ISO 27001 kehtestab reeglid infoturbele ettevõttes ning kätkeb peamiselt laiaulatuslikke nõudeid andmekaitsele ettevõttes. Andmed ise võivad olla nii digitaalsed kui ka füüsilisel kujul nt. paberil vms.
Mida täna ei alusta, seda pole võimalik homme lõpetada. Johann Wolfgang von Goethe.
Ja kuidas siis ikkagi juurutada standard? Standardit ise saab osta www.evs.ee
Kuna esimene võimalus on juurutada katse-eksituse meetodil, siis antakse ettevõttes kellegile ülesanne juurutada standardi nõuded. Kuna dokumenteerimise protsess on mahukas, siis kulutate seda tehes palju aega ja raha. Selle ajaga saaksite teha seda, mis on Teie tugevused.
Kuid teine meetod on konsultandi kaasamine, kes juhendaks teid nõuete rakendamise osas. See lähenemisviis tundub algselt kallim, kuid on ka kõige turvalisem, vähendades kulukate vigade riski.
Juurutame endale infoturbe ISO 27001 standardi nõuded
Alustades ettevõttes infoturbe süsteemi nõuete juurutamist võid arvestada järgmisi nõuandeid:
- Esimese etapina on soovitus hinnata ära standardinõuete vastavust ja ettevõtte hetkeseisu nõuete täitmise osas. Tulemuseks on aruanne, mille põhjal saab nimekirja puudustest. Seejärel määra puudustele vastutajad ja tähtajad.
- Koostada infosüsteemi protsesse puudutav dokumentatsioon ja alusta selle struktuuri loomisest.
Näiteks:
- Juhendid
- Riskid
- Eesmärgid
- Personal
- Varad
- Mittevastavused
- Koosolekud
- Auditid
ISO 27001 nõuetele vastavuse tagamiseks on vajalik kirjeldada järgmised teemad (alltoodud näited standardipunktide lõikes):
4.3 Infoturbe süsteemi rakendusala
5.2 Infoturbepoliitika
6.1.2 Infoturbe riskihindamise protsess
6.1.3 Infoturbe riski käsitlemise kava
6.1.3 Kohaldamisavaldus
6.2 Infoturbe eesmärgid;
7.2 Pädevuste tõendamine
8.2 Infoturbe riskihindamise ja käsitlemise tulemused
jne.
Dokumentatsioon peab sisaldama (standardi Annex-A alusel):
7.1.2 ja 13.2.4 Turvarollide ja vastutuse määratlus
8.1.1 Vara inventuuri
8.1.3 Vara kasutamise reegleid
8.2.1 Teabe klassifitseerimist
9.1.1 Juurdepääsu reegleid
12.1.1 Infotehnoloogia haldamise töökorda
14.2.5 Turvalise süsteemi tehnilisi reegleid
15.1.1 Töövõtjate turvareeglite haldust
16.1.5 Intsidentide likvideerimise korda
18.1.1 Seaduste-, regulatiivsete ja lepinguliste nõuete haldust
jne.
Infoturbega on seotud väga lai teemade ring ja seepärast on soovitus olla kõigega kursis või kasutada selleks spetsialiste.
Ligipääsetavus
Kasuta igal võimalusel kaheastmeslist autentimist (2FA/MFA). Alati peab olema pigem pisut paranoiline, sest täiesti võimalik on mõni vanem tootmisliin üle võtta lihtsate võtetega.
ISO 27001 füüsiline turvalisus
On oluline, et ettevõttes tuleb välistada andmete sattumist võõraste isikute kätte. Selleks on väga palju võimalusi (vabalt kontorisse ligipääs, serveri ruumi ligipääs, võimalik ligipääs võrgujuhtmetele jne.) Seepärast on nõue kirjeldada ettevõttes täpselt kuidas on tagatud füüsiline turvalisus.
Võimaus on esimese asjana kontrollida ja kirjeldada nõuded ettevõtte võrgule. Näiteks ligipääsetavus tootmisseadmetele, jahutuse kontrolleritele, nutikatele kohviaparaatidele, külaliste WiFi võrgule jne.
Kui olulised seadmed vajavad ligipääsu interneti kaudu, siis kindlasti peaks see toimuma krüpteeritud tunneli kaudu (VPN).
Kui täna saate ettevõttes kõik olla ilma arvutita nädal aega ja kõik toimib endiselt, siis on infoturbe riskid väikesed ning ISO 27001 süsteemi juurutamiseks pole vajadust aega kulutda.
Loe seniks teisi postitusi
Comments are closed.