Küberturvalisuse poliis

Käesolev küberturvalisuse poliis kirjeldab kuidas tagatakse ettevõtte klientide ja töötajate andmete turvalisus ning milliseid meetmeid rakendatakse, et küberturvalisuse intsidentide tase oleks viidud miinimumini. IT küberturvalisuse poliis tegeleb ettevõtte siseste ja ettevõtte väliste ohtudega.

Küberturvalisus on oluline, sest kõik organisatsioonid koguvad, töötlevad ja salvestavad arvutitesse ja muudesse seadmetesse suures koguses andmeid. Märkimisväärne osa nendest andmetest võib olla tundlik teave, olgu selleks intellektuaalomand, finantsandmed, isikuandmed või muud tüüpi andmed, millele volitamata juurdepääsul või kokkupuutel võivad olla negatiivsed tagajärjed.

Poliisi eesmärk on anda juhiseid ning soovitusi ja kaitsta ettevõtte tööks vajalike andmeid ja IT lahendusi tehniliste intsidentide, inimlike eksimuste ja turvarünnakute eest. IT lahenduste kaitsmise eesmärk on ettevõtte töö jätkusuutlikkuse tagamine ning äriinfosüsteemide käideldavuse tagamine, et võimalike intsidentide puhul oleks kahju minimeeritud.

Ettevõtte ja selle töötajad jälgivad küberturvalisuse nõudeid ning käesolevat poliisi vaadatakse üle ettevõtte juhtkonna ja IT partneri poolt vähemalt üks kord aastas, vajadusel tihemini.

Käesolev poliitika kehtib ettevõtte juhatuse liikmetele ja töötajatele, kellel on püsiv või ajutine juurdepääs ettevõtte IT lahendustele.

Tulevikus lisanduvate IT lahenduste kaitsmisel tuleb lähtuda vähemalt sama tasemega või parema tasemega IT turvalisuse põhimõtetest.

Konfidentsiaalsed andmed

Ettevõtte töö tegemiseks on vajalikud järgmised andmed:

  • Ettevõtte sisesed dokumendid
  • Ettevõtte finantsandmed
  • Klientide dokumendid ja finantsandmed
  • Partnerite dokumendid
  • Töötajate andmed
  • Ligipääsuandmed, sh ligipääsuandmed teistesse süsteemidesse
  • Kirjad
  • Lepingud
  • Tarnijatelt tulnud informatsioon (hinnakirjad, reklaamtekst, tootetutvustused)
  • Andmed, mis asuvad järgmistes süsteemides (mitte ainult):
    • PIM
    • OC
    • Qlikview
    • QlikSense
    • BC
    • Veebid
    • 365 lahendused (mailid, OneDrive, OneNote, Sales ja teised).

Juhised ettevõtte töötajale

Uue töötaja lisandumisel juhendatakse töötajat ettevõtte IT lahenduste kasutamiseks ja antakse juhised turvaliseks arvuti kasutamiseks. Töötajaid informeeritakse millised võivad olla tagajärjed kui informatsioon satub võõraste inimeste kätte. Informeerimist viib läbi ettevõtte personalitöötaja ja täiendavalt IT partner. Töötaja peab järgima IT lahenduste kasutamisel järgmisi juhiseid:

IT lahenduste kasutamine ja seadmete valik:

  • Ära kasuta teiste inimeste arvutit töö tegemiseks ja ära anna enda arvutite teiste kasutusse.
  • Töötajad ei tohi kasutada ettevõtte IT lahendusi teistest arvutitest kui tööks ette nähtud arvutid või seadmed.

Paroolide, kasutajanimed ja PIN koodidega seonduv:

  • Töötaja ei tohi sisestada ettevõtte kasutajanimesid ja paroole teistesse keskkondadesse kui ette nähtud (365 lahendused, BC, Sales, ettevõtte serverid ja teised ettevõtte lahendused).
  • Arvuti käivitamisel on PIN kohustuslik.
  • Ära kasuta oma kasutajatunnuseid (kasutajanimesid ja paroole) mitte üheski teises seadmes.
  • Kõiki paroole, kus ei ole peal mitmetasandilist autentimist, tuleb muuta perioodiliselt, paroolid on piisava keerukusega (vähemalt 12 tähemärki, suur- ja väiketähed ning vähemalt 2 sümbolit).
  • Ära kirjuta ülesse oma paroole või PIN-e.
  • Ära jaga Sulle antud paroole mitte kellegagi, sh teiste töötajatega.
  • Ole teadlik, et andmeid võidakse proovida varastada sotsiaalse manipulatsiooni teel, sh. telefoni teel, esitledes ennast spetsialistina või saates Sulle kahtlaseid dokumente või linke.
  • Ära edasta enda paroole e-mailiga või läbi sotsiaalmeedia.

Interneti ja võrgu kasutamine:

  • Kontoris eelista alati kasutada võrgukaablit.
  • Väljaspool kontorit kasutatakse HotSpot-i ja VPN-i (välja arvatud töötaja iseenda kodust).
  • Kui Sa soovid ettevõtte võrku lisada teisi seadmeid siis teavita sellest eelnevat IT partnerit.
  • Hoidu kogemata jagamast valesid kaustu või dokumente. Kui eksisid jagamisel siis teavita sellest viivitatult IT tuge.
  • Hoia eemale kahtlastest veebilehtedest või tarkvaradest.
  • Ettevõtte külalistele tohib anda vaid külalistele mõeldud WIFI parooli.

Failide jagamine ja sünkroniseerimine:

  • Dokumentide jagamisel väljaspoole ettevõtet kontrolli, et jagatud on vaid õiged failid ja kaustad (mitte rohkem).
  • Hoia oma dokumente kas arvuti Töölaual või OneDrive Dokumentide kaustas.
  • Kui Sa näed Drive ikooni juures punast X’i siis võta ühendust IT kasutajatoega.
  • Välised USB andmekandjad on keelatud ja piiratud.
  • Ära kopeeri või sünkroniseeri andmeid väljaspoole ettevõtet.
  • Ära kopeeri või sünkroniseeri andmeid isiklikku arvutisse, mis pole tööks ette nähtud.
  • Eelista töö tegemiseks Microsoft Teams vestluse kanalit, välja arvutud kui teist võimalust ei ole.
  • Ära sünkroniseeri oma arvuti andmeid mobiili, pilve või teise seadmesse ilma omamata selleks luba (välja arvatud tööks ette nähtud arvuti, telefon või tahvel).
  • Klientidele, kolleegidele ja partneritele jagatakse faile Microsoft 365 keskkonna kaudu, välja arvatud juhtudel, kus 365 vahendeid kasutades see ei ole võimalik.
  • Andmeid ei ole lubatud sünkroniseerida isiklikesse seadmetesse (välja arvatud tööks ette nähtud sülearvuti või telefon).
  • Kõik andmed, mis asuvad tööks mitte ettenähtud seadmetes tuleb kustutada.
  • Ära sünkroniseeri ega kopeeri ettevõtte andmeid väljaspoole ettevõtte IT lahendusi (näiteks: Google, iCloud, Amazon, vms).

Ettevaatlikus kirjade lugemisel ja saatmisel:

  • Ole alati ettevaatlik kui soovid avada tundmatut, kahtlast linki või e-kirja, vajadusel konsulteeri IT partneriga.
  • E-mailide avamisel kontrolli, kas saatja mailiaadress oli õige.
  • Konsulteeri IT partneriga kui Sulle tundub, et saadetud info, link või tarkvara on kahtlane.
  • Anna võimalikult ruttu teada kui Sinu kasutuses olnud riistvara või pilveressurss ei tööta või töötab kahtlaselt.
  • E-kirja edastamisel kontrolli saajate nimekirja topelt.

Ettevõtte IT lahenduste kasutamine:

  • Väljaspool kontorit tuleb ettevõtte IT lahendusi (sh Business Central, Sales, Qlikview, Qliksense, PIM, tellimiskeskus) kasutada VPN-iga.
  • Business Centrali, Qlikview, QlikSense ja Sales-i saab kasutada vaid nendest seadmetest, mis on lubatud nimekirjas (tööks mõeldud arvutid või seadmed).
  • Kui Sa kasutad tööks sotsiaalmeediat või sõnumiedastustarkvarasid, siis uuenda neid regulaarselt, vajadusel palu abi IT partnerilt. Hoia sotsiaalmeedia kontodel paroolid piisavalt tihti uuendatuna ning kasuta mitmetasandilist autentimist. Seadista kontole alati e-maili aadress taastamiseks (inglise keeles “recovery e-mail”).
  • Eelista kasutada Microsoft Edge brauserit.
  • Hoidu tarkvaradest, mis pole tööks ette nähtud.
  • Töötajad ei saa installeerida tarkvara, mis vajab administraatori õigusi.

Andmekandjate ja seadmetega töö:

  • Kui arvuti või andmekandja läheb teise kasutaja kätte kasutusse või kui see müüakse, siis enne seadme üle andmist peab IT partner kustutama ja kontrollima andmete kustutamist.
  • Arvuti kaotamise või varastamise puhul teavitab töötaja IT partnerit ja enda otsest ülemust.
  • Arvutit laetakse vaid teada ja tuntud laadijaga (vältida lennujaamade avalikke USB laadijaid, internetikohvikute laadijaid, vms).
  • Ära lase mitte ühelgi tehnikul või spetsialistil IT töid teostada ilma veendumata, et tal on selleks ettevõtte juhtkonna poolt antud volitus.
  • Töötaja peab teavitama IT partnerit ja enda otsest ülemust kui soovib võtta kasutusele uue tööks vajaliku tarkvara.
  • Kui Sa näed arvutiekraanil kahtlast teadet siis võta koheselt ühendust IT partneriga.
  • Ettevõtte arvutivõrku lisatakse seadmeid või lahendusi vaid eelnevalt IT partneriga kooskõlastades.
  • Kui Sulle tundub, et ettevõtte IT varad on ohus, andmed võivad olla kättesaadavad võõrastele inimestele või mõni tegevus tundub kahtlane siis anna sellest varakult märku IT partnerile ja oma otsesele ülemusele.

Koopiad, uuendamised ja seadistamine:

  • Töötaja arvutis olevatest andmetest tehakse automaatseid koopiaid 2 korda päevas (e-mailid, failid, jagatud failid, Teams vestlused). IT partner kontrollib koopiaid automaatselt, lisaks kontrollib IT partner perioodiliselt manuaalselt (1 kord kuus).
  • Ettevõtte IT partner krüpteerib kõik andmekandjad ja arvutid.
  • Ettevõtte IT partner korraldab arvutite automaatsed ja vajadusel manuaalsed operatsioonisüsteemi ja tarkvarade uuendused (iga kahe nädala tagant).
  • Viirusetõrje automaatne ja vajadusel manuaalne kontroll iga kahe nädala tagant IT partneri poolt.
  • IT partner uuendab arvutitel ja serveritel tarkvara ja draivereid vähemalt 1 kord aastas.
  • Peale IT intsidenti või IT teenuspäringut viiakse läbi lihtne arvuti kontroll.
  • Arvutitel ja teistel seadmetel kasutatakse haldamise ligipääsu piiramist, sh BIOS paroole.
  • IT intsidendid registreeritakse ja dokumenteeritakse IT partneri poolt ning vajadusel viidatakse riist- ja tarkvarale.
  • IT partner peab viivitamatult uurima tekkinud turvalisusega seotud küsimust ning saatma ettevõtteülese hoiatusteate, kui see on vajalik.

Töötajad peavad ettevõtte infosüsteemide kasutamiseks andma nõusoleku, et nad on aru saanud IT süsteemid turvalisuse olulisest ning teavad kuidas nad võivad ettevõtte andmeid ja IT vara kasutada. Ettevõtte IT partnerit tuleb teavitada võimalikest petuskeemidest, rikkumistest ja pahavarast, selliselt saavad nad parandada IT infrastruktuuri kaitset.

Ettevõtte töötajate tööleping sisaldab kohustust järgida IT turvalisuse poliisi ning mitte avaldama ettevõtte IT süsteemide eripärasid kolmandatele osapooltele.

Ühine vastutus

Turvalisus ettevõttes peab olema iga töötaja, mitte ainult IT partnerite ja tippjuhtide murekoht.

Kui ettevõtte töötaja näeb, et ettevõtte andmeid käideldakse valesti või kui andmete konfidentsiaalsus võib sattuda ohtu, siis peab töötaja sellest teavitama oma otsest ülemust või IT partnereid. IT partnerid on toeks vea parandamisel ning ettevõtte juhtkond aitab jõuda parema lahenduseni andmete kaitsmisel. Töötaja saab anda vihje andmete valest kasutamisest juhtkonnale või IT partnerile ning nõudmisel jääda ka anonüümseks.

Ettevõte julgustab arutlema ja rääkima IT turvalisuse teemadel.

Turvaintsidentide käitlemine

Ettevõtte töötajad peavad teada andma igast kahtlaselt tunduvast IT süsteemi toimimisest. Väga tähtis on tuvastada võimalikud vead või rünnakud varakult. Ettevõte julgustab töötajaid teada andma ja küsima üle kui peaksid tekkima võimalikud küsimused või kahtlused.

Kui ettevõtte andmed on ohus siis tuleb võimalikult kiiresti vahetada paroolid ning kontrollida andmete korrektsust ja olemasolu. Vajadusel tuleb seade seisata. IT partner tuvastab koos töötajaga kahtlaselt näiva asjaolu, mis dokumenteeritakse ning koos IT ülevaatajaga otsustatakse järgmised tegevused.

Kasutajaõiguste haldamine

Kasutajaõiguste andmist või muutmist juhib ja kontrollib ettevõtte juhtkond või tema poolt volitatud isik. Kõikide kasutajaõiguste loomiseks, muutmiseks ja kustutamiseks küsitakse eraldi ettevõtte määratud töötajalt e-maili teel nõusolek.

Kõik kasutajad on registreeritud kasutajate nimekirjas, kus on näha millistel kasutajatel kuhu süsteemi osadesse ligipääs on. Nimekirja kontrollib ettevõtte poolt määratud töötaja regulaarselt, lisaks vaatab selle tabeli täiendavalt üle ettevõtte juhtkond vähemalt kord poole aasta jooksul ning annab tagasisidet IT partnerile.

Kasutajaõiguste andmine või muutmine on dokumenteeritud ning talletatakse arhiivi. Kasutajaõiguste nimekiri sisaldab informatsiooni selle kohta, kes IT partneri vastutajatest kasutajaõiguseid muutis ning millise kliendi intsidendiga see seotud oli.

Rakendustarkvarade kasutajaõiguste andmisega tegeleb ettevõtte vastutav töötaja, kes kontrollib, et kasutajaõigused ja grupiõigused ning gruppidesse kuulumine on asja- ja ajakohane. Samuti kontrollib vastutav töötaja, et andmetele saavad ligi vaid need töötajad, kes vajavad andmeid töö tegemiseks. ettevõtte vastutava töötaja eesmärk on kontrollida ka seda, et rakendustarkvara ei võimaldaks pääseda ligi valedele andmetele.

Varundus ja varunduse kontroll

Ettevõtte andmetest tehakse vähemalt kord ööpäevas koopia spetsiaalsesse kindlaks määratud andmehoidlasse, koopiate autentsust kontrollitakse käsitsi vähemalt üks kord kuus. Kord kahe kuu jooksul tehakse lisaks veel täiendav käsitsi varukoopia.

Koopia ebaõnnestumise kohta saadetakse automaatne teavitus IT partneri vastutavale töötajale , mis registreeritakse ja arhiveeritakse. Varunduse intsidentidega töö dokumenteeritakse.

Varunduses arvestatakse sellega, et varundust on vaja selleks kui kasutajate ligipääsuandmed lekivad, andmeid on rikutud või kui tekib vajadus leida andmed oluliselt varasemast ajaperioodist. Ettevõtte sisemiste ohtudega tegelemiseks on peamine meetod piisav arv varukoopiaid (andmete kustutamine, rikkumine või turvaintsidendid).

IT partneri poolt tehakse iga päev varukoopiast koopia ka väljapoole ettevõtet. Varundus on dokumenteeritud ettevõtte IT dokumentatsioonis ja sisaldab kirjeldust kuidas varukoopiast taastada.

Plaan tegelemiseks oluliste IT tõrgetega

Iga töötaja või juhatuse liige, kes on teatud infosüsteemi või selle osa peakasutaja peab olema veendunud, et IT partneril või hankijal on olemas plaan tegelemaks oluliste IT tõrgetega. See plaan peab olema üle vaadatud vähemalt üks kord aastas koostöös IT partneriga ning kinnitatud.

Samuti peab iga töötaja andma teada uuest lahendusest ja veenduma, et ka uuele tarkvarale on koostatud plaan tegelemaks tõrgetega. IT partner teavitab juhtkonda uue tarkvara lisandumisest ja annab ülevaate kuidas oluliste IT tõrgetega hakkama saadakse.

Ettevõtte juhtkond kontrollib plaani kuidas IT tegeleb oluliste IT tõrgetega.

Dokumentatsioon

Kõikidest ettevõtte IT varadest luuakse dokumentatsioon, kõik IT muudatused ja IT intsidendid viidatakse vastavalt seadmetele või tarkvaradele. Dokumentatsioon on koostatud sellisel põhimõttel, et piisava pädevusega IT spetsialist saaks kõik ettevõtte tööks vajalikud tegevused ellu viia ärile vajaliku kiirusega.

IT dokumentatsioon kontrollitakse täiendavalt üle vähemalt kord poole aasta jooksul IT ülevaataja poolt. IT dokumentatsioon sisaldab konfiguratsiooni elemente, nende vahelisi seoseid ning vajalikku infot selleks, et ettevõtte töö IT intsidendi tekkimisel oleks taastatud võimalikult kiiresti. IT dokumentatsioon on koostatud lähtuvalt parimatest IT praktikatest.

Dokumentatsioon sisaldab nõudeid kirjeldamaks erinevate ärikasutajate vajadusi, sh tarkvarade nimekirja ja seadistuste eripärasid. IT ülevaataja kontrollib dokumentatsiooni põhjalikult kord aastas.

Ettevõte juhtkond küsib enda valdusesse kogu IT dokumentatsiooni vähemalt kord aastas või vajadusel tihemini. IT partneritega sõlmitud teenus- või konfidentsiaalsuslepingud on IT dokumentatsiooni osa. Ettevõte IT partner kasutab IT intsidentide, teenuspäringute ja probleemide käitlemiseks IT teenuse juhtimise tarkvara.

Andmete sünkroniseerimine süsteemide vahel

Kui ettevõtte IT lahendused on omavahel liidestatud või kui ettevõtte IT lahendused on liidestatud väljaspool asuvate lahendustega siis liidestatakse vaid nende andmete saatmine, mis on vajalikud konkreetse vajaliku funktsiooni täitmiseks. Liidesed kaitstakse kasutajanime ja parooliga, kasutatakse krüpteeritud ühendust ning vajadusel teisi piirangu meetodeid (IP piirang, MAC piirang, SSH võtmed, vms).

Ettevõtte IT lahendused, mis hoiavad ettevõtte jaoks olulisi andmeid peavad olema kaitstud piisavalt hästi, et oluline info ei satuks võõrastesse kätesse. See tähendab, et kui veebileht sisaldab ärikriitilisi andmeid, on vajalik ka veeb piisavalt turvata. See tähendab ligipääsude haldamist, turvapaikade paigaldamist, ründevektorite tuvastamist ja tõrjumist ning tegelemist võimalike turvaintsidentidega.

Veebikeskkondade turvalisus

Ettevõtte kasutuses olevates veebikeskkondades kasutatakse võimalusel kõrgendatud ligipääsuga kasutajate ligipääsu piiramist ja mitmetasandilist autentimist. Kasutatakse piisava keerukusega paroole ning paroole vahetatakse regulaarselt vähemalt kord aastas.

Veebikeskkondade administreerimised on võimalikud vaid kontori võrgust ning autentimisel kasutatakse robotituvastamise mehhanisme.

Veebikeskkonnad on varundatud ning sisaldavad funktsionaalsust tuntud rünnete vältimiseks.

Veebikeskkonnad, kus on tundlikke kliendi andmeid uuendatakse regulaarselt ning lisaks kasutatakse veebirakendustele tulemüüri (Mod-security ja Nimbus või analoogid), mis tuvastab ja hoiab ära veebirakenduste vastu suunatud ründepäringuid.

Ettevõtte kaasab veebikeskkondade arendajad turvalisuse aruteludesse ning küsib vähemalt aastas ühe korra veebiarendaja soovitused veebis olevate andmete kaitsmiseks.

IT ülevaataja roll

Ettevõttes on olemas IT partner, kes kontrollib perioodiliselt erinevate rutiinsete IT tööde või protsesside täitmist ja täitmise kvaliteeti, juhib tähelepanu ja teavitab tõrgetest.

IT ülevaataja kontrollib süstemaatiliselt ettevõtte IT hetkeseisu, teavitab IT ülesannete täitjaid puudustest, kontrollib puuduste täitmisi ja teavitab puudustest, mis tekivad varasemast töö tegemata jätmisest, halvasti täitmisest või töö korralduse puudustest.

IT ülevaataja kontrollib kõiki käesolevas dokumendis kirjeldatud tegevuste tulemusi, IT ülevaataja ülesandeid lisatakse või muudetakse vastavalt IT partneri parimale äranägemisele.

IT ülevaataja hoiab ennast kursis Office 365 litsentside ja töövahenditega, jälgib Security, Exposure ja Compliance skoore, rakendab turvareegleid ning teeb ettevõtte juhtkonnale ettepanekuid täiendavate turvameetmete kasutusele võtuks.

IT ülevaataja koostab ülevaate ettevõttest väljaspoole jagatud andmeliidestest ning kontrollib koos äripoole vastutava töötajaga. IT ülevaataja kontrollib ka teiste IT partnerite tööd ning tuvastab kas töö vastab käesolevale IT turvalisuse poliisile.

Ettevõtte infosüsteemide, sh serverite ja infrastruktuuri kaitse

Ettevõtte IT infrastruktuuris kasutatakse äriklassi seadmeid. Kõikide seadmete tarkvara uuendatakse vähemalt üks kord aastas. Serverid ja teised andmehoidlad on kaitstud viiruse- ja nuhktõrjetarkvaraga.

Serverite tarkvara uuendatakse IT partneri poolt vähemalt kord kahe nädala jooksul ning kontrollitakse käsitsi. Serverid, mida saab uuendada automaatselt uuenevad ise. Serveritel kasutatakse ametlikult toetatud operatsioonisüsteemi, välja arvatud erijuhtudel. Mittetoetatud tarkvara kasutamine piiratakse vaid sisevõrku ja kaitstakse viirusetõrjega.

Internetiühendusi, servereid, teenuseid ja võrguseadmeid monitooritakse IT partneri poolt monitooringusüsteemiga ning monitooringu teadetest luuakse süsteemi poolt IT intsidendid, mida käsitlevad spetsialistid vastavalt teenustaseme kokkulepetele.

IT infrastruktuuri haldusliidesed on ligipääsetavad vaid sisevõrgust või kindlatelt IP aadressidelt. Rakendatakse kahetasandilist autentimist ka haldusliidestes(kus see on võimalik). Serveriruum ja võrgusõlmpunktid on lukustatud ning võtit hoitakse turvalises kohas. Missioonikriitilised seadmed on kaitstud ülepinge kaitsme ja UPS-ga. Olulisemad seadmed on IT partneri ettepanekul ja ettevõtte nõusoleku andmisel dubleeritud.

IT infrastruktuurist ei suunata väljapoole mitte ühtegi teenust ilma täiendava piiranguta või piisava põhjenduse ja turvalisuse kontrollita. Avalikud teenused (koduleht ja mailid), hoitakse kolmanda osapoole majutuses (samuti administreeritavad IP piirangu ja mitmetasandilise autentimisega). Vastavalt töö tegemise iseloomule ja võrgu ehituse iseloomule kasutatakse täiendavaid tarku tulemüüre.

E-mailidest ja dokumentidest otsitakse turvatarkvara abil pahavara (viirused, pahavara, õngitsuskirjad). Ettevõtte IT partner kontrollib selle tööd.  Microsoft 365 keskkonnas on seadistud turvameetmed vastavalt sellele millist turvataset ettevõtte ostetud litsentsid võimaldavad. Ettevõtte IT infrastuktuuri turvalisust kontrollitakse ja varundatakse seadistused IT partneri poolt vastavalt IT partneri koostatud juhendi põhjal. Kirjeldatud juhendit uuendatakse vähemalt kord ühe aasta jooksul, vajadusel tihemini.

Töö turvareeglitega

Ettevõtte juhtkond ja IT partner tegeleb regulaarselt ettevõtte turvareeglite, nende väljatöötamise ja jõustamisega. Ettevõtte juhtkond kutsub vähemalt aastas kokku koosoleku, kus vaadatakse üle turvareeglid.

Turvareeglite väljatöötamiseks ja jõustamiseks tehakse  IT partneri poolt järgnevaid tegevusi:

  • Viiakse regulaarselt kurssi ettevõtte töös kasutatavate seadmete ja tarkvara tootja infoga
  • Uuritakse enne uuenduste paigaldamist uuenduste sisu ja mõtet.
  • Automaatselt paigaldatakse vaid olulised uuendused ja turvauuenduste enne uute funktsioonide lisandumist tutvutakse uute võimalustega.
  • Erinevad seadmed ja tarkvara pannakse võimalusel saatma teavitusi uute funktsioonide lisandumisest.
  • IT intsidentide lahendamisel uuritakse logifaile.
  • IT ülevaataja uurib vastavalt vajadusele kasutajate harjumusi.
  • Hinnatakse ja rakendatakse tootjate poolt soovitatavaid turvaeeskirju.
  • Välisvõrgust piiratakse ära kõik tehnilised võimalused, mis ei ole vajalikud ja põhjendatud.
  • Uuritakse viiruse- ja nuhktõrjetarkvara logisid.
  • Koostöös ettevõtte vastutava töötajaga uuendatakse poliisi kui peaks tekkima uusi seadusandlusest või määrustest tulenevaid nõudeid.
  • Uute tehnoloogiate või IT ärifunktsioonide lisandumisel viiakse läbi turvaanalüüs.
  • Ettevõtte tööprotsesside või töö iseloomu muutumisel kontrollitakse vastavust poliisiga.
  • Ettevõtte struktuuri muutumisel või töökorralduse muutumisel täiendatakse poliisi.
  • Suuremate IT muudatuste puhul vaadatakse turvapoliis ja selle rakendamine üle.
  • Ettevõtte IT viib ennast regulaarselt kurssi IT maastiku turvaohtudega.
  • Ettevõte korraldab ringi IT varade füüsilise asukoha korduvate suuremate IT intsidentide või IT turvaintsidentide tekkimisel.
  • Kasutajatega viiakse läbi intervjuusid, uuritakse kasutajate harjumusi.
  • IT ülevaatajalt küsitakse sisendit turvareeglite parandamiseks.
  • Poliisi uuendatakse vastavalt äripoole riskianalüüsile vähemalt kord aastas.
  • Uuritakse töötajate arvamusi kuidas nende arvates peaks andmeid kaitsma.

Ettevõtte rollid IT küberturvalisuse tõhustamiseks

Ettevõtte ja ettevõtte IT partnerid jälgivad käesoleva küberturvalisuse poliisi täitmist ning rakendavad toodud põhimõtteid.

  • Serveriruumi või sideruumi ligipääsu haldus – serveriruumi ja sideruumi võtmeid hoitakse turvalises kohas ning võtmete andmine registreeritakse (kuupäev, kellaaeg ning võtme võtja isiku nimi koos allkirjaga).
  • IT partnerite külastuste registreerimine – IT partnerite külastus ettevõtte äripinnal registreeritakse (kuupäev, kellaaeg ning tehniku nimi koos allkirjaga).
  • Kasutajaõiguste kontroll ja tagasiside andmine – IT partner saadab kasutajaõiguste tabeli vähemalt kord poole aasta jooksul ning ettevõtte vastutav töötaja peab sellele vastama 7 tööpäeva jooksul. Kui vastust ei saadeta siis loetakse antud tabelis olevad õigused õigeks.
  • Küberturvalisuse poliisi üle vaatamine ja täiendamine – küberturvalisuse poliis vaadatakse üle vähemalt kord aastas, ettevõtte töö või tehnilise lahenduse muutumisel vajadusel tihemini.
  • Töötajatelt ja partneritelt nõusoleku võtmine – kõikidelt töötajatelt ja partneritelt võetakse nõusolek, et nad on tutvunud ja nõustunud IT küberturvalisuse poliisiga.
  • Töötajate juhendamine – ettevõtte kontaktisik juhendab töötajat käesoleva küberturvalisuse kontekstis. IT partner teostab samuti juhendamise kaughalduse ja telefoni teel.
  • Kasutajaõiguste kontroll rakendustarkvarades – vastutav töötaja kontrollib üle, kas ettevõtte kasutatavates rakendustarkvarades on õigused rakendunud (Qlikview, QlikSense, BC ja Sales). Eesmärk on tuvastada olukorrad, kus õigused on määratud aga ei ole rakendunud.
  • Teavitamine uute seadmete või lahenduste kasutusele võtust – ettevõtte vastutav töötaja annab teada kui ettevõtte IT lahendussse soovitakse lisada uusi seadmeid, tarkvarasid või lahendusi.
  • Regulaarsete IT koosolekute kokku kutsumine – ettevõtte vastutav töötaja kutsub vähemalt kord aastas kokku koosoleku, kus arutletakse võimalike probleeme ja võimalusi koostöö parendamiseks.
  • Kasutajate informatsiooni edastamine – ettevõtte vastutav töötaja edastab informatsiooni töötaja töösuhte staatuse kohta (töötaja tulevikus, uus töötaja, ametikoha muutus, pikem puhkus või haigus, lapsehoolduspuhkus, töösuhte muutmine, peatamine või lõpetamine vms).
  • Kõikide IT partnerite kaasamine turvalisuse parendamiseks – ettevõtte vastutav töötaja kaasab kõik IT partnerid IT turvalisuse aruteludesse.
  • Kõikidele IT partneritele kohustus vastata ja reageerida – Ettevõtte tagab, et erinevad IT partnerid vastaks IT küberturvalisusega seotud küsimustele.
  • Konfidentsiaalsuslepingud IT partneritega – ettevõtte vastutav töötaja sõlmib piisava ulatusega konfidentsiaalsuskokkuleppe.
  • Turvalisusega seotud koolitused töötajatele – Ettevõtte korraldab töötajatele küberturvalisuse koolitusi ja ettekandeid.
  • Tõrgetega tegelemise plaan – ettevõtte vastutavad töötajad hoolitsevad selle eest, et nende vastutusalas oleva IT lahenduse tõrke puhul on olemas äri jätkamise plaan, samuti peab vastutav töötaja panustama IT taasteplaani väljatöötamisse.
  • Dokumentatsiooni küsimine – ettevõtte vastutav töötaja või juhtkond küsib vastavalt äranägemisele IT dokumentatsioonist väljavõtte.
  • Seadusest tulenevate nõuete täitmine – Ettevõtte teeb ettepanekud IT partneritele seadusest tulenevate nõuete täitmiseks.
Küberturvalisuse poliis