IT AUDITID
IT auditi käigus hinnatakse infosüsteemidega seotud riske, tehakse tähelepanekuid puuduste kohta ja esitatakse soovitused puuduste kõrvaldamiseks.
Teostame IT juhtimise, IT arendusprojektide, ISO27001 auditeid ja IT auditeid mitmete muude standardite baasil.
ISO27001 audit
ISO27001 on maailmas üks enim kasutatav infoturbe juhtimise standardeid. “ISO/IEC 27001 Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded” standard kirjeldab nõuded infoturbe halduse süsteemi rajamiseks, evituseks, käigushoiuks ja pidevaks täiustamiseks.
Infoturbe halduse süsteemi kasutuselevõtt on üks organisatsiooni strateegilisi otsuseid. ISO27001 sisaldab nõudeid organisatsiooni infoturvariskide hindamiseks ja nende vähendamiseks. Selles standardis püstitatud nõuded on suhteliselt üldised ja universaalsed ning need on sobivad kõigile organisatsioonidele, sõltumata nende tüübist, suurusest või iseloomust.
ISO27001 auditi käigus hindavad meie audiitorid, kas organisatsioon vastab standardi nõuetele ja kas organisatsioon tegutseb vastavalt kehtestatud poliitikatele, protseduuridele ja välistele nõuetele.
ISO27001 audit on sobilik organisatsioonidele, kes soovivad teada, mis seisus ollakse infoturbe halduse korraldamisel ja tagamisel. Samas võivad ISO27001 auditi tellida asutused, kes on alles alustamas süstemaatiliselt infoturbe valdkonna korraldamist ja soovivad teada, millest alustada või millele enam tähelepanu pöörata.
DORA audit
DORA (Digital Operational Resilience Act) on Euroopa Liidu õiguslik raamistik finantsüksuste digitaalse tegevuse vastupanuvõime tugevdamiseks. Määruse eesmärk on tagada, et finantssektor suudaks vastu pidada erinevat tüüpi IKT-ga seotud häiretele ja ohtudele, neile reageerida ja neist taastuda.
Digitaalse tegevuskerksuse ühtlaselt kõrge taseme saavutamiseks sätestatakse määruses ühetaolised nõuded, mis käsitlevad finantssektori ettevõtjate äriprotsesse toetavate võrgu- ja infosüsteemide turvalisust.
Nõuded puudutavad muuhulgas järgmisi asjaolusid:
- info- ja kommunikatsioonitehnoloogia (IKT) riskide juhtimist,
- pädevate asutuste teavitamist tõsistest IKT intsidentidest ja vabatahtlikkuse alusel olulistest küberohtudest,
- pädevate asutuste teavitamist tegevust või turvalisust mõjutavatest maksetega seotud tõsistest intsidentidest,
- digitaalse tegevuskerksuse testimist,
- küberohte ja -nõrkust puudutava teabe ja teadmuse jagamist,
- meetmeid kolmandast isikust tuleneva IKT-riski usaldusväärseks juhtimiseks.
Määrus jõustub alates 17. jaanuarist 2025.
NÕUSTAMINE
Elutähtsa teenuse riskianalüüside ja toimepidevuse plaanide koostamine
Vastavalt Hädaolukorra seadusele peavad elutähtsa teenuse osutajad koostama elutähtsa teenuse toimepidevuse riskianalüüsi ja elutähtsa teenuse toimepidevuse tagamise plaani ning esitama need igal aastal elutähtsat teenust korraldavale asutusele.
Vastavalt Küberturvalisuse seadusele on teenuse osutaja turvameetmete rakendamisel kohustatud koostama süsteemi riskianalüüsi, määrama riskide realiseerumisel tekkiva küberintsidendi tagajärgede raskusastme ning kirjeldama küberintsidendi lahendamise meetmeid. Lisaks peab tagama dokumenteeritud süsteemi riskianalüüsi, turvaeeskirjade ja turvameetmete rakendamise kirjelduse olemasolu ja ajakohasuse.
Infoturbe korraldamine kasutades standardit ISO27001
ISO27001 on maailmas üks enim kasutatavaid standardeid infoturbealaste tegevuste korraldamisel. 2013 aastal ilmus sellest standardist uuendatud versioon. Enamike standardite kasutusele võtmine eeldab head planeerimist ja oskuslikku rakendamist.
Infoturve kasutades etalonturbe metoodikat
Etalonturve on turbemetoodika, mille eesmärgiks on identifitseerida ja rakendada vajalikud turvameetmed, et saavutada asjakohane ja aktsepteeritav infovarade turvalisus. Etalonturbe metoodikad on näiteks ISKE, E-ITS ja IT-Grundschutz. Kuna tegemist on suhteliselt mahukate standarditega, siis nende rakendamine eeldab veelgi paremat planeerimist ja tarka tegutsemist rakendamisel.
Infoturbe tagamine kasutades 18 kriitilist turvameedet
Sageli on infoturbe standardite rakendamine aeganõudev protsess. 18 kriitilist turvameedet on nn. kõrgema prioriteediga tehnilised meetmed, mille välja töötamisel on arvestatud enam levinud ja enim kahju tekitavate ründevektoritega. 18 kriitilist turvameedet on eelkõige tehnilised turvameetmed, mis peaks andma suhteliselt kiiresti tulemusi. Lisaks nende rakendamisele on jätkuvalt vajalik asjakohane infoturbealane programm, mis sisaldab endas infoturbealaseid poliitikaid ja kordasid, personaliga seotud meetmeid, füüsilise turvalisusega seotud asjaolusid jmt.
18 kriitilist turvameedet https://www.cisecurity.org/controls/cis-controls-list
DORA rakendamine
DORA (Digital Operational Resilience Act) on Euroopa Liidu õiguslik raamistik finantsüksuste digitaalse tegevuse vastupanuvõime tugevdamiseks. Määruse eesmärk on tagada, et finantssektor suudaks vastu pidada erinevat tüüpi IKT-ga seotud häiretele ja ohtudele, neile reageerida ja neist taastuda.
Digitaalse tegevuskerksuse ühtlaselt kõrge taseme saavutamiseks sätestatakse määruses ühetaolised nõuded, mis käsitlevad finantssektori ettevõtjate äriprotsesse toetavate võrgu- ja infosüsteemide turvalisust.
Nõuded puudutavad muuhulgas järgmisi asjaolusid:
- info- ja kommunikatsioonitehnoloogia (IKT) riskide juhtimist,
- pädevate asutuste teavitamist tõsistest IKT intsidentidest ja vabatahtlikkuse alusel olulistest küberohtudest,
- pädevate asutuste teavitamist tegevust või turvalisust mõjutavatest maksetega seotud tõsistest intsidentidest,
- digitaalse tegevuskerksuse testimist,
- küberohte ja -nõrkust puudutava teabe ja teadmuse jagamist,
- meetmeid kolmandast isikust tuleneva IKT-riski usaldusväärseks juhtimiseks.
Määrus jõustub alates 17. jaanuarist 2025.
Infoturbejuhi teenus
Igas asutuses on terve hulk infoturbe alaseid tegevusi, mille eest peaks vastutama konkreetne inimene. Eriti oluline on see asutustes, kus teenuste osutamine või millegi tootmine sõltuvad infosüsteemidest. Alati ei pea palkama selleks inimest asutusse tööle, vaid infoturbe korraldamise ja vastavad tegevused saab teenusena sisse osta. Infoturbejuht tagab infoturvet reguleerivate juhiste olemasolu, elluviimise ja ajakohastamise, korraldab organisatoorsete, füüsiliste ja infotehniliste infoturbemeetmete rakendamist või asjaomase teenuse tellimist, kontrollib infoturvet reguleerivate juhiste täitmist, hindab asutuse infoturbe tõhusust ning koostab sellekohaseid raporteid juhtkonnale, osaleb asutuse arendus- või IT-nõukogu töös ja infosüsteemide arendusprojektides ning nõustab infoturbe riskide hindamisel, uute turvameetmete loomisel või olemasolevate parendamisel, juurutab asutuses turvaintsidentide haldamise korra, korraldab infosüsteemide valmisoleku hädaolukordadeks ning taasteplaani koostamise, teavitab töötajaid turvareeglitest, nõustab neid infoturbealaselt ning vajaduse korral korraldab asutuse töötajatele koolitusi üldise turvateadlikkuse tõstmiseks.
Füüsilise turvalisuse alane nõustamine
Infoturbe meetmete rakendamisest on vähe kasu, kui samal ajal ei pöörata tähelepanu füüsilise turvalisuse meetmetele. Ettevõttes võivad küll olla paigaldatud ja konfigureeritud väga head tulemüüri, IDS/IPS, viirustõrje süsteemid, kuid sellest on vähe kasu, kui serveriruumi uks on lahti, serveriruumi ei valvestata või seal puuduvad vajalikud seadmed ja andurid.