KPMG: kuidas tagada organisatsiooni vastavus Eesti infoturbestandardile?

KPMG IT auditi valdkonna juht Ivar AntonFoto: Jake Farra

KPMG IT auditi valdkonna juht Ivar Anton ja KPMG küberturvalisuse valdkonna juht Mihkel Kukk kirjutavad sellest, et Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele Eesti infoturbestandard ehk E-ITS (alternatiiv on rakendada ISO 27001 standardit). Infoturbestandardi rakendamise nõude peamine eesmärk on tõsta Eestis infoturbe ehk kaitsevõimekuse taset. 

E-ITS pole lihtsalt juhend, vaid oluline tööriist, mis aitab kaitsta organisatsiooni andmeid, tõsta usaldusväärsust ja täita seadusest tulenevaid nõudeid. Kuid ilma hoolika ettevalmistuseta võib teekond standardi rakendamisel osutuda kulukaks, aeganõudvaks ja takistusterohkeks.

Eestis on E-ITS rakendamine kohustuslik enam kui 3500 asutusele ja organisatsioonile

E-ITS-i peavad järgima avaliku sektori organisatsioonid, elutähtsa ja olulise teenuse osutajad (ETO-d ja OTO-d) ning teised küberturvalisuse seaduses välja toodud organisatsioonid. Kõik need asutused peavad 2025. aasta lõpuks läbi viima E-ITS põhiauditi ning läbiviidud auditi järeldusotsus tuleb edastada Riigi Infosüsteemi Ametile (RIA) 30 päeva jooksul selle kättesaamisest.

E-ITS rakendamise ja auditeerimise kohustus tuleneb KüTSist ja selle rakendusaktist „Võrgu- ja infosüsteemide küberturvalisuse nõuded“.

Miks on infoturbestandardi järgimine oluline? 

Kujutage ette, et organisatsiooni süsteemid satuvad küberrünnaku alla. Ilma läbimõeldud protsesside ja vastavuses olevate meetmeteta võivad tagajärjed ulatuda kaugemale rahalistest kahjudest – kahjustada võib saada ettevõtte maine ja kaduda klientide usaldus.

Lisaks ähvardavad seadusest tulenevad trahvid, mis võivad ulatuda kümnete tuhandete eurodeni. Siin tulebki mängu E-ITS, mis aitab vältida selliseid stsenaariume ja luua kindla aluse jätkusuutlikule äritegevusele.

KPMG küberturvalisuse valdkonna juht Mihkel Kukk.Foto: Jake Farra

Kas valida ISO 27001 või E-ITS? 

Mõlemal standardil on oma eelised. ISO 27001 on rahvusvaheliselt tunnustatud standard ja keskendub strateegilisele infoturbejuhtimisele, kuid E-ITS pakub detailsemaid juhiseid ja on kohandatud Eesti õigusruumile. Valik sõltub konkreetse organisatsiooni vajadustest ja ressurssidest. Valikut aitab teha teadmine, mida ootavad ja millist standardit rakendavad organisatsiooni koostööpartnerid.

Vastavalt KüTSile ei kohaldata E-ITS rakendamise nõuet, kui organisatsiooni rakendatud turvameetmed vastavad rahvusvahelise standardi ISO/IEC 27001 kehtestatud nõuetele ning vastavussertifikaat on esitatud haldusjärelevalve teostajale (RIA). Ent siiski võib tekkida olukord, kus tuleb teha kaardistus E-ITS rakendatud meetmete osas ISO standardi kontrollidele.

Paljud asutused ei ole auditiks valmis

Tänane reaalsus on kahjuks see, et paljud Eesti asutused tegelevad veel E-ITS juurutamisega ning ei ole auditiks valmis. Seda põhjusel, et mitmete Eesti riigiasutuste jaoks on nii detailne infoturbe standardi juurutamine esmakordne ning tuleb teha koostööd teiste riigiasutustega, mis võtab aega. 

Kõikides asutustes, kes on E-ITS-i rakendamise kohuslased, tuleks alustada E-ITS standardi juurutamist nii pea kui võimalik. Kui asutus ei ole varasemalt olnud E-ITS kohuslane, siis tuleb alustada E-ITS rakendamist 6 kuu jooksul alates määruse jõustumise kuupäevast. Tuleb koostada konkreetne tegevusplaan standardi rakendamiseks ning E-ITS põhiaudit peab olema asutusel läbitud 2025. a. lõpuks.

Kuidas edasi liikuda? 

Juurutamisega tuleks alustada kohe ning alustada tuleks riskianalüüsist ja kaardistada organisatsiooni olulisemad infovarad. Kui organisatsiooni siseselt puudub kompetents või vajalik inimressurss tegevuste läbi viimiseks, tuleks kaasata välist abi. 

Infoturvet saab rakendada etappide kaupa ning esmane eesmärk 2025.aastal võiks olla organisatsioonis infoturbe esmane baastasemel rakendamine. Auditi käigus saadud soovitused ja tähelepanekud tuleks vormistada edasiseks infoturbe rakendamise parendamise tegevuskavaks. Kindlasti tasub silmas pidada, et infoturbe rakendamine ei ole ühekordne tegevus, vaid pidev protsess, millega tuleb jooksvalt tegeleda.

Kuigi E-ITS võib esmapilgul tunduda kulukas investeering, tasub see end pikemas perspektiivis ära. Hästi rakendatud standard vähendab küberrünnakute riski ja hoiab ära suuremad rahalised kaotused ning juriidilised väljakutsed.

Professionaalse partneri kaasamine aitab luua selge teekaardi, rakendada õigeid strateegiaid ja kaasata vajalikke valdkonna spetsialiste. KPMG küberturbe eksperdid ja IT audiitorid on olnud paljudele organisatsioonidele väärtuslik tugi standardi rakendamisel. Loe lähemalt: KPMG Küberaudit ja E-ITS konsultatsioon

Märksõnad: , , , , ,
Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas spetsiaalne DigiPRO liikmetele tehtud uudiskiri, et sa midagi olulist maha ei magaks.