Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Eesti infoturbestandard (E-ITS): juhised ja nõuded ettevõtetele

Eesti infoturbestandard (E-ITS) on kaasaegne infoturbejuhtimise raamistik, mis on muutunud oluliseks osaks Eesti ettevõtete ja organisatsioonide turvalisuse tagamisel. See artikkel tutvustab E-ITSi olemust, regulatiivseid nõudeid ja praktilisi soovitusi standardiga vastavuse saavutamiseks.

Mis on Eesti infoturbestandard (E-ITS)?

Eesti infoturbestandard (E-ITS) on eestikeelne ja Eesti õigusruumile vastav infoturbe käsitlemise alus, mis on loodud avalike ülesannete täitmiseks kasutatavate äriprotsesside ja infosüsteemide kaitse tagamiseks. Standard asendab varasema ISKE süsteemi ning põhineb rahvusvaheliselt tunnustatud infoturbehalduse standardil ISO/IEC 27001 ja Saksa etalonturbe süsteemil BSI IT-Grundschutz.

E-ITSi eesmärk on tõsta Eesti avaliku ja erasektori organisatsioonide infoturbe taset ning muuta turbe juhtimine süsteemseks. See on ISO 27001 kõrval üks kahest võimalikust infoturbehalduse standardist, mille juurutamine on kohustuslik teatud organisatsioonidele.

Riigi Infosüsteemi Amet (RIA) on välja töötanud eestikeelse juhendmaterjali standardile üleminekuks ning koondanud kõik E-ITSiga seonduvad materjalid portaali eits.ria.ee.

Viimased uuendused ja regulatiivsed nõuded

  1. detsembril 2022 avaldati Riigi Teatajas Eesti infoturbe standardi määrus, mis kehtestab küberturvalisuse seaduse paragrahv 7 lõike 5 ning Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 alusel teenuse osutajale kohustuse järgida E-ITSi nõudeid.

E-ITS on kohustuslik:

  • Organisatsioonidele, kes täidavad avalikke ülesandeid
  • Riigi infosüsteemide haldajatele
  • Elutähtsa teenuse osutajatele
  • Organisatsioonidele, kes kuuluvad NIS 2 direktiivi alla

Küberturvalisuse seadus vabastab kohustusest digitaalse teenuse osutajad, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ning kelle aasta bilansimaht või aastakäive ei ületa 10 miljonit eurot.

Mõju suurettevõtetele

Suurettevõtted, kes kuuluvad E-ITSi kohaldamisalasse, peavad rakendama infoturbe halduse süsteemi (ISMS), mis tegeleb infoturbe loomise, juurutamise, rakendamise, seire ja täiustamisega. See hõlmab süsteemset lähenemist riskide haldamisele, organisatsiooni varade kaitsmist ning vastavust seadustele ja regulatsioonidele. Samuti aitab see kasvatada usaldust klientide ja partnerite silmis ning tagab struktureeritud andmekaitse ja pideva parenduse.

E-ITSi rakendamine tekitab kohuslaste seas väljakutseid, kuna nõuab infoturbe juhtimist protsessipõhiselt. Peamised raskuskohad on mõistete "protsess" ja "teenus" defineerimisel ning protsesside tuvastamisel. Ettevõtted peavad sageli läbi mõtlema, kuidas struktureerida oma tegevused vastavalt standardi nõuetele.

Erisused väiksematele ettevõtetele

Kuigi väiksemad ettevõtted võivad olla vabastatud E-ITSi kohustuslikust rakendamisest, on siiski soovitatav kaaluda standardi vabatahtlikku järgimist. See parandab infoturbe taset, aitab vältida turvaintsidente ning loob struktureeritud lähenemise andmekaitsele.

Asutusel, kellel otsest E-ITSi rakendamise kohustust pole, kuid on vajadus tagada infoturbe, on soovitav kasutada Eesti oludele kohandatud, eestikeelset ja RIA poolt toetatud E-ITSi. See võib anda ka konkurentsieelise, näidates klientidele ja partneritele pühendumist andmekaitsele ja turvalisusele.

Väiksemad ettevõtted saavad standardi rakendamisel keskenduda oma põhiprotsessidele ja -varadele, ilma et peaksid rakendama kõiki turvameetmeid täies mahus.

Praktilised sammud vastavuse saavutamiseks

E-ITSi rakendamine on süstemaatiline protsess, mis hõlmab järgmisi samme:

  1. Ettevalmistus

    • Organisatsiooni infovarade kaardistamine
    • Projekti ulatuse määratlemine
    • Ressursside planeerimine
    • Projektimeeskonna moodustamine

  2. Riskianalüüs ja -juhtimine

    • Riskide tuvastamine ja hindamine
    • Turvameetmete valimine ja rakendamine
    • Riskide maandamise plaani koostamine

  3. Etalonturbe kataloogide rakendamine

    • Sobivate turvameetmete valimine
    • Turvameetmete rakendamine
    • Rakendamise ajakava koostamine

  4. Dokumentatsiooni koostamine

    • Infoturbe poliitikate väljatöötamine
    • Protseduuride dokumenteerimine
    • Tõendite kogumine vastavuse kohta

  5. Süsteemi juurutamine ja töötajate koolitamine

    • Turvateadlikkuse tõstmine
    • Rollidele vastavate vastutuste selgitamine
    • Regulaarsed koolitused

  6. Auditeerimine ja pidev täiustamine

    • Siseauditite läbiviimine
    • Mittevastuvuste kõrvaldamine
    • Pideva parendamise protsesside rakendamine

Suurettevõtete jaoks on soovitatav kasutada infoturbe halduse tööriistu, mis aitavad standardile vastavust saavutada ja säilitada. Need võivad hõlmata riskihindamise, vastavuse jälgimise ja auditite haldamise lahendusi.

Auditikriteeriumid ja tõendamine

E-ITSi auditeerimine jaguneb kolmeks etapiks:

  1. Põhiaudit – põhjalik hindamine, mis kontrollib kõiki süsteemi komponente
  2. Vaheaudit – perioodiline kontroll, mis keskendub varasemalt tuvastatud mittevastuvustele
  3. Järelaudit – kontroll, mis hindab, kas kõik mittevastuvused on kõrvaldatud

Auditite käigus kontrollitakse dokumentatsiooni olemasolu ja kvaliteeti, turvameetmete rakendamist, töötajate teadlikkust ja koolitust, intsidentidele reageerimise plaane ning varukoopiate tegemist ja taastamist.

Väiksemate ettevõtete puhul võib auditeerimiskohustus olla lihtsustatud või mittekohustuslik, kuid siseauditid on siiski soovitatavad infoturbe taseme parandamiseks ja nõrkuste tuvastamiseks.

Infoturbe süsteemi sertifitseerimine võib olla kasulik nii kohustuslike kui ka vabatahtlike järgijate jaoks, kuna see annab ametliku kinnituse vastavuse kohta.

Ametlikud ressursid ja tugi

E-ITSiga seonduvad materjalid on koondatud portaali eits.ria.ee. Riigi Infosüsteemi Amet (RIA) pakub juhendmaterjale ja tuge standardi rakendamiseks.

Pro IT pakub ettevõtetele tuge E-ITSi rakendamisel ja infoturbe süsteemi sertifitseerimisel, aidates:

  • Hinnata organisatsiooni valmisolekut
  • Koostada rakendamise ajakava
  • Dokumenteerida protsesse
  • Viia läbi riskianalüüse
  • Rakendada turvameetmeid
  • Valmistuda auditiks

Lisaks pakub Pro IT IT-hooldusteenuseid ja IT-nõustamist, mis võivad olla olulised E-ITSi nõuete täitmisel ja üldise infoturbe taseme tõstmisel.

Kokkuvõte

Eesti infoturbestandard (E-ITS) on oluline samm Eesti organisatsioonide infoturbe taseme tõstmisel. Kuigi standard on kohustuslik teatud organisatsioonidele, on selle vabatahtlik järgimine kasulik ka väiksematele ettevõtetele.

E-ITSi rakendamine nõuab süsteemset lähenemist, juhtkonna toetust ja kogu organisatsiooni kaasamist. Edukas rakendamine võimaldab organisatsioonidel paremini hallata riske, suurendada usaldust ja täita regulatiivseid nõudeid.

Kõige tõhusamaks rakendamiseks tasub kaaluda koostööd ekspertidega, kes suudavad pakkuda professionaalset tuge standardi juurutamisel ning aidata organisatsioonil saavutada ja säilitada vastavust E-ITSi nõuetele.