IT AUDITID
IT auditi käigus hinnatakse infosüsteemidega seotud riske, tehakse tähelepanekuid puuduste kohta ja esitatakse soovitused puuduste kõrvaldamiseks.
Teostame IT juhtimise, IT arendusprojektide, ISO27001 auditeid ja IT auditeid mitmete muude standardite baasil.
ISO27001 audit
ISO27001 on maailmas üks enim kasutatav infoturbe juhtimise standardeid. “ISO/IEC 27001 Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded” standard kirjeldab nõuded infoturbe halduse süsteemi rajamiseks, evituseks, käigushoiuks ja pidevaks täiustamiseks.
Infoturbe halduse süsteemi kasutuselevõtt on üks organisatsiooni strateegilisi otsuseid. ISO27001 sisaldab nõudeid organisatsiooni infoturvariskide hindamiseks ja nende vähendamiseks. Selles standardis püstitatud nõuded on suhteliselt üldised ja universaalsed ning need on sobivad kõigile organisatsioonidele, sõltumata nende tüübist, suurusest või iseloomust.
ISO27001 auditi käigus hindavad meie audiitorid, kas organisatsioon vastab standardi nõuetele ja kas organisatsioon tegutseb vastavalt kehtestatud poliitikatele, protseduuridele ja välistele nõuetele.
ISO27001 audit on sobilik organisatsioonidele, kes soovivad teada, mis seisus ollakse infoturbe halduse korraldamisel ja tagamisel. Samas võivad ISO27001 auditi tellida asutused, kes on alles alustamas süstemaatiliselt infoturbe valdkonna korraldamist ja soovivad teada, millest alustada või millele enam tähelepanu pöörata.
E-ITS-i eelaudit
Eelauditi käigus hinnatakse, kas organisatsioon on valmis E-ITS auditiks. Eelauditi tulemusena kinnitab IT-audiitor organisatsiooni valmisolekut E-ITS auditi teostamiseks või esitab soovitused auditi eelduste täitmiseks.
E-ITS-i audit
Eesti infoturbestandard (edaspidi E-ITS) on Riigi Infosüsteemi Ameti poolt välja töötatud standard infoturbe tagamiseks avalikus ja erasektoris. E-ITS-i aluseks on Saksa BSI (Bundesamt für Sicherheit in der Informationstechnik) IT-Grundschutz etalonturbe raamistik.
Infosüsteemide turvalisuse tagamiseks järgib teenuse osutaja Eesti infoturbestandardit ja rakendab sellest tulenevaid turvameetmeid. E-ITS-i nõudeid tuleb järgida infoturbe halduse käivitamisel, rakendamisel, käigushoidmisel ja täiustamisel.
E-ITS-i audit on IT-audiitori teostatav infoturbe halduse süsteemi ja infoturbe protsesside läbivaatus, asitõendite kogumine ja asitõendite objektiivne hindamine E-ITS-i auditi aruande koostamiseks. Audit aitab tuvastada nõrkusi, määratleda parendusvõimalusi ning tõsta infoturbe taset vastavalt kehtivatele nõuetele ja parimatele praktikatele. E-ITS-i rakendamise auditeerimisel lähtume auditeerimisjuhendis kirjeldatud juhistest.
DORA audit
DORA (Digital Operational Resilience Act) on Euroopa Liidu õiguslik raamistik finantsüksuste digitaalse tegevuse vastupanuvõime tugevdamiseks. Määruse eesmärk on tagada, et finantssektor suudaks vastu pidada erinevat tüüpi IKT-ga seotud häiretele ja ohtudele, neile reageerida ja neist taastuda.
Digitaalse tegevuskerksuse ühtlaselt kõrge taseme saavutamiseks sätestatakse määruses ühetaolised nõuded, mis käsitlevad finantssektori ettevõtjate äriprotsesse toetavate võrgu- ja infosüsteemide turvalisust.
Nõuded puudutavad muuhulgas järgmisi asjaolusid:
- info- ja kommunikatsioonitehnoloogia (IKT) riskide juhtimist,
- pädevate asutuste teavitamist tõsistest IKT intsidentidest ja vabatahtlikkuse alusel olulistest küberohtudest,
- pädevate asutuste teavitamist tegevust või turvalisust mõjutavatest maksetega seotud tõsistest intsidentidest,
- digitaalse tegevuskerksuse testimist,
- küberohte ja -nõrkust puudutava teabe ja teadmuse jagamist,
- meetmeid kolmandast isikust tuleneva IKT-riski usaldusväärseks juhtimiseks.
Auditi sisu:
- Vastavuse hindamine
Analüüsime teie ettevõtte protsesse, tehnoloogiat ja IT-taristut, et tuvastada vastavus DORA nõuetele. Selgitame välja võimalikud puudused ja kitsaskohad. - Riskide ja ohutegurite analüüs
Hindame teie organisatsiooni valmisolekut toime tulla küberrünnakute, süsteemirikete ja muude operatsiooniliste häiretega, pakkudes selgeid soovitusi riskide maandamiseks. - Kriitiliste süsteemide ja tarnijate hindamine
Kaardistame teie kriitilised IT-süsteemid ja kolmandate osapoolte teenused, hinnates nende turvalisust ja vastupidavust vastavalt DORA standarditele. - Jätkusuutlikkuse ja taasteplaanide läbivaatamine
Kontrollime teie ärikriitiliste funktsioonide taastumisplaane (disaster recovery) ja pidevust tagavaid protsesse, et need vastaksid regulatiivsetele nõuetele. - Soovituste ja tegevuskava koostamine
Loome konkreetse ja teostatava tegevuskava, mis aitab teie organisatsioonil saavutada ja säilitada DORA-ga vastavus.
Määrus jõustub alates 17. jaanuarist 2025.
Füüsilise turvalisuse audit
Meie füüsilise turvalisuse auditi pakub teie organisatsiooni või objekti turvalisuse terviklikku hindamist. Audit keskendub nii olemasolevate turvasüsteemide ja -protsesside analüüsimisele kui ka võimalike riskiallikate tuvastamisele, et tagada maksimaalne kaitse teie vara, personali ja külastajate jaoks.
Auditi sisu:
- Turvalisuse olukorra kaardistamine
Auditi käigus analüüsime teie objekti füüsilist turvataset, alates perimeetri kaitsest kuni juurdepääsu haldamiseni. - Turvasüsteemide hindamine
Kontrollime ja hindame olemasolevaid turvasüsteeme, sealhulgas valvekaamerad, häiresüsteemid, valgustus ja ligipääsukontroll. - Riskide ja haavatavuste analüüs
Kaardistame võimalikud turvariskid ja haavatavused, mis võivad ohustada teie objekti või vara turvalisust. - Töötajate ja protsesside hindamine
Hindame turvameetmete rakendamist ja töötajate teadlikkust turvalisusest, pakkudes vajadusel koolituste ja parenduste soovitusi. - Detailne aruandlus ja soovitused
Koostame põhjaliku raporti, mis sisaldab auditi tulemusi ja konkreetseid ettepanekuid turvalisuse tõstmiseks, olgu selleks uued tehnoloogilised lahendused, paremini toimivad protsessid või täiendavad füüsilise turvalisuse meetmed.
NÕUSTAMINE
Elutähtsa teenuse riskianalüüside ja toimepidevuse plaanide koostamine
Vastavalt Hädaolukorra seadusele peavad elutähtsa teenuse osutajad koostama elutähtsa teenuse toimepidevuse riskianalüüsi ja elutähtsa teenuse toimepidevuse tagamise plaani ning esitama need igal aastal elutähtsat teenust korraldavale asutusele.
Vastavalt Küberturvalisuse seadusele on teenuse osutaja turvameetmete rakendamisel kohustatud koostama süsteemi riskianalüüsi, määrama riskide realiseerumisel tekkiva küberintsidendi tagajärgede raskusastme ning kirjeldama küberintsidendi lahendamise meetmeid. Lisaks peab tagama dokumenteeritud süsteemi riskianalüüsi, turvaeeskirjade ja turvameetmete rakendamise kirjelduse olemasolu ja ajakohasuse.
Infoturbe korraldamine kasutades standardit ISO27001
ISO27001 on maailmas üks enim kasutatavaid standardeid infoturbealaste tegevuste korraldamisel. 2013 aastal ilmus sellest standardist uuendatud versioon. Enamike standardite kasutusele võtmine eeldab head planeerimist ja oskuslikku rakendamist.
Infoturve kasutades etalonturbe metoodikat
Etalonturve on turbemetoodika, mille eesmärgiks on identifitseerida ja rakendada vajalikud turvameetmed, et saavutada asjakohane ja aktsepteeritav infovarade turvalisus. Etalonturbe metoodikad on näiteks ISKE, E-ITS ja IT-Grundschutz. Kuna tegemist on suhteliselt mahukate standarditega, siis nende rakendamine eeldab veelgi paremat planeerimist ja tarka tegutsemist rakendamisel.
Infoturbe tagamine kasutades 18 kriitilist turvameedet
Sageli on infoturbe standardite rakendamine aeganõudev protsess. 18 kriitilist turvameedet on nn. kõrgema prioriteediga tehnilised meetmed, mille välja töötamisel on arvestatud enam levinud ja enim kahju tekitavate ründevektoritega. 18 kriitilist turvameedet on eelkõige tehnilised turvameetmed, mis peaks andma suhteliselt kiiresti tulemusi. Lisaks nende rakendamisele on jätkuvalt vajalik asjakohane infoturbealane programm, mis sisaldab endas infoturbealaseid poliitikaid ja kordasid, personaliga seotud meetmeid, füüsilise turvalisusega seotud asjaolusid jmt.
18 kriitilist turvameedet https://www.cisecurity.org/controls/cis-controls-list
DORA rakendamine
DORA (Digital Operational Resilience Act) on Euroopa Liidu õiguslik raamistik finantsüksuste digitaalse tegevuse vastupanuvõime tugevdamiseks. Määruse eesmärk on tagada, et finantssektor suudaks vastu pidada erinevat tüüpi IKT-ga seotud häiretele ja ohtudele, neile reageerida ja neist taastuda.
Digitaalse tegevuskerksuse ühtlaselt kõrge taseme saavutamiseks sätestatakse määruses ühetaolised nõuded, mis käsitlevad finantssektori ettevõtjate äriprotsesse toetavate võrgu- ja infosüsteemide turvalisust.
Nõuded puudutavad muuhulgas järgmisi asjaolusid:
- info- ja kommunikatsioonitehnoloogia (IKT) riskide juhtimist,
- pädevate asutuste teavitamist tõsistest IKT intsidentidest ja vabatahtlikkuse alusel olulistest küberohtudest,
- pädevate asutuste teavitamist tegevust või turvalisust mõjutavatest maksetega seotud tõsistest intsidentidest,
- digitaalse tegevuskerksuse testimist,
- küberohte ja -nõrkust puudutava teabe ja teadmuse jagamist,
- meetmeid kolmandast isikust tuleneva IKT-riski usaldusväärseks juhtimiseks.
Määrus jõustub alates 17. jaanuarist 2025.
Infoturbejuhi teenus
Igas asutuses on terve hulk infoturbe alaseid tegevusi, mille eest peaks vastutama konkreetne inimene. Eriti oluline on see asutustes, kus teenuste osutamine või millegi tootmine sõltuvad infosüsteemidest. Alati ei pea palkama selleks inimest asutusse tööle, vaid infoturbe korraldamise ja vastavad tegevused saab teenusena sisse osta. Infoturbejuht tagab infoturvet reguleerivate juhiste olemasolu, elluviimise ja ajakohastamise, korraldab organisatoorsete, füüsiliste ja infotehniliste infoturbemeetmete rakendamist või asjaomase teenuse tellimist, kontrollib infoturvet reguleerivate juhiste täitmist, hindab asutuse infoturbe tõhusust ning koostab sellekohaseid raporteid juhtkonnale, osaleb asutuse arendus- või IT-nõukogu töös ja infosüsteemide arendusprojektides ning nõustab infoturbe riskide hindamisel, uute turvameetmete loomisel või olemasolevate parendamisel, juurutab asutuses turvaintsidentide haldamise korra, korraldab infosüsteemide valmisoleku hädaolukordadeks ning taasteplaani koostamise, teavitab töötajaid turvareeglitest, nõustab neid infoturbealaselt ning vajaduse korral korraldab asutuse töötajatele koolitusi üldise turvateadlikkuse tõstmiseks.
Füüsilise turvalisuse alane nõustamine
Infoturbe meetmete rakendamisest on vähe kasu, kui samal ajal ei pöörata tähelepanu füüsilise turvalisuse meetmetele. Ettevõttes võivad küll olla paigaldatud ja konfigureeritud väga head tulemüüri, IDS/IPS, viirustõrje süsteemid, kuid sellest on vähe kasu, kui serveriruumi uks on lahti, serveriruumi ei valvestata või seal puuduvad vajalikud seadmed ja andurid. Meie füüsilise turvalisuse alane nõustamisteenus on loodud selleks, et aidata ettevõtetel luua ja säilitada turvaline keskkond. Professionaalse ja põhjaliku analüüsi kaudu hindame teie praegust turvataset ning pakume praktilisi ja efektiivseid lahendusi teie vara, personali ja ruumide kaitsmiseks.