Firma andmeid tuleb kaitsta terviklikult

Andmed asuvad ka väljaspool IT-süsteeme ning kaitsta tuleb kõiki infovarasid terviklikult. Lisaks IT-süsteemidele tuleb kaitsta ka ruume, paberdokumente ja inimesi.

Andmeturve pole vaid IT pärusmaa, kuigi sõna andmeturve seostub automaatselt ITga. Andmed on arvutis ja kaitsta tuleb arvutit. Sageli pole aga andmetel ja andmete kaitsel ITga mingit pistmist. Ärisaladus võib firmast välja rännata nii ebalojaalse töötaja peas kui ka kogemata prügikasti kaudu. Tippjuhtkonna strateegianõupidamise kritseldused võivad konkurendile rohkemgi huvi pakkuda kui hästisõnastatud strateegia.

Salastatud dokumentidega portfelli vargus läks ühele Eesti ministrile maksma ametikoha. Selleks, et andmete leke või kadu ootamatu nurga alt ei tabaks, tuleb andmeturbega terviklikult tegelda.

Andmeturve algab info?­varade määratlemisest - info?­varade hulka kuuluvad andmed, IT-aparatuur, sidekanalid, tarkvara. Mõnikord loetakse infovarade hulka ka organisatsioon, personal, ruumid ja andmekandjad (sealhulgas paberil). Kliendi?­leping lauasahtlis, arhiiviruum, raamatupidaja, arvuti töölaual, tootmise andmebaas - kõik kokku moodustavad infovarad, mille kaitsmisele on vaja tähelepanu pöörata.

Kui organisatsiooni infovarad on kirjeldatud, tuleb enda jaoks lahti mõtestada, kui väärtuslikud andmed on ja kui palju tasub nende kaitsmiseks investeerida. Äriliselt ei ole ju mõistlik kulutada kaitsele rohkem, kui on kaitstav objekt väärt. Kui ruumis asub 20 000 krooni maksev arvuti infoga, mille tagavarakoopiad on korralikult olemas, pole mõtet selle ruumi turvamisele kulutada üle 20 000 kr. Kui aga samas arvutis asub strateegiline klientide andmebaas, siis tasub kulutada üksjagu rohkemgi. Muidu võib lihtne arvutivargus kaasa tuua teie ettevõttele ootamatu lõpu. Kindlustusfirma, mille lepingute andmebaas rändama läheb, võib tihedas konkurentsis väga tõsist kahju kannatada.

Andmete turvalisusel on kolm komponenti - konfidentsiaalsus, terviklus ja käideldavus.

Konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud tarbijaile (isikutele või tehnilistele süsteemidele) ning kättesaamatus kõigile ülejäänutele.

Terviklus on andmete päritolu autentsus ning volitamatute muutuste puudumine.

Käideldavus on kasutamis?­kõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).

Toon näite raamatupidamisest ja töötaja palgast. Konfidentsiaalsus tähendab seda, et töötaja palgainfot raamatupidamisrakenduses tohib näha ainult raamatupidaja või töötaja otsene juht. Teised ei tohi. Terviklus tähendab, et keegi peale raamatupidaja ei tohi saada muuta töötaja palganumbrit. Samas peab ka raamatupidaja tegevusest süsteemi maha jääma jälg. Käideldavus tähendab siinses näites, et palgapäeval on raamatupidajal võimalik raamatu?­pidamisrakendust kasutada ja palgad välja maksta.

Andmete turvameetmed ülaltoodud näite puhul peavad tagama, et juurdepääs raamatupidamisrakendusele on piiratud (raamatupidaja ja võib-olla ka töötaja otsene juht), muutmine andmebaasis on lubatud ainult raamatu?­pidajale ning arvuti peab õigel ajal töötama.

Meetmeid selle tagamiseks on mitmeid - näiteks kasutajatunnuste andmise kord, raamatupidamisrakenduse õige häälestus, arvuti hooldus, ruumi kaitse. Mõistlik meede on ka kirjutada raamatupidaja töölepingusse konfidentsiaalsuse nõuded - kohustamaks teda hoidma konfidentsiaalne info ainult enda teada.

Toon näite tehnoloogiaga mitte seotud andmete turbest - patsiendi haiguslugu arhiivis. Konfidentsiaalsus tähendab, et keegi peale patsiendi või tema volitatud isiku ei pääse seda lugema. Terviklus tähendab, et keegi ei oma võimalust seda haiguslugu tagantjärele muuta või hävitada (patsient kaasa arvatud). Käideldavus tähendab, et patsiendil on võimalik mõistliku vaevaga oma haiguslugu arhiivist üles leida ning lugeda saada.


Ohud, nõrkused ja turvameetmed

Pärast infovarade määratlemist saab asuda ohtude hindamisele. Kui maavärin on Eestis üsna ebareaalne, siis näiteks tulekahju võib tabada iga kontorit. Ohtusid tuleb hinnata terviklikult - inimestest lähtuvad, loodusest lähtuvad ja tehnilistest süsteemidest lähtuvad.

Ohud realiseeruvad ainult siis, kui kaitses on nõrk koht. Näiteks kui patsiendi haiguslugu vedeleb laua peal järelevalveta ruumis, siis võib realiseeruda selle haigusloo kaotsimineku oht. Nõrk koht kaitses on järelevalve puudumine.

Järgmine samm andmeturbes on üles leida oma kaitse nõrkused. Näited nõrkustest - ebalojaalne töötaja vastutaval kohal, viletsad lukud ustel, võtmete või kasutajatunnuste halduse puudumine, tuletõrje- ja valve?­signalisatsiooni puudumine, konfidentsiaalsusnõuete puudumine töölepingus.

Et kaitsta oma andmeid, tuleb rakendada turvameetmeid. Haigusloo näite puhul tuleb tagada, et haiguslugu on pidevalt kellegi järelevalve all. üldiselt võib eristada infotehnilisi, füüsilisi ja organisatsioonilisi turvameetmeid. Organisatsioonilised turvameetmed sisaldavad endas käitumist turvaintsidentide korral ning turbe kavandamise ja halduse töökorraldust: kes peab mida tegema nii igapäevaselt kui turvaintsidendi korral. Näiteks kui turvaalarm tööle läheb, siis keda peab millises järjekorras teavitama või kes peab planeerima organisatsioonis uusi turvameetmeid.

Füüsilised turvameetmed katavad infrastruktuuri kaitse - turvauksed, aknad, lukud, küttesüsteemid, seifid, valve, kommunikatsioonid.

Infotehnilised turvameetmed hõlmavad endas juurde?­pääsu haldust, jälgede talletamist, taastamise tagamist ning krüptograafilisi võtteid. Näiteks tuleb tagada, et kasutajatunnus antakse välja ainult õigele inimesele isiklikult ning parooli teab ainult üks inimene.

Andmete kaitse vastaku väärtusele

ükski turvameede ei taga sajaprotsendilist turvalisust. Andmeturbega süsteemselt tegeledes on võimalik vähendada riski, et midagi juhtub. Samas tuleb säilitada kaine mõistus ja kontroll investeeringute üle. Andmeid tuleb kaitsta nende väärtusele vastavalt.

Andmed ja andmete kaitse pole IT-spetsiifiline mure. Info on kõikjal meie ümber - kirjad ja arved kaustas, müügi?­mehe peas, kliendiandmebaas sülearvutis, riigisaladus portfellis. Et andmete leke, riknemine või kättesaamatus ootamatult ei tabaks, on vaja andmeturbega tegeleda terviklikult - lisaks IT-süsteemide kaitsmisele tuleb kaitsta ruume, paberdokumente ja inimesi.

Turbetaseme astmed riigi infosüsteemide jaoks turbekomponentide kaupa

* Teabe hilinemise tagajärgede lubatav kaalukus R0 - teabe saamata jäämisega ei kaasne tagajärgi* R1 - teabe saamata jäämine võib tuua kaasa takistusi funktsiooni täitmisele* R2 - teabe saamata jäämine toob kaasa olulise takistuse funktsiooni täitmisele

* R3 - teabe saamata jäämine toob kaasa funktsiooni täitmata jäämise

* Aegkriitilise teabe käideldavus K0 - teabe saamisele ei ole seatud tähtaegu* K1 - teabe saamisele on seatud tähtaeg päevades* K2 - oluline on teabe saamine tundide jooksul

* K3 - oluline on teabe saamine sekundite jooksul

* Teabe terviklus T0 - teabe allikas ega muutmise tuvastatavatus ei ole olulised* T1 - teabe muutmise fakt peab olema tuvastatav* T2 - teabe allikas peab olema tuvastatav

* T3 - teabel on tõestusväärtus

* Teabe konfidentsiaalsus S0 - juurdepääsu teabele ei piirata* S1 - teabele juurdepääsu tingimuseks on juurdepääsu taotleva isiku identifitseerimine* S2 - juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral* S3 - teave on seaduse alusel tunnistatud juurdepääsupiiranguga teabeks.

Osale arutelus

  • Piret Birk

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Sekretäri sotsiaalmeedias

RSS

Peopaik

Toosikannu puhkekeskus Käru vallas Raplamaal

Raplamaal asuv Toosikannu puhkekeskus on ideaalne peokoht nii suurematele kui ka väiksematele seltskondadele. Aga mitte ainult – Toosikannus asub Eesti esimene ja ainus loomapark ning lisaks tähtpäevade tähistamisele on see suurepärane koht asjalikele koosolekutele ja konverentsidele.

Kuninglik Saku mõis – pealinnast vaid 11 km kaugusel

Tallinnast vaid 11 km kaugusel rohelusse mattunud Saku mõis sobib suurepäraselt nii koosolekute, seminaride, konverentside kui firmapidude korraldamiseks. Väärika ajalooga Saku mõisa peahoone pärineb 1820. aastast ning on oma rikkaliku-luksusliku dekoori ja laemaalingutega üks Eesti kaunimaid.

Küsitlus

Millal plaanid suvel puhata?

  • Juunis
    17%
    17%
  • Juulis
    83%
    83%
  • Augustis
    0%
    0%
  • Ei puhkagi suvel
    0%
    0%
  • Muu
    0%
    0%

Valdkonna tööpakkumised

Uudised

Teabevara

Sekretär.ee uudiskirjaga liitumine