Sageli küsitakse, mis vahe on information security’l ja compliance’l ning kas need kaks asendavad üksteist? Kui infoturbenõuetele ei saa vastata ilma turvaline olemata, siis turvaline saab olla ka ilma standardeid täitmata, selgitab meie infoturbejuht Janar Randväli.
Compliance tähendab sertifitseeritud vastavust mingitele nõuetele. Paljude valdkondade korraldamisel on aluseks oma standardid, näiteks kvaliteedijuhtimisel ISO9001:2015 keskkonnajuhtimisel ISO14100:2022 ja infoturbe juhtimisel ISO27001:2013, ISKE või Eesti uus infoturbestandard E-ITS. Need on kokkulepitud mängureeglid, mille algatajaks võivad olla riiklikud institutsioonid (näiteks E-ITS või isikuandmete kaitse vallas GDPR) või turg (näiteks ISO rahvusvahelised standardid või Euroopas hotellide tärnisüsteem). Kui ettevõttele on mõne standardi alusel väljastatud sertifikaat, siis näitab see, et jälgitakse just konkreetse standardiga kokkulepitud reegleid. Näiteks Datafoxis täidame ISO27001:2013 infoturbe juhtimise ning ISO9001:2015 kvaliteedijuhtimise standardite nõudeid ja selle kontrollimiseks viiakse regulaarselt läbi välisauditeid.
Kvaliteetse teenuse pakkumiseks ei pea tingimata järgima standardeid, kuid teatud hetkel võib tekkida vajadus klientidele näidata, et seda ühes või teises valdkonnas tehakse, tõendamaks oma kvaliteeti. Siis ongi mõistlik taotleda konkurentsieelist andvat sertifikaati, millele eelneb ettevõtte tegevuse kooskõlla viimine selle aluseks oleva standardiga. Näiteks IT-valdkonnas aitab see ettevõttel endal väga täpselt aru saada, kuidas erinevad protsessid toimivad ja andmed liiguvad, mis kaitsemeetmeid rakendatakse ning kes vastutavad eri töövoogude eest. Veelgi enam – see teadmine ei asu enam võtmeisikute peades, vaid kõik pannakse kenasti kirja ning kontrollitakse, kas reaalsuses kõik ka toimib vastavalt kirjapandule. Selleks viiakse esmalt läbi siseaudit ja seejärel teeb selleks volitatud teenusepakkuja välisauditi. Positiivse tulemuse korral väljastatakse teatud perioodiks sertifikaat, kuid kvaliteedi püsivuse huvides tuleb enne sertifikaadi pikendamist teha kordusaudit.
Kas sertifikaat tagab turvalisuse?
Kas näiteks infoturbe juhtimise sertifikaat näitab seda, et ettevõttes on kõik selles vallas väga hästi? Ühelt poolt jah, sest see firma täidab kindlasti infoturbe baasnõudeid, aga see ei tähenda, et midagi täiendavalt ei oleks võimalik või ka vajalik teha. Nii information security kui ka compliance mõlemad keskenduvad kvaliteedile, aga esimene neist on suunatud väljapoole ja näitab, et vastatakse teatud nõuetele. Teine on aga pigem sisemise fookusega, kuna infoturve on kogumik ettevõttesisestest kokkulepetest, protseduuridest, reeglitest, turvaseadistustest ning tehnoloogilistest lahendustest ja turvatarkvaradest, et kaitsta oma äri ja klientide andmeid. Näiteks on infoturbe ülesanne tagada, et kontodel oleks sisse lülitatud mitmeastmeline autentimine (MFA), oleks kehtestatud käitumiskord turvaintsidentide puhuks ning tegeldaks töötajate teadlikkuse suurendamisega küberohtude vallas.
Kui vastavus infoturbenõuetele on raamistik, siis infoturve on parimate praktikate kogum või tööriistakomplekt, mis tagab selle raamistiku tugevuse. Ilma konkreetsete meetmeteta ei ole võimalik täita infoturbe kolme suurt eesmärki ehk tagada andmete usaldusväärsust, terviklikkust ja salajasust. Samas ei tohi infoturve alla viia ettevõtte tööviljakust, vaid peab üksnes aitama vältida turvaintsidente ja andmekadusid.
Standardeid ei saa järgida ilma turvaline olemata
Standarditega kehtestatud turvanõuetele ei saa vastata ilma sisuliselt turvaline olemata, aga turvaline saab olla ka ilma standardeid sõna-sõnalt järgimata. Samas on mõlema mõiste põhieesmärk kaitsta ettevõtte andmeid, suurendada klientide usaldust ja vältida finantskahju.
Kui soovid nõu infoturbenõuete täitmise osas, siis kirjuta julgesti aadressile See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.
Janar Randväli
Infoturbejuht
Loe lisaks:
Tarkvara tellimus tuleb täpselt dokumenteerida: kas maja hinnapakkumist saab küsida ilma projektita?
Kliendirahuolu uuring: Datafoxi soovitusindeks kasvas esimesel poolaastal 47-ni