Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Eesti infoturbestandard (E-ITS): ülevaade ja rakendamine

E-ITS ehk Eesti infoturbestandard on Eesti avaliku sektori asutuste andmeturbe korraldamise süsteem, mis aitab organisatsioonidel kaitsta oma andmeid, süsteeme ja infovara. Tegemist on eestikeelse ja Eesti õigusruumile kohandatud infoturbe käsitlemise alusega, mis asendas 2023. aasta jaanuaris pikalt kasutusel olnud ISKE standardit.

Mis on E-ITS?

E-ITS on riskipõhine süsteem, mis on kooskõlas ISO/IEC 27001 standardiga. Selle aluseks on Saksamaa BSI IT-Grundschutz 2019. aasta versioon, mida on kohandatud Eesti õiguskeskkonnale sobivaks. E-ITS pakub struktureeritud raamistiku infoturbe haldamiseks, keskendudes riskide tuvastamisele, hindamisele ja maandamisele.

Standardi haldajaks on Riigi Infosüsteemi Ameti (RIA) küberturvalisuse teenistus, kes vastutab selle ajakohastamise ja järelevalve eest. Standardit vaadatakse läbi ja uuendatakse kord aastas, et see vastaks muutuvatele ohtudele ja tehnoloogilistele arengutele.

Oluline on märkida, et E-ITSiga ei korraldata riigisaladuse ega salastatud välisteabe turvet, selle jaoks on eraldi regulatsioonid.

Kellele on E-ITS kohustuslik?

E-ITS rakendamine on kohustuslik mitmetele organisatsioonidele:

  • Avaliku sektori asutustele
  • Elutähtsa teenuse osutajatele
  • NIS 2 direktiivi alla kuuluvatele organisatsioonidele
  • Kriitilist infrastruktuuri haldavatele ettevõtetele
  • Kaugkütte, kohalike teede, vee- ja kanalisatsiooni ning ravimite varustamise ettevõtetele

Väikesed digitaalsed teenuse osutajad (alla 50 töötaja ja vähem kui 10 miljoni euro suuruse aastakäibega) võivad olla kohustusest vabastatud, kuigi vabatahtlik järgimine on soovitatav, kuna see parandab oluliselt infoturbe taset ja võib anda konkurentsieelise.

E-ITSi peamised nõuded

E-ITS sisaldab nõudeid infoturbe halduse süsteemi (ISMS) rajamiseks, evitamiseks, käigushoiuks ja täiustamiseks. Peamised nõuded on kirjeldatud standardi jaotistes 5-10 ning hõlmavad:

  1. Organisatsiooni kontekst – oma tegevuskeskkonna ja huvipoolte ootuste mõistmine
  2. Juhtimine – juhtkonna pühendumus, infoturbe poliitika, rollid ja vastutused
  3. Planeerimine – riskide ja võimaluste käsitlemine, infoturbe eesmärgid
  4. Tugi – ressursid, pädevus, teadlikkus, dokumenteerimine
  5. Toimimine – tegevuste planeerimine ja ohjamine, riskihindamine ja -käsitlus
  6. Tulemuslikkuse hindamine – seire, mõõtmine, siseaudit, juhtkonnapoolne ülevaatus
  7. Täiustamine – mittevastavused ja korrigeerivad tegevused, pidev parendamine

E-ITS toimib aluskaitsesüsteemina, mis võimaldab kohandada turvameetmeid vastavalt konkreetse organisatsiooni vajadustele ja riskitasemele.

E-ITSi sihtgrupid

E-ITS on suunatud mitmele sihtgrupile:

  • Infoturbejuhid
  • Äriprotsessijuhid
  • Üksuste juhid
  • IT-töötajad
  • Audiitorid
  • Konsultandid

Igal grupil on oma roll standardi rakendamisel, alates strateegilisest planeerimisest kuni praktiliste turvameetmete juurutamiseni.

E-ITSi rakendamise sammud

E-ITSi rakendamine on süsteemne protsess, mis koosneb mitmest etapist:

1. Ettevalmistus

  • Infovarade kaardistamine ja klassifitseerimine
  • Rakendamisala (scope) määratlemine
  • Vajalike ressursside planeerimine
  • Projektimeeskonna moodustamine (IT, juriidika, äripool)

Ettevalmistuse faasis on oluline hinnata organisatsiooni praegust olukorda ja tuvastada lüngad kehtivate ja E-ITSi nõuete vahel.

2. Riskianalüüs ja -juhtimine

  • Ohtude ja haavatavuste tuvastamine
  • Riskide hindamine ja prioriseerimine
  • Riskide maandamise meetmete valik
  • Riskijuhtimise plaani koostamine

Riskianalüüs on E-ITSi rakendamise nurgakivi, mille põhjal valitakse sobivad turvameetmed.

3. Turvameetmete rakendamine

  • Etalonturbe kataloogide põhjal turvameetmete valik
  • Tehniliste ja organisatsiooniliste meetmete juurutamine
  • Juurdepääsu halduse süsteemi loomine
  • Intsidentide haldamise protsessi juurutamine

Turvameetmete rakendamisel tuleks lähtuda riskianalüüsi tulemustest ja etalonturbe kataloogist.

4. Dokumentatsiooni koostamine

  • Infoturbe poliitika ja eesmärkide dokumenteerimine
  • Infovarade registri loomine
  • Riskianalüüsi ja -juhtimise metoodika dokumenteerimine
  • Turvameetmete kataloogi koostamine
  • Intsidentide haldamise protseduuride kirjeldamine
  • Talitluspidevuse plaani koostamine

Dokumentatsioon peab olema selge, täpne ja vastama E-ITSi nõuetele, et vältida hilisemat ümbertegemist.

5. Süsteemi juurutamine ja töötajate koolitamine

  • Turvameetmete praktiline rakendamine
  • Töötajate teadlikkuse tõstmine
  • Rollipõhiste koolituste läbiviimine
  • Simuleeritud turvakoolitused

Infoturve on kogu organisatsiooni vastutus, mitte ainult IT-osakonna ülesanne.

6. Auditeerimine ja pidev parendamine

  • Siseauditite läbiviimine
  • Vastavuse hindamine
  • Mittevastavuste kõrvaldamine
  • Protsesside ja meetmete pidev täiustamine

Infoturbe halduse süsteemi pidev täiustamine on oluline osa standardist, mis tagab, et turvameetmed jäävad efektiivseks ka aja möödudes.

E-ITSi sertifitseerimine

E-ITSi sertifitseerimine koosneb järgmistest etappidest:

  1. Eelaudit (vabatahtlik, kuid soovitatav) – sõltumatu hindaja kontrollib dokumentatsiooni ja protsesse
  2. Põhiaudit – akrediteeritud audiitor viib läbi põhjaliku auditi, mis kestab tavaliselt 3-5 päeva
  3. Mittevastavuste kõrvaldamine – kriitiliste mittevastavuste korral võib vaja minna täiendavat auditit
  4. Sertifikaadi väljastamine – pärast edukat auditit väljastatakse sertifikaat, mis kehtib kolm aastat

Sertifikaadi säilitamiseks on vajalikud iga-aastased järelevalveauditid ning iga kolme aasta järel tuleb läbida uus täisaudit. Infoturbe süsteemi sertifitseerimine annab organisatsioonile kindluse, et nende infoturbe meetmed vastavad nõuetele.

Ametlikud allikad ja ressursid

Kõik E-ITSiga seotud materjalid on koondatud portaali eits.ria.ee. Riigi Infosüsteemi Amet pakub erinevaid juhendmaterjale, mis aitavad standardit mõista ja rakendada.

Standardi täielik tekst koos nõuetega on avaldatud Riigi Teatajas. See on peamine allikas E-ITSi nõuete ja rakendamise kohta.

Kuidas Pro IT saab aidata?

Pro IT pakub mitmekülgset tuge E-ITSi rakendamisel ja sertifitseerimisel:

  1. Valmisoleku hindamine – hinnatakse organisatsiooni olemasolevaid infoturbe protsesse ja võimekust
  2. Ajakava ja ressursside planeerimine – aidatakse koostada realistlik ajakava ja eelarve
  3. Dokumentatsiooni koostamine – toetatakse vajaliku dokumentatsiooni loomisel
  4. Riskianalüüs – viiakse läbi põhjalik riskianalüüs ja aidatakse valida sobivad maandamismeetmed
  5. Turvameetmete rakendamine – juurutatakse tehnilised ja organisatsioonilised turvameetmed
  6. Auditiks ettevalmistus – aidatakse valmistuda auditiks ja kõrvaldada võimalikud mittevastavused

Pro IT pakub ka ettevalmistust sertifitseerimiseks, mis hõlmab kõiki vajalikke etappe sertifikaadi saamiseks. Lisaks sellele aitavad meie eksperdid tagada infosüsteemide turvalisuse läbi kaasaegsete tehniliste lahenduste ja parimate praktikate.

Kokkuvõte

E-ITS on oluline samm Eesti organisatsioonide infoturbe taseme tõstmisel. Standardi rakendamine aitab organisatsioonidel luua süsteemse lähenemise infoturbe haldamisele, maandada riske ning kaitsta olulisi andmeid ja süsteeme.

Edukas rakendamine võimaldab organisatsioonidel paremini hallata riske, suurendada usaldust ja täita regulatiivseid nõudeid. Kuigi protsess võib olla keerukas, on tulemuseks tugevam infoturbe tase ja parem valmisolek küberohtudega toimetulekuks.

Kogu protsessi võtmeteguriteks on juhtkonna toetus, piisavad ressursid, kogu organisatsiooni kaasamine ning vajadusel koostöö kogenud ekspertidega. Pro IT on valmis teid selles protsessis toetama, pakkudes professionaalseid lahendusi ja teenuseid E-ITSi nõuetele vastavuse saavutamiseks ja säilitamiseks.