infosüsteemi turbevajaduste väljaselgitamist, vastavate turvanõuete
püstitamist ja saavutamist. ISO/IEC 27001:2005 standard on koostatud
eesmärgiga anda mudel infoturbe halduse süsteemi (ITHS) rajamiseks,
evituseks, rakendamiseks, seireks, läbivaatuseks, hoolduseks ja
täiustamiseks. Standard ISO/IEC 27001:2005 on kohaldatav igat tüüpi
organisatsioonidele (sh äriettevõtetele, riigiasutustele,
mittetulundusühingutele) ning spetsifitseerib nõuded dokumenteeritud ITHS
rajamiseks, evituseks, rakendamiseks, seireks, läbivaatuseks, hoolduseks ja
täiustamiseks organisatsiooni üldiste tegevusriskide kontekstis. Ta
spetsifitseerib nõuded organisatsiooni või selle osade vajadustele kohandatud
turvameetmete evitusele. Aitame Teil rakendada rahvusvaheliselt tunnustatud ISO/IEC 27001:2005
infoturbe juhtimissüsteemi. ISKE rakendamine
Süsteem ISKE on mõeldud andmekogude seadusega reguleeritavate andmekogude
pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade
turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE põhineb Saksamaa
Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI)
infotehnoloogia etalonturbe meetodil ja käsiraamatul. Süsteem põhineb turvet
vajavate infovarade kirjeldamisel tüüpmoodulite abil ning sisaldab vahendeid
iga tüüpmooduli turvaklassi määramiseks ja mooduli nõutava turbeastme
määramiseks selle turvaklassi järgi. Sõltuvalt tüüpmooduli nõutavast
turbeastmest määratakse mooduli turvaspetsifikatsiooni kaudu
etalonkataloogidest turvameetmed ja kontrollitakse mooduli turvalisust ohtude
etalonkataloogi abil. Etalonturve on tüpiseeritud minimaalne turvameetmestik, mis tuleb
rakendada infovaradele nende vajaliku ettemääratud turvataseme saavutamiseks
ja säilitamiseks. Selline meetmestik on koostatud tüüpiliste infovarade
turvaanalüüsi ja nende turbe pikaajalise praktika põhjal.
"Minimaalne" tähendab seda, et nõutava turvataseme saavutamiseks
tuleb rakendada kõik konkreetse infovara tüübi ja konkreetse nõutava
turvataseme kohta spetsifitseeritud meetmed. Süsteem ISKE pakub kolme
turbeastet: madalat (L), keskmist (M) ja kõrget (H) ning meetmestik on
ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise
teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamise
teel keskastme omadele. Vastavalt Eesti Vabariigi Valitsuse 12. augusti 2004.
a määrusele nr 273 - Infosüsteemide
turvameetmete süsteemi kehtestamine on infoturbe standardi ISKE
rakendamine avaliku sektori infosüsteemis alates 2008. aasta 1. jaanuarist
Eestis kohustuslik. AS Stallion aitab Teil rakendada ISKE standardi vastavalt seaduses
ettenähtud korrale. ISKE auditeerimine muutub lähitulevikus kohustuslikuks.
ISKE auditeerimisega seonduvad asjaolud reguleeritakse ettevalmistatavas
majandus- ja kommunikatsiooniministri määruses „Riigi infosüsteemi
infotehnoloogilise auditeerimise kord“. Määrus kehtestatakse 01.01.2008
kehtima hakkava «Avaliku Teabe Seaduse» § lõike 2 alusel. Rohkem
informatsiooni ISKE auditeerimise kohta on saadaval Riigi Infosüsteemide
Arenduskeskuse veebilehel. |
