Efektiivne andmekaitse algab suhtumisest

Tulemusliku andmeturbe eelduseks on rutiinselt järgitavad protseduurid, mis peavad kehtima kõigile firma töötajatele.

Firma andmete kaitse muutub sageli oluliseks alles siis, kui on toimunud mõni intsident. Näiteks on läinud katki arvuti kümne aasta raamatupidamis- andmetega, on lekkinud välja firmasaladused või on elektrikatkestus halvanud kogu firma töö mitmeks päevaks. Tean ühte firmat, kus arvuti kõvaketta rike hävitaski kümne aasta raamatupidamise andmed. Järgnenud taastamistöö viis sügavasse depressiooni nii raamatupidamise osakonna kui ka ettevõtte juhtkonna ning firma lagunes. Sestap annan mõned juhised, kuidas ennast raskematest intsidentidest säästa.

Andmekaitse algab suhtumisest. Väga oluline on see, et kõik firma töötajad, juhist koristajani, saavad aru andmekaitse olulisusest ning annavad oma parima info kaitsmiseks. Võib kehtestada väga elegantseid protseduure ja võtta kasutusele arvukalt meetmeid, aga kui inimesed andmekaitset vajalikuks ei pea, pole protseduuridest ja ennetavatest meetmetest mingit kasu.

Kui tahe on olemas, siis järgmine oluline omadus on järjekindlus kehtestatud protseduuride järgimisel. Kui ikka kehtib reegel, et arvuti juurest lahkumisel tuleb ekraan lukustada, siis tuleb seda igakord ka teha. Juhatajast koristajani. Piisab ühest korrast, et laokile jäetud arvutist näiteks siivutu kiri ülemuse aadressil teele saata ning lohakale kolleegile pahandust tekitada. Piisab ühest korrast, et valve alla panemata ruumist kaoksid firma arvutid koos andmetega. Sageli pole reeglite rikkumine erand, vaid reegel. Andmeturbe protseduuride järgimine peab olema rutiin.

Andmekaitsel peab olema firmas vastutaja

Firma andmeid ähvardavad mitmesugused ohud - nad võivad hävineda tulekahju tõttu, muutuda kasutuks andmebaasis või rännata asutusest välja nii ebalojaalse töötaja peas kui ka prügikasti kaudu. Ohtude realiseerimise vältimiseks tuleb mitmes valdkonnas võtta tarvitusele vajalikke kaitsemeetmeid. Kuigi andmed võivad kuuluda ühele struktuuriüksusele, peavad nende kaitsmiseks vaeva nägema ka teised struktuuriüksused.

Terviklik kaitse nõuab terviklikku vastutust. Vastutada saab aga see töötaja, kellele on antud vastavad volitused. Kuna kaasatud on paljud erinevad valdkonnad, peavad vastutajal olema volitused mõjutada kõigi seotud struktuuriüksuste tegevust. Konsensuse ja kooskõla saavutamiseks võib luua asutuses andmeturbe komitee, aga ilma konkreetse vastutajata hääbub andmeturbealane tegevus mõne aja möödudes.

Tehke ettevõttes infovarade inventuur

Konkreetne tegevus algab infovarade inventuuriga. Kaardistada tuleb asutuses kogutavad andmed, nende kogumise ja kasutamise teekonnad, andmetega tegelevad inimesed ning ruumid ja seadmed, mis on seotud andmete töötlemisega. Seda nii arvutites liikuva informatsiooni kui ka paberil ja suuliselt leviva teabe puhul.

Väga raske on leida andmetöötlusprotsessi, milles ei teki ühtegi paberit. Paberite kaitse ja hävitamisega peab tegelema sama tõsiselt kui elektroonilise info puhul. Kõige salakavalam koht andmetöötlusprotsessis on prügikast. Vaatamata sellele, et ettevõttes on olemas paberihunt või spetsiaalne koguja, rändab prügikasti suur hulk firmale olulist infot. Näiteks poolikud tööd ja printeri tõrkest tekkinud kasutud väljatrükid.

üles tuleb leida ka oma andmete töötlemise nõrgad kohad ja andmeid ähvardavad ohud. Andmeturbe eesmärk on kaitsta nõrku kohti süsteemis neid valitsevate ohtude eest. Ohud koos nõrkustega määravad ära riski. Riski vähendavad õigeaegselt tarvitusele võetud andmeturbe meetmed. Toon näite. Kliendiandmetega server asub ettevõtte fuajees sekretäri laua all. Oht on, et juhuslik "külaline"? võtab selle arvuti kaasa. Nõrkus süsteemis on see, et juurdepääs arvutile on liiga lihtne. Risk on seega suur. üheks meetmeks võib olla näiteks andmebaasi või arvuti viimine lukustatud ruumi. Nii väheneb risk oluliselt.

Kui olukord andmete töötlemisega ja kaitsega on selge, tuleb välja mõelda, millist kaitsetaset asutuses tervikuna või andmekogude kaupa soovitakse saavutada. Sajaprotsendilist turvalisust pole olemas ja seetõttu tuleb leida piir andmeturbe meetmete (see tähendab ka kulutuste) ning jääkriski vahel. Piiri saab hästi määratleda läbi nõuete. Näiteks võib seada nõude, et konkreetse kliendi andmete juurde klientide andmebaasis pääsevad ainult müügiosakonna juhataja ja selle kliendiga tegelev müügijuht. Nõudeid saab kirjeldada erineval üldistuse tasemel. üldisem nõue selle näite puhul on - "kliendi andmetele tohivad juurde pääseda ainult selleks volitatud isikud"?. Mõistlik on aga kehtestada sellised nõuded, milles on võimalik oma ettevõte ja andmetöötlusprotsessid ära tunda.

Kõikidel andmetel peab olema omanik

Andmetel peab olema asutuse sees omanik. Kui müügiosakonna juhataja teab, et klientide andmebaas on n-ö tema oma, siis suhtub ta selle kaitsesse hoopis teistmoodi. Omaniku heaperemehelik suhtumine tagab, et andmete kaitseks võetakse tarvitusele terviklikud meetmed üle kõikide valdkondade.

Turbe-eesmärgid ja -nõuded võib kokku võtta andmeturbepoliitika dokumenti ja juhtkonna poolt kinnitada. Andmeturbepoliitika alusel saab määrata asutuse või andmekogude turbeklassi(d) ning asuda andmete kaitseks välja töötama konkreetseid protseduure ja meetmeid. Toon mõned näited valdkondadest, mille peale mõelda - andmete füüsiline kaitse (tulekaitse, tagavarakoopiad), juurdepääsu kontroll (ruumidele), ligipääsu kontroll (andmetele rakenduses), konfidentsiaalsusnõuded töötaja lepingus.

Nõuete määratlemisel ja poliitika kirjeldamisel saab ideid ja abi standarditest. Eesti keeles on olemas neli osa standardist EVS-ISO/IEC TR 13335 "Infotehnoloogia. Infoturbe halduse suunised"?. Päris hea on ka standard ISO/CD TR 13569 "Banking and related financial services. Information security guidelines"?. Delikaatsete isikuandmete (vt kõrvalolev tabel) puhul tuleb tagada oma andmeturve vastavalt isikuandmete kaitse seadusele ning saada töötlemiseks Andmekaitse Inspektsiooni luba.

Töötage välja firma turvameetmed

Meetmete väljatöötamine on loominguline protsess. Arvestada tuleb püstitatud turvataset ja -nõudeid, eelarvet, meetmete rakendatavust oma töötajate ja füüsilise keskkonna puhul. ühe firma server peab asuma paksude seintega, eritoitega, autonoomse kustutussüsteemiga spetsiaalses serveriruumis. Teisel firmal piisab sellest, et server asub lukustatud kapis.

Palju saab ära teha lihtsate protseduuridega. Näiteks protseduur juurdepääsu kaitseks - viimane töötaja, kes firma kontorist lahkub, peab üle vaatama kõik aknad (kas on suletud), lukustama ukse ja panema ruumid valve alla. Või protseduur, mis aitab hoida kontrolli alla võtmete haldust - uksevõti väljastatakse töötajale allkirja vastu ning töölt lahkumisel võetakse tagasi allkirja vastu.

Kontrollige regulaarselt protseduuride täitmist

Protseduuride keerukuse ja ulatusega tuleb tajuda ettevõtte suutlikkuse piiri. Kui protseduur on kehtestatud, peavad seda kõik töötajad järjekindlalt täitma. Lohakust protseduuri täitmisel ei tohi lubada endale ei juht ega koristaja. Mõne kõrvalekalde järel ei ole see protseduur enam sobilik andmeturbe meetmeks. Kui on näha, et ei jätku jõudu protseduuri järgida või selle täitmise üle järelevalvet teostada, siis on pigem mõistlik seda mitte kehtestada.

Uue andmeturbe protseduuri juurutamisel on sama loogika nagu muude protseduuride juurutamisega - alguses on vaja palju järelevalvet ja kaasaaitamist, edaspidi toimib protseduur juba rutiinina.

Asutuse andmeturve pole ühekordne projekt. Andmeturbe meetmed peavad sulanduma ettevõtte igapäevategemistesse. Vajalikud protseduurid peavad rutiinselt toimima. Asutuse arenguga ühes rütmis tuleb edasi areneda ka andmeturbepoliitikal ja sellega seotud meetmetel.

Andmeturve võib esmapilgul paista üheksapealise lohena - lahendate küll ühe probleemi ära, aga siis avastate, et mõistlik on veel üheksa asja ära teha, et andmed oleksid senisest paremini kaitstud.

Minu soovitus on alustada väikestest asjadest. Kui te ka muud ei suuda, siis tehke vähemalt oma olulistest andmetest iga päev tagavarakoopia. Kõige olulisem on andmekaitses suhtumine. ülejäänud on ainult puhas tegemise rõõm. Kui on tahe, on ka võimalus.

Kuulumine ametiühingusse on Eestis delikaatsete isikuandmete seas

* Isikuandmete kaitse seaduses kehtestatud delikaatsed isikuandmed: poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;* etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;* andmed terviseseisundi või puude kohta;* andmed pärilikkuse informatsiooni kohta;* andmed seksuaalelu kohta;* andmed ametiühingu liikmelisuse kohta;

* kriminaalmenetluses või muus õigusrikkumise väljaselgitamise menetluses kogutav teave enne avalikku kohtuistungit või otsuse langetamist õigusrikkumise asjas või juhul, kui see on vajalik kõlbluse või inimeste perekonna- ja eraelu kaitseks või kui seda nõuavad alaealise, kannatanu, tunnistaja või õigusemõistmise huvid.

Seitse sammu tulemuslikuks andmeturbeks

* Suhtuge asja tõsiselt või ärge tegelge andmeturbega üldse.* Määrake andmeturbe eest vastutaja.* Tehke infovarade inventuur.* Kehtestage andmeturbepoliitika, st nõuded ja eesmärgid.* Töötage välja ja rakendage kaitsemeetmed.* Kontrollige rutiinselt protseduuride täitmist.

* Arendage järjepidevalt andmekaitset edasi.

originaalartikkel

Osale arutelus

  • Piret Birk

Jälgi Sekretäri sotsiaalmeedias

RSS

Peopaik

Strand SPA & konverentsihotell trumpab konkurendid üle rikkaliku kogemustepagasiga

Lääne-Eesti suurimal konverentsikeskusel on 25 aastat kogemusi ürituste korraldamises. See fakt saadab kindla sõnumi klientidele – võimekas ja usaldusväärne, professionaalne ja kvaliteetne. Just selline koostööpartner on Strand.

Kuninglik Saku mõis – pealinnast vaid 11 km kaugusel

Tallinnast vaid 11 km kaugusel rohelusse mattunud Saku mõis sobib suurepäraselt nii koosolekute, seminaride, konverentside kui firmapidude korraldamiseks. Väärika ajalooga Saku mõisa peahoone pärineb 1820. aastast ning on oma rikkaliku-luksusliku dekoori ja laemaalingutega üks Eesti kaunimaid.

Küsitlus

Millal plaanid suvel puhata?

  • Juunis
    17%
    17%
  • Juulis
    83%
    83%
  • Augustis
    0%
    0%
  • Ei puhkagi suvel
    0%
    0%
  • Muu
    0%
    0%

Valdkonna tööpakkumised

Uudised

Teabevara

Sekretär.ee uudiskirjaga liitumine