Organisatsiooni infoturbe eest vastutab tippjuhtkond, kes peab tagama, et see on süsteemselt hallatud, selleks vajalikud ressursid planeeritud ja organisatsioonis loodud küberturvalisust väärtustav kultuur.
1. Määra võimekas infoturbejuht
Infoturbejuhi ülesanne on kaitsta organisatsioonile vajalikke andmeid vastavalt parimatele praktikatele, tagades süsteemse kontrolli infovarade, personali ja tööprotseduuride üle. Seda rolli saab täita edukalt vaid juhul, kui infoturbejuht on kaasatud organisatsiooni juhtimisse, on iseseisev IT-osakonnast ja ülejäänud organisatsioon tajub tema antavate suuniste puhul tippjuhi igakülgset toetust.
Isikuandmete kaitse üldmäärusest lähtuvalt on teatud juhtudel kohustus määrata ka organisatsiooni andmekaitsespetsialist. Täpsem info Andmekaitse Inspektsiooni kodulehelt.
2. Lähtu infoturbestandardist
Standardid teevad infoturbe süsteemselt hallatavaks, esitades nõuded ja juhised organisatsiooni infoturbe halduse süsteemi loomiseks. Riigi Infosüsteemi Amet (RIA) on loonud Eesti infoturbestandardi (E-ITS), mis annab eestikeelse ja Eesti õigusruumile vastava aluse infoturbe käsitlemiseks. E-ITS on kooskõlas rahvusvaheliselt tunnustatud infoturbehalduse standardiga ISO/IEC 27001.
- Nõua organisatsiooni infoturbe korraldamisel kas E-ITSist või ISO/IEC 27001 standardist lähtumist.
3. Rakenda riskihalduse protsess ja planeeri vahendid infoturbeks
Küberturvalisusele suunatavad vahendid sõltuvad organisatsiooni äririskidest ja teenuste turbenõuetest.
- Nõua organisatsioonis riskihalduse protsessi rakendamist, mis sätestab riskianalüüsi teostamise ja regulaarse läbivaatuse ning riskikäsitluse tegevused (millised riskid aktsepteerida, maandada, edasi anda või vältida).
- Nõua riskianalüüsi ja riskihalduse tegevustesse IT- juhi ja infoturbejuhi kaasamist, et luua tervikpilt, millised on kriitilised andmed, ohud ja nõrkused lähtuvalt teenuse elutsüklist ning milliseid investeeringuid on vaja teha nendega seotud riskide maandamiseks.
- Too organisatsiooni IKT eelarve planeerimisel küberturvalisusega seonduvad kulud eraldi välja.
Riskihaldust aitab planeerida RIA välja töötatud E-ITSi riskihaldusjuhend.
4. Investeeri oma võrgu kaitsesse ning seiresse
- Kasuta sissetungi tõkestamise ja avastamise seadmeid (Intrusion Detection System IDS / Intrusion Protection System IPS) ja nõua infoturbejuhilt, et võrguliiklust salvestataks ning analüüsitaks.
- Nõua seire tulemustest ja intsidentidest juhtkonna teavitamist ning mõjuga intsidentide järelanalüüsi koos riskihinnangu üle vaatamise ja täiendavate meetmete soovitustega, et tulevikus sarnased intsidendid ei korduks.
Võrguliikluse seire ja kaitse korraldamisel võib pakkuda tuge CERT-EE lahendus Suricata for All (S4A). See lihtsustab vabavaral põhineva võrguliikluse seirelahenduse ehitamist, võimaldab saada rünnete ja pahavara tuvastamiseks CERT-EE abi. Täpsem info: [email protected]
5.Veendu oma e-posti turvalisuses
Üks peamisi ettevõtete vastu suunatud ründevektoreid seondub organisatsiooni e-kirjavahetuse kuritarvitamisega.
- Kehtestage reeglid, kas, kes ja millistest seadmetest peab saama juurdepääsu töömeilidele ning et organisatsiooni andmevahetus, eelkõige meilivahetus, oleks krüpteeritud ja organisatsiooni meiliaadresside võltsimine oleks kurjategijatele tehtud võimalikult keeruliseks (märksõnadena SPF, DKIM ja DMARC).
Rohkem infot leiab RIA koostatud juhendist.
6. Testi teenuste ja süsteemide turvalisust regulaarselt ning planeeri turvanõrkuste haldus
Süsteemides leitakse turvanõrkusi pidevalt ja neid kasutatakse kurjategijate või vaenulike riikide poolt koheselt ära. Turvanõrkuste halduseks ja süsteemide turvatestimiseks kuluvad vahendid on investeering, mis aitab vähendada kriitiliste intsidentide kulusid.
- Nõua organisatsioonis kasutuses oleva tehnoloogia turvanõrkuste süsteemset haldamist ja kehtesta organisatsioonis põhimõte, et enne uute teenuste või olemasolevate teenuste uute versioonide kasutuselevõttu tuleb alati läbi viia turvatestid. Põhiteenuste süsteemset testimist soovitame teha vähemalt kahe aasta tagant.
- Nõua turvatestimiseks kuluvate vahendite eelarvesse planeerimist ja vastavate lepingute olemasolu.
7. Kasuta Kübertesti organisatsiooni küberhügieeni parendamiseks
Küberturvalisus sõltub töötajate teadlikkusest, sest küberintsident saab sageli alguse kasutaja tegevusest või tegevusetusest. RIA pakutav Kübertest võimaldab kiirelt ja tasuta anda töötajatele põhiteadmised küberhügieenist ning tagab operatiivse ülevaate organisatsiooni töötajate küberturbeteadlikkusest. Selle põhjal on võimalik tellida spetsiifilisi koolitusi või teha täiendavat teavitustööd. Kübertesti sisu uueneb igal aastal ja seda on soovitatav läbida aastase intervalliga.
- Nõua infoturbejuhilt regulaarset ülevaadet Kübertesti tulemustest ja planeeritud järeltegevustest, näiteks suunatud koolitustest.
8. Tee koostööd CERT-EEga
Iga intsidenditeade on vajalik tervikpildi hoidmiseks ja kiire teavitus ning infovahetus CERT-EEga aitab kaasa riskide maandamisele riigis tervikuna. Kohustus intsidentidest teavitada on riigiasutustel ning küberturvalisuse seaduses (KüTS) nimetatud erasektori teenuseosutajatel, samas on oodatud kõikide teiste organisatsioonide teavitused.
- Küsi infoturbejuhilt või IT-juhilt perioodiliselt ülevaadet, millistest intsidentidest on organisatsioon CERT-EEd teavitanud.
Täpsem info ja raporteerimine: [email protected] või raport.cert.ee
9. Nõua logide pidamist ja regulaarset seiret
- Nõua infoturbejuhilt ja IT-juhilt logimise, logide säilitamise ja logide seire põhimõtete kokku leppimist, et tuvastada võimalikud kuritarvitused ja teenusega seonduvad probleemid.
Põhimõtetes tuleb kindlasti välja tuua, milliseid logisid kogutakse, kus neid turvaliselt talletatakse ja kui pikalt, et neid oleks võimalik küberintsidendi analüüsimiseks kasutada. Lisaks tuleb kehtestada nõuded logide regulaarseks seireks ja tegevusjuhised anomaaliate korral.
10. Veendu kriisiplaani olemasolus ja harjuta selle täitmist regulaarselt
Küberintsidentide ennetamise kõrval on oluline paika panna juhised olukorraks, kui intsident on siiski juhtunud, näiteks ükski tööjaam, e-kirjad, dokumendihaldussüsteem või mõni infosüsteem ei tööta.
- Pane organisatsiooni äririskide põhjal paika plaan B ehk kriisiplaan, et küberintsident ei halvaks teenuste kättesaadavust ja kuidas taastuda intsidendist (märksõnadena taastumiseks vajalikud rollid, tööprotsessid, varukoopiad, teenusepakkujate lepingud) tavapärasesse töörütmi.
Kriisiolukorras ei ole kasu aastaid vanast plaanist, seega planeeri kriisiplaani regulaarne ülevaatus ja regulaarsed kriisiõppused kõigile kriisi lahendamisega seotud rollidele, sh tippjuhtkonnale.
Lisasoovitus riigiasutustele: kasuta riigivõrku
Riigivõrk on riigi osutatav internetiteenus, mille kvaliteedi ja turvalisuse eest vastutab RIA. RIA intsidentide käsitlemise osakond CERT-EE teostab riigivõrgu turvaseiret Eesti parima ohuindikaatorite loetelu, tehnilise ja sisulise võimekuse toel. Riigivõrguga liitumine parandab märkimisväärselt asutuse küberturvalisust ning tagab ka terviklikuma vaate Eesti küberruumis toimuvast. Loe lähemalt.
Lisalugemist
Organisatsiooni küberturvalisuse juhtimiseks on RIA koostanud lühijuhendi, mis annab ülevaate, mis teemadele tähelepanu pöörata ja mida IT-spetsialistilt nõuda.
Seotud viited
Viimati uuendatud 07.05.2026
