Esmased turvameetmed on Riigi Infosüsteemi Ameti (RIA) poolt koostatud selged ja praktilised nõuded, mis aitavad väiksematel organisatsioonidel arusaadaval viisil ja sobivas mahus tagada oma infosüsteemide baaskaitse. Need on suunatud eelkõige küberturvalisuse seaduse (KÜTS) subjektidest mikro- ja väikeettevõtjatele ning kohaliku omavalitsuse hallatavatele asutustele, kus töötab alla 50 inimese.

Esmased turvameetmed keskenduvad baaskaitsele – sellele, et organisatsiooni olulised infosüsteemid oleksid kaitstud kõige levinumate ohtude eest.

Kui baaskaitsest jääb väheks või organisatsiooni riskitase kasvab, tuleb kasutusele võtta juba E-ITS-i meetmed või rahvusvahelise ISO/IEC 27001 standardi kontrollid. Nende kahe lähenemise erinevusi käsitleme eraldi selles blogipostituses: ISO/IEC 27001 või E-ITS: kumba infoturbestandardit eelistada?

Esmased turvameetmed on kohustuslikud kõigile küberturvalisuse seaduses nimetatud teenuse osutajatele, sõltumata tegevusvaldkonnast. Nõuded kehtivad nii perearstikeskustele kui ka elutähtsa teenuse osutajatele, juhul kui organisatsioon vastab mikro- või väikeettevõtja kriteeriumidele.

Üldhariduskoolid peavad jätkuvalt järgima E-ITS-i või ISO/IEC 27001 standardit. Samas on nad vabastatud auditi tellimise kohustusest juhul, kui nad ei ole andmekogu vastutavad ega volitatud töötlejad. Kui aga töödeldakse suures mahus tundlikke isikuandmeid, siis enam esmastest turvameetmetest ei piisa.

Esmaste turvameetmete määrus annab organisatsioonidele olulise paindlikkuse. Lubatud on rakendada samaväärseid riskide vähendamise meetmeid ning teatud meetmeid ei pea rakendama, kui need ei ole asjakohased või praktiliselt teostatavad – eeldusel, et organisatsioon on teadlik kaasnevatest riskidest.

See tähendab, et eesmärk ei ole lihtsalt "linnukeste tegemine", vaid teadlik ja mõtestatud infoturbe korraldus.

Esmased turvameetmed on sõnastatud tulemusest lähtudes, mitte samm-sammuliste juhistena. See annab organisatsioonidele vabaduse jõuda nõutava tulemuseni neile sobival viisil.

Oluline on mõista, et tegemist ei ole ühekordse projektiga, vaid pideva protsessiga. Organisatsioon peab õppima kogemusest ning kohandama oma meetmeid vastavalt muutuvatele riskidele ja vajadustele.

Samas ei vähenda esmaste turvameetmete rakendamine organisatsiooni vastutust. Meetmete rakendamata jätmine tähendab seaduse rikkumist ning võib varem või hiljem kaasa tuua küberintsidendi, töökatkestuse ning maine- või rahalise kahju.

Infoturbe korraldus loob aluse kogu ülejäänud süsteemile. Organisatsioonis peavad olema selgelt määratletud rollid ja vastutused – kes tegeleb igapäevaselt infoturbega, kes teeb otsuseid ning kuidas toimub probleemide eskaleerimine. Väiksemas organisatsioonis ei tähenda see keerulist juhtimismudelit, vaid pigem selget ja praktilist kokkulepet, kuidas infoturbe teemadega igapäevaselt tegeldakse. Oluline on, et infoturbe juhtimine ei jääks formaalsuseks, vaid oleks arusaadav ja rakendatav igapäevatöös.

Kasutajate teadlikkus on üks kriitilisemaid infoturbe komponente, kuna suur osa riskidest on seotud inimkäitumisega. Seetõttu ei piisa ühekordsest koolitusest, vaid vajalik on järjepidev ja süsteemne lähenemine. Töötajatele tuleb anda lihtsad ja arusaadavad juhised ning neid regulaarselt meelde tuletada. Toimiv lahendus on näiteks praktiline kasutajajuhend koos igapäevaste käitumisreeglitega ning pidev teavituste ja koolituste tsükkel.

Andmete turvalisus algab teadlikkusest, milliseid andmeid organisatsioonis töödeldakse ja kui kriitilised need on. Oluline on vaadata andmete kogu elutsüklit – alates loomisest ja kasutamisest kuni arhiveerimise ja kustutamiseni. See hõlmab nii andmete säilitamist, jagamist, varundamist kui ka turvalist hävitamist. Hästi läbi mõeldud andmekäitlus vähendab oluliselt nii juhuslike vigade kui ka pahatahtlike tegevuste riski.

Väliste teenuseosutajate kasutamine on tänapäeval tavapärane, kuid sellega kaasnevad ka täiendavad riskid. Iga uus teenus või partner peaks läbima vähemalt lihtsustatud riskihindamise ning olema selge, milliseid nõudeid tarnijale esitatakse. Sama oluline on olemasolevate partnerite regulaarne ülevaatamine või järelvalve, et veenduda nende vastavuses organisatsiooni ootustele ja turvanõuetele.

Ükski organisatsioon ei ole täielikult intsidentide eest kaitstud, mistõttu on oluline valmisolek neile reageerida. Töötajad peavad teadma, kuidas turvaintsidenti ära tunda ja kellele sellest teada anda. Selge ja ühtne tegevusloogika – alates avastamisest kuni lahendamise ja õppetundideni – aitab vähendada kahju ning kiirendada taastumist.

Pilveteenused ja veebirakendused on muutunud igapäevaseks töövahendiks, kuid nende kasutamine eeldab teadlikku lähenemist. Oluline on määratleda lihtsad reeglid teenuste valikuks, kasutajakontode haldamiseks ning ligipääsude kontrollimiseks. Hästi korraldatud ligipääsuhaldus aitab vältida olukordi, kus andmed või süsteemid on kättesaadavad valedele inimestele.

IT-seadmete ja süsteemide turvalisus hõlmab nende kogu elutsüklit – alates kasutuselevõtust kuni kasutuselt eemaldamiseni. Eesmärk on tagada, et seadmed oleksid korrektselt hallatud, ajakohased ning kaitstud nii kaotsimineku kui ka väärkasutuse eest. Läbimõeldud seadmehaldus vähendab märkimisväärselt igapäevaseid turvariske.

Turvalised ja töökindlad sideühendused on organisatsiooni toimimise alus nii kontoris kui ka kaugtööl. Oluline on tagada, et võrguühendused oleksid piisavalt kaitstud ning töötajatel oleksid selged juhised näiteks WiFi kasutamiseks ja kaugtöö tegemiseks. Nii välditakse olukordi, kus turvanõrkused tekivad just igapäevastes tööpraktikates.

Kuigi fookus on sageli digitaalsel turvalisusel, ei tohi alahinnata füüsilise turbe rolli. Ruumide, seadmete ja ligipääsude kontroll aitab ennetada olukordi, kus andmed või seadmed satuvad kõrvaliste isikute kätte. Puhta töölaua poliitika. Füüsiline turvalisus on oluline osa terviklikust infoturbe lähenemisest.