Info- ja küberturvalisusega seotud integreeritud juhtimissüsteemid

Sageli on ettevõtetel puudulikud info- ja küberturvalisusega seotud juhtimissüsteemid, mõnel juhul puuduvad need sootuks. See on põhjus, miks vajalikke infoturbe meetmeid ei rakendata õigeaegselt – kas puuduvad vajalikud otsustusprotsessid, analüüs ei ole läbi viidud, tegevusi ei kavandata ette, ennetusmeetmeid ei rakendata, vajalikud teadmised puuduvad vms. Põhjuseks võib olla ka asjaolu, et juhtimissüsteeme peetakse liiga keeruliseks, puudub arusaamine ennetavast infoturbest või pole lihtsalt töötajatel ega juhtkonnal piisavalt teadmisi. Segane pilt võib välja näha selline:

juhtimissüsteemi segane pilt

Kaosest korrani

Minu ettepanek on luua, rakendada ja kasutada ühte head infoturbe juhtimissüsteemi (ISMS), luua selle sees asjakohane küberturvalisuse programm, kasutada selleks parimaid praktikaid ja täiustada juhtimissüsteemi pidevalt vastavalt uutele seadustele ja määrustele (nt üldine andmekaitsemäärus – GDPR, võrgu- ja infosüsteemide turvalisuse direktiiv (NIS-direktiiv) jne), vastavalt tegelikele turvaintsidentidele (mitte ainult organisatsioonis sees toimuvatele vaid ka väljaspool toimuvatele), vastavalt uutele info- ja küberjulgeoleku ohtudele küberruumis ja integreerida erinevad juhtimissüsteemid nagu näiteks IT-teenuste juhtimine ja äritegevuse järjepidevuse tagamine – standardsed võimalused selleks on juba olemas.

Integreerimise eesmärk on liikuda kaosest korrani ja selle jaoks on suurepärane võimalus kasutada ISO-põhiseid integreeritud juhtimissüsteeme. Minu arvates on integreeritud lähenemisviisi rakendamine palju tõhusam võrreldes korratusega. Näiteks ISO 27001-l põhineva infoturbe juhtimissüsteemi ehitamisel saate kasutada IT-riskide juhtimiseks ISO 27005 parimaid praktikaid ja turbekontrollide rakendamiseks ISO 27002 praktikaid. Juhtimissüsteemi saab täiendada intsidentide haldamise põhimõtete rakendamisega vastavalt ISO 27035 standardile, lisada küberturvalisuse juhtimise põhimõtted ISO 27032 standardi järgi – kindlasti annab selline lähenemisviis rohkem kindlust asutusele tervikuna ja aitab ennetada info- ja küberturvalisuse intsidente ning nendest põhjustatud kahju asutusele. Ja kõrgemal tasemel saab näiteks rakendada IT-teenuste haldust vastavalt ISO 20000 standardile ja võtta arvesse infoturbe (ISO 27001) ja talitluspidevuse (ISO 22301) aspekte integreeritud standarditest – selline lähenemine võib olla väga sobilik näiteks kriitilise teenuse pakkujatele või asutustele ja ettevõtetele, kus turvanõuded on karmimad. Korrastatud pilt võiks välja näha selline:

integreeritud juhtimissüsteemi standard

Integreeritud juhtimissüsteemide eelised

Esiteks annab integreeritud juhtimissüsteem tervikliku ülevaate info- ja küberturbe programmide loomisest ja rakendamisest. Kuna küberturve näib tihti olevat tehniline küsimus (räägitakse terminitest nagu rakenduse taseme kontroll, võrgu tasemel kontroll, autentimine, krüptimine, logimine, monitoorimine jne), siis standardiseeritud lähenemisviis ei unusta ka organisatoorseid (vajalikud otsused, poliitikad, protseduurid, andmete klassifitseerimise jms) ja inimlikke aspekte (teadlikkus, koolitus jms).

Teiseks selgitab integreeritud juhtimissüsteem väga põhjalikult erinevate juhtimissüsteemide ja praktikate integreerimist protsessi tasemel. Võite tugineda juba olemasolevale infoturbe juhtimissüsteemile ja otsida küberruumiga seotud parandusi läbi süsteemse küberturbe juhtimise, ilma korralikult toimiva riskianalüüsi ja juhtimiseta pole võimalik langetada vajalikke riskiotsused, küberturvalisuse kontrollid on tihti osaliselt kattuvad infoturbe kontrollidega, küberruumis pakutavate teenuste paremaks mõistmiseks peate aru saama teenuse juhtimissüsteemidest ja kriisiolukordade puhul peate arvestama et talitluspidevuse ja -taaste võimekus peab olema ennetavalt ette valmistatud.

küberturvalisus

Praktilised nõuanded

Esitan mõned praktikast väljakasvanud nõuanded millest võib enne alustamist abi olla:

  1. Turvalisus on eesmärk ja vastavus on tagajärg – kui te need ära vahetate siis tõenäoliselt ebaõnnestute;
  2. Standardiseeritud lähenemisviis annab teile mõistliku kindluse – ärge kunagi ajage segi kindlustusega;
  3. Standardite rakendamine on vabatahtlik mitte kohustuslik – seega kasutame standardeid võimalusena;
  4. Standard ei ütle, milline peab olema teie juhtimissüsteem – selle peate ise välja töötama ja rakendama;
  5. Standarditel on ainult mõned nõuded – ülejäänud on teie enda oma;
  6. Juhtimissüsteemide auditeerimise peamine eesmärk on neid parandada – enamikel juhtudel pakutakse muid eesmärke;
  7. Juhtimissüsteemide auditeerimise peamised küsimused peavad selgitama, kas süsteem toimib – mitte kui palju kontrolle rakendatakse;
  8. Kui standardne juhtimissüsteemi rakendamine näib tekitavat rohkem probleeme kui võimalusi – siis pole seda mõtet rakendada;
  9. Kui te ei suuda erinevaid juhtimissüsteeme ja protsesse sisemiselt integreerida – siis raiskate ressursse;
  10. Me kulutame koolitustel juhtimissüsteemi arutamiseks ühe nädala – proovige leida üks tund ja teha oma juhtkonnale ülevaade mis see on.

integreeritud juhtimissüsteemid

Teenused

Juba pakutakse terviklikku komplekti teenuseid Eestis alates juhtimissüsteemide koolitustest ning lõpetades audititega. Samuti on olemas sertifitseerimisteenused nii eraisikutele kui ka ettevõtetele.

Tutvu Andro koolitustega siin: https://nordickoolitus.ee/?s=andro+kull&post_type=mec-events 

a man named Andro Kull

PhD Andro Kull
ConsultIT Ltd., Member of Board
PECB Partner, Certified Trainer
CIS RM, CIS LI, CRISC, CISA, CISM, ABCP