Info- ja küberturve – kuidas leida sobivad standardid?

 

Ametlikud andmed ja uudised nii Eestist kui ka mujalt maailmast annavad tunnistust sellest, et küberrünnakud suurenevad nii hulga kui ka oma keerukuse poolest. Riigi Infosüsteemi Ameti (RIA) sõnul registreeriti 2024. aasta veebruaris üle 430 küberintsidendi, mis on viimase aasta kõrgeim näitaja. 

2024. aasta Maailma majandusfoorumi küberturvalisuse aruandest selgub samuti, et valdav enamus juhte (81%) tunneb, et on küberkuritegevusega rohkem (või sarnaselt) kokku puutunud kui eelneval aastal.

 

Kaitse küberohtude eest 

Küberohtude leevendamiseks tuleb ettevõttel suurendada oma vastupanuvõimet ja rakendada küberturvalisuse strateegiaid. Iga küberturvalisuse strateegia eesmärk on kaitsta võimalikult hästi oma vara. Kuna kõike võrdselt kaitsta ei ole otstarbekas, mõistlik ega isegi tõhus, on oluline välja selgitada, mis on väärtuslik ja vajab kõige enam kaitset. Seejärel tuvastada haavatavused ja seada prioriteedid.

Kõige tõhusamad kaitsevahendid tuginevad nii horisontaalsetele kui ka vertikaalsetele standarditele. Horisontaalsed standardid on üldised ja paindlikud, samas kui vertikaalsed standardid vastavad väga spetsiifilistele vajadustele.

 

ISO/IEC 27000 – infoturbe standardite sari

ISO/IEC 27000 sarja standardid aitavad kaitsta infosüsteeme. Sari annab koos valdkonna parimate tavadega horisontaalse raamistiku kontrollide rakendamiseks ja hooldamiseks. 

EVS-EN ISO/IEC 27001:2023 „Infoturve, küberturve ja privaatsuskaitse. Infoturbe halduse süsteemid. Nõuded"

—  Hoiab teavet turvaliselt igas vormis, sealhulgas andmeid paberil ja ka digitaalset infot,
—  Kaitseb andmete terviklikkust, konfidentsiaalsust ja kättesaadavust,
—  Suurendab vastupanuvõimet küberrünnakutele,
—  Aitab reageerida arenevatele turvaohtudele.

Täiendavad head tavad andmekaitse ja kübervastupidavuse valdkonnas on kaetud mitmete ISO/IEC 27000 sarja standarditega, millest mõned on avaldatud ka Euroopas: 

EVS-EN ISO/IEC 27000:2020 „Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Ülevaade ja sõnavara"

EVS-EN ISO/IEC 27002:2022 „Infoturve, küberturve ja privaatsuskaitse. Infoturvameetmed"

EVS-ISO/IEC 27003:2021 „Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Juhised"

EVS-ISO/IEC 27005:2024 „Infoturve, küberturve ja privaatsuskaitse. Infoturvariskide haldamise juhend"

Üheskoos võimaldavad need ettevõtetel ja asutustel hallata selliste varade turvalisust nagu finantsteave, intellektuaalomand, töötajate andmed ja kolmandate isikute poolt usaldatud teave.

 

Kuidas leida sobivad standardid? 

Horisontaalseid standardeid täiendavad kohandatud lahendused, mis on loodud konkreetsete valdkondade kaitsmiseks ning tööstuse ja kriitilise infrastruktuuri varade kaitsmiseks. Selleks on olemas vertikaalsed standardid, mis hõlmavad muu hulgas tuumatööstuse, tööstusautomaatika, tervishoiu ja meretööstuse konkreetseid julgeolekuvajadusi.

Näiteks IEC 62443 – standardite sari, mis kehtestab täpsed küberturvalisuse juhised ja mida kohaldatakse paljudes tööstusharudes ja kriitilistes infrastruktuuri keskkondades – on loodud selleks, et hoida OT-süsteemid töös.

Kuna ettevõtted ja nende vajadused on erinevad, siis on IEC loonud standardite kaardistamise tööriista, mis aitab leida just endale sobivad lahendused.

Rahvusvahelised standardid on küberkuritegevuse vastase võitluse abivahendid nii suurtele kui ka väikestele ettevõtetele. 

Kõiki standardeid saab lugeda ostes neid e-poest või kasutades selleks meie online-lugemisteenust

 

Cyber security: 2018-09 (en). IEC