Autor: KPMG IT auditi valdkonna juht Ivar Anton
Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alternatiiv on rakendada ISO 27001 standardit). Selle peamine eesmärk on tõsta Eestis infoturbe ehk kaitsevõimekuse taset.
E-ITS-i peavad järgima avaliku sektori organisatsioonid, elutähtsa ja olulise teenuse osutajad (ETO-d ja OTO-d) ning teised küberturvalisuse seaduses välja toodud organisatsioonid.
Kõik need asutused peavad 2025. aasta lõpuks läbi viima E-ITS põhiauditi ning läbiviidud auditi järeldusotsus tuleb edastada Riigi Infosüsteemi Ametile (RIA) 30 päeva jooksul selle kättesaamisest. Kokku kehtib see nõue hinnanguliselt 1200 organisatsioonile. Nimetatud auditite läbiviimine ei ole omaette eesmärk, vaid üks osa infoturbest.
Palju on küsitud, kui kaua aega läheb E-ITS auditi tegemiseks. Ajakulu sõltub peamiselt standardis sätestatud kaitsetarbest, millest sõltub meetmete ehk infoturbe kontrollide arv, mida tuleb auditeerida. Mida kõrgem kaitsetarve, seda rohkem kontrolle peab asutus rakendama.
Kuna KPMG alustas E-ITS auditeerimist 2024. aasta teises pooles, on hetkel veel keeruline keskmist auditile kuluvat aega ning hinnaklassi välja tuua. Tasub meeles pidada, et E-ITS auditi tellimine tähendab kolmeaastast lepingut.
KPMG soovitab alustada auditite planeerimist ja tellimist piisava ajavaruga, et jääks aega kõikide vajalike protsesside põhjalikuks läbiviimiseks. Tuleb meeles pidada, et IT audiitoritel tuleb järgmine aasta töine ning sobiva audiitori leidmine võib keeruline olla, eriti arvestades, et esimese aasta põhiauditi läbiviimine on küllaltki ajamahukas. KPMG-l on selleks vajalik ressurss olemas.
Paljud asutused ei ole auditiks valmis
Tänane reaalsus on kahjuks see, et paljud Eesti asutused tegelevad veel E-ITS juurutamisega ning ei ole auditiks valmis. Seda põhjusel, et mitmete Eesti riigiasutuste jaoks on nii detailne infoturbe standardi juurutamine esmakordne.
Kõigi E-ITS auditite läbiviimine 2025. aasta lõpuks tundub küllatki ebarealistlik eesmärk, kui teha need vajalikus mahus. Eesti turul puudub piisav arv pädevaid IT audiitoreid, kes vastavad RIA E-ITS auditeerimisjuhendis väljatoodud nõuetele ning kellel on varasem auditite läbiviimise kogemus. Siin peaks riik välja pakkuma lahenduse, kuidas antud olukord lahendada. Vastasel korral on oht, et auditeid hakatakse läbi viima kiirkorras, ainult kontrollnimekirja põhiselt ning meetmeid ei kontrollita nõuetekohaselt. Selline audit ei anna asutusele väärtust ega ole abiks infoturbe olukorra parendamisel.
Võib küsida, et kas E-ITS auditi nõudele võiks mõnede organisatsioonide puhul läheneda paindlikumalt. Siin on oluline aru saada, et väikesed asutused nagu nt perearstikeskused ei vaja samas mahus infoturbe meetmeid nagu ministeeriumid. Meetmeid tuleks rakendada riskianalüüsi hindamise tulemuste põhiselt. Kui perearstikeskuses on 10 töötajat, kellest enamus on meditsiinivaldkonna töötajad ning IT-teenust ostetakse sisse, on väga keeruline rakendada infoturbe meetmeid, kuna asutuses puudub vastav kompetents ning teenust tuleb sisse osta. Enamus asutusi pole seda enda eelarves arvestanud või käib see neil rahaliselt üle jõu.
Juurutamisega tuleks alustada kohe
Kõikides asutustes, kes on E-ITS-i rakendamise kohuslased, tuleks alustada E-ITS standardi juurutamist nii pea kui võimalik. RIA E-ITS portaalis on palju informatsiooni ning nõuded on lahti kirjutatud, millised on ootused.
Alustada tuleks riskianalüüsist ning kaardistada oma olulisemad infovarad. Kui asutuses puudub kompetents või vajalik inimressurss tegevuste läbi viimiseks, tuleks otsida välist abi antud tegevusteks. Infoturvet saab rakendada etappide kaupa ning esmane eesmärk 2025.aastal võiks olla asutuses infoturbe esmane baastasemel rakendamine.
Auditi käigus saadud soovitused ja tähelepanekud tuleks vormistada edasiseks infoturbe rakendamise parendamise tegevuskavaks. Kindlasti tasub silmas pidada, et infoturbe rakendamine ei ole ühekordne tegevus, vaid pidev protsess, millega tuleb jooksvalt tegeleda.
Loe lisaks: küberaudit.ee.
