Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Ettevalmistus sertifitseerimiseks: Eesti e-ITS juhend suurettevõtete IT juhtidele

Mis on E-ITS?

Eesti infoturbestandard (E-ITS) on kaasaegne infoturbejuhtimise raamistik, mis jõustus 2023. aasta jaanuaris, asendades varasema ISKE süsteemi (2003-2023). E-ITS põhineb Saksa etalonturbe süsteemil BSI IT-Grundschutz ja rahvusvahelisel standardil EVS-ISO/IEC 27001:2014. Standard on täielikult kooskõlas ISO/IEC 27001 nõuetega ja selle peamine eesmärk on tõsta Eesti avaliku ja erasektori organisatsioonide infoturbe taset.

E-ITSi haldab ja kontrollib Riigi Infosüsteemi Ameti küberturvalisuse teenistus. Standardit vaadatakse läbi ja uuendatakse kord aastas, et tagada selle asjakohasus pidevalt muutuvas küberturvalisuse keskkonnas. E-ITSi lähenemine turvalisusele põhineb tegevusriskide haldamisel ning see on loodud eestikeelsena ja vastab Eesti õigusruumi vajadustele.

Kohustuslikkus ja kohaldamisala

E-ITS on kohustuslik kõigile organisatsioonidele, kes täidavad avalikke ülesandeid. Siia kuuluvad avaliku sektori asutused, elutähtsate teenuste osutajad ja kriitilise infrastruktuuri haldajad. Kohustuslike organisatsioonide puhul on E-ITSi rakendamine vajalik, et tagada avalike ülesannete täitmiseks kasutatavate äriprotsesside ja infosüsteemide kõikehõlmav kaitse.

Erasektori ettevõtted, sõltumata suurusest ja kasutatavast tehnoloogiast, võivad infoturbe eesmärkide saavutamiseks E-ITSi vabatahtlikult rakendada. See on eriti soovitatav ettevõtetele, kes soovivad parandada oma infoturbe taset või teevad koostööd avaliku sektoriga. E-ITS pakub selget raamistikku ja riiklikku tuge infoturbemeetmete rakendamiseks.

Sertifitseerimiseks ettevalmistus

1. Organisatsiooni valmisoleku hindamine

Enne sertifitseerimisprotsessi alustamist tuleb hinnata organisatsiooni praegust valmisolekut. Alustage olemasolevate infoturbe protsesside ja dokumentide kaardistamisest. Hinnake kriitiliselt infovarade ja süsteemide seisukorda ning analüüsige töötajate teadlikkust infoturbe valdkonnas.

Oluline on tuvastada lüngad kehtivate ja E-ITSi nõuete vahel. See aitab mõista, kui palju ressursse ja aega on vaja sertifitseerimiseks valmistumiseks. Paljud organisatsioonid alahinnavad seda ettevalmistuste mahtu, mis võib hiljem tekitada probleeme ja viivitusi.

2. Ressursside planeerimine

Sertifitseerimisprotsess nõuab märkimisväärseid ressursse, mistõttu on oluline neid hoolikalt planeerida. Moodustage projektimeeskond, kuhu kuuluvad nii IT, õigus- kui ka äripoole esindajad. Määrake selged vastutusalad ja koostage realistlik ajakava.

Paljud organisatsioonid vajavad väliste konsultantide abi, eriti kui sisemine teadmiste tase pole piisav. Pro IT pakub IT-süsteemide hooldust ja turvalisuse tagamist, mis võib olla oluline tugi ettevalmistuste perioodil. Koostage põhjalik eelarve, mis arvestab nii otseste kuludega (konsultatsioonid, tehnoloogia) kui ka kaudsete kuludega (töötajate aeg, võimalikud äriprotsesside muudatused).

3. Põhidokumentatsiooni koostamine

E-ITS nõuab põhjaliku dokumentatsiooni olemasolu. Infoturbe poliitika ja eesmärgid peavad olema selgelt sõnastatud ning vastama organisatsiooni vajadustele. Infovarade register peab olema ajakohane ja täielik, sisaldades kõiki olulisi varasid.

Riskianalüüs ja riskijuhtimise protsess peavad olema dokumenteeritud ja rakendatud. Koostage turvameetmete kataloog ja rakendamise plaan, mis vastab tuvastatud riskidele. Lisaks on vajalikud intsidentide haldamise protseduurid, talitluspidevuse plaan ning selged rollid ja vastutused. Dokumentatsiooni koostamisel järgige E-ITSi nõudeid, et vältida hilisemaid ümbertegemisi.

Sertifitseerimise protsess

1. Eelaudit

Eelaudit on vabatahtlik, kuid väga soovitatav etapp, mis aitab tuvastada võimalikke puudusi enne ametlikku auditit. Selle käigus kontrollib sõltumatu hindaja dokumentatsiooni ja protsesside vastavust E-ITSi nõuetele. Eelauditi tulemused võimaldavad tuvastada mittevastavused ning saada soovitusi nende kõrvaldamiseks.

Eelaudit aitab hinnata organisatsiooni üldist valmisolekut sertifitseerimiseks ja vähendab riski, et ametlik audit ebaõnnestub. Paljud organisatsioonid, kes on infoturbe süsteemi sertifitseerimist läbi viinud, on leidnud, et eelaudit tasub end mitmekordselt ära, kuna võimaldab tuvastada ja kõrvaldada probleemid varakult.

2. Põhiaudit

Põhiaudit on formaalne hindamine, mille viib läbi akrediteeritud audiitor. Auditi käigus kontrollitakse nii dokumentatsiooni kui ka tegelikke protsesse. Audiitorid hindavad turvameetmete rakendamist ja tõhusust ning intervjueerivad töötajaid, et hinnata teadlikkust ja protseduuride järgimist.

Põhiauditi kestus sõltub organisatsiooni suurusest ja keerukusest, kuid tavaliselt kestab see 3-5 päeva. Audiitorid dokumenteerivad oma leide ja esitavad lõpparuande, mis sisaldab nii vastavusi kui ka mittevastavusi. Kriitiliste mittevastavuste korral võib olla vajalik täiendav audit pärast paranduste tegemist.

3. Sertifikaadi väljastamine

Eduka auditi järel väljastatakse E-ITSi vastavuse sertifikaat, mis kehtib kolm aastat. Sertifikaadi säilitamiseks on vajalikud iga-aastased järelevalveauditid, mis kontrollivad, kas organisatsioon jätkab vastavust standardile. Sertifikaati haldab Riigi Infosüsteemi Amet.

Sertifikaat näitab, et organisatsioon järgib infoturbe valdkonna parimaid praktikaid ja täidab asjakohaseid nõudeid. See võib olla oluline konkurentsieelis ning suurendada klientide ja partnerite usaldust. Pärast kolmeaastase perioodi lõppu tuleb läbida uus täisaudit sertifikaadi pikendamiseks.

Praktiline ettevalmistuse kontrollnimekiri

Dokumentatsioon

  • Infoturbe poliitika ja eesmärgid
  • Infovarade register
  • Riskianalüüs ja -juhtimise metoodika
  • Turvameetmete kataloog
  • Intsidentide haldamise protseduurid
  • Talitluspidevuse plaan
  • Rollid ja vastutused

Tehnilised kontrollid

  • Võrguturvalisuse meetmed (tulemüürid, VPN)
  • Juurdepääsu halduse süsteem
  • Varundussüsteemid ja protseduurid
  • Turvamonitooringu lahendused
  • Turvauuenduste haldus

Organisatsioonilised meetmed

  • Töötajate koolituskava
  • Infoturbe juhtimise protsessid
  • Intsidentidele reageerimise meeskond
  • Teadlikkuse tõstmise programmid
  • Kolmandate osapoolte haldus

Levinud väljakutsed ja nende lahendused

1. Ressursside piiratus

Ressursside piiratus on üks sagedasemaid takistusi E-ITSi rakendamisel. Selle ületamiseks prioriseerige tegevusi vastavalt riskide tasemele ja organisatsiooni vajadustele. Kasutage etapiviisilist lähenemist, keskendudes kõigepealt kõige kriitilisematele valdkondadele.

Kaaluge välise IT-partneri kaasamist, kes pakub spetsialiseeritud tuge. Välised eksperdid võivad pakkuda vajalikke teadmisi ja kogemusi, ilma et peaksite investeerima täisajaga töötajate värbamisse. Lisaks saab mitmeid turvameetmeid automatiseerida, mis vähendab käsitöö vajadust.

2. Tehniline keerukus

E-ITSi nõuete tehniline keerukus võib olla väljakutseks isegi kogenud IT-meeskondadele. Selle leevendamiseks kasutage infoturbe halduse tööriistu, mis aitavad automatiseerida ja struktureerida protsesse. Valige tööriistade valimisel lahendused, mis toetavad just E-ITSi nõudeid.

Investeerige meeskonna koolitusse, et tõsta nende teadmisi ja oskusi. Keerukate tehniliste lahenduste puhul kaaluge pilootprojekte, et testida nende sobivust enne täielikku juurutamist. Kasutage valdkonna parimaid praktikaid ja kohandage neid oma organisatsiooni vajadustele.

3. Organisatsiooniline vastuseis

Muudatused infoturbe protsessides võivad põhjustada vastupanu töötajate seas. Tagage juhtkonna selge toetus ja pühendumus, mis on muudatuste edukaks rakendamiseks hädavajalik. Selgitage muudatuste vajalikkust ja kasusid kõigile osapooltele.

Kaasake töötajaid protsessi varakult, et suurendada nende pühendumust ja vähendada vastupanu. Viige läbi regulaarseid koolitusi ja teadlikkuse tõstmise üritusi, mis aitavad töötajatel mõista infoturbe olulisust. Tunnustage ja premeerige positiivseid näiteid infoturbe parimast praktikast.

4. Dokumentatsiooni haldamine

Ulatusliku dokumentatsiooni haldamine võib osutuda keeruliseks. Kasutage dokumendihaldussüsteemi, mis toetab versioonihaldust ja koostööd. Looge selge struktuur ja vastutusalad dokumentide haldamiseks ning ajakohastamiseks.

Kehtestage regulaarsed ülevaatuse perioodid, et tagada dokumentide ajakohasus. Kasutage dokumentide mallid ja juhendid, et tagada järjepidevus ja kvaliteet. Kaaluge spetsiaalse meeskonnaliikme määramist, kes vastutab dokumentatsiooni haldamise eest.

Sertifikaadi säilitamine

Pärast sertifikaadi saamist on oluline tagada vastavus ka edaspidi. Viige läbi regulaarseid siseauditeid, et kontrollida vastavust nõuetele ja tuvastada võimalikke probleeme. Jätkake riskide hindamist ja juhtimist regulaarselt, et reageerida muutuvatele ohtudele.

Hoidke dokumentatsioon ajakohasena, kajastades kõiki süsteemi- ja protsessimuudatusi. Viige läbi töötajate regulaarseid koolitusi, et tagada teadlikkus ja oskused. Valmistuge iga-aastasteks järelevalveauditiks, kogudes tõendeid vastavuse kohta.

Sertifikaadi pikendamiseks tuleb läbida uus täisaudit iga kolme aasta järel. Selleks alustage ettevalmistusi vähemalt kuus kuud enne sertifikaadi kehtivusaja lõppu.

Kokkuvõte

E-ITS sertifitseerimine on põhjalik protsess, mis nõuab hoolikat planeerimist, ressursside pühendamist ja süsteemset lähenemist. Edukas sertifitseerimine aitab tõsta organisatsiooni infoturbe taset, tagada vastavuse regulatiivsetele nõuetele ning suurendada klientide ja partnerite usaldust.

Ettevõtted, eriti need, kellele E-ITS on kohustuslik, peaksid alustama ettevalmistusi varakult, kaasama vajadusel eksperte ning lähenema protsessile etapiviisiliselt. Infoturbe süsteemi sertifitseerimine on investeering, mis pikemas perspektiivis tasub end ära nii paranenud turvalisuse kui ka optimeeritud protsesside näol.

Edukas E-ITSi rakendamine ja sertifitseerimine on teekond, mitte sihtpunkt – see nõuab pidevat tähelepanu, arendamist ja kohanemist muutuvate ohtude ja nõuetega.