ISO/IEC 17799 ? uus standard infoturbeks

Kui teie firmale on oluline informatsiooni ja äriprotsesside turvalisus, rahvusvaheliste partnerite usaldus ning valmisolek andmekaitse inspektsiooni kontrolliks, siis tasub tutvuda rahvusvahelise standardiga ISO/IEC 17799, mis on infoturbe halduse praktiline juhendmaterjal.

Tänapäeval, kus arvutid ja infosüsteemid on muutunud ärimaailma lahutamatuks osaks ning oluliseks töökeskkonnaks, ei tohi infosüsteeme ja eriti just nende turvalisuse haldamist unarusse jätta. ISO 17799 ongi uus rahvusvaheline standard, mis on mõeldud eelkõige praktiliseks juhendiks infoturbe halduse korraldamisel.

Informatsiooni ja sellest tulenevalt infosüsteemi kaitsmist nõuavad Eestis nii seadused kui ärimaailma vajadus usalduse järele. Seadusesätete täitmist kontrollib Eestis andmekaitse inspektsioon. Ülejäänud kontrollmeetmete rakendamine on organisatsiooni enda parimates huvides ja tihtipeale on need meetmed elementaarseks nõudeks rahvusvaheliste organisatsioonide koostöös.

Seaduse ja reglementide järgi nõutud elementaarsed kontrollmeetmed on: isikuandmete ja privaatsuse kaitse; intellektuaalse omandi kaitse ning organisatsiooniliste andmete kaitse (näiteks, andmete hävinemise ja võltsimise vastu tuleb kaitsta finantsinformatsiooni)

Ärimaailma praktikas välja kujunenud parimad kontrollmeetmed on: infoturbe poliitika dokument; infoturbe vastutusalade määratlemine; infoturbe alane treening ja teadvustamine ning intsidentide raporteerimine.

Kui eelpooltoodu võib näida mõningal määral pealesunnitud koormuse ja kulutusena, siis võiks asjale läheneda ka firma äriprotsessi vajaduste seisukohast.

Informatsiooni turvalisust saab iseloomustada kolme olulise faktori abil:

Konfidentsiaalsuse säilitamine: kindlustamaks informatsiooni kättesaadavust ainult autoriseeritud kasutajatele;

Terviklikkuse säilitamine: kindlustamaks informatsiooni ja selle töötlemise meetodite täpsust ja terviklikkust;

Kasutatavuse säilitamine: kindlustamaks, et autoriseeritud kasutajatele oleks vajadusel alati tagatud juurdepääs informatsioonile ja sellega seonduvatele ressurssidele.

Paljud infosüsteemid on loodud ilma turvalisuse eesmärgita või siis pole turvalisus olnud primaarne ajend. Sellisel juhul võib infoturbe korraldamine olla märgatavalt keerulisem ja kulukam.

Informatsiooni turvalisust on võimalik saavutada sobivate kontrollmeetmete rakendamise läbi. Selleks võivad olla turvapoliitikad, reeglid, protseduurid, organisatoorsed meetmed ja tarkvara lahendused.

Infoturbe eduka rakendamiseks olulisimad faktorid on:

infoturbe poliitika: eesmärgid ja tegevus, mis kajastavad ärieesmärke;lähenemine infoturbe rakendamisele nii, et see sobiks organisatsioonilise viljelusega;selgeltnähtav toetus ja panus juhtkonna poolt;hea infoturbe vajaduste, riskihinnangu ja riskihalduse mõistmine;efektiivne turbe selgitus juhtide ja töötajate tasemel ning kõikide töötajate perioodiline infoturbe treening;juhendmaterjali kättesaadavus ja teadvustamine kõikidele töötajatele ja töövõtjatele;põhjalik ning balansseeritud mõõtmissüsteem infoturbe haldamise ja kasutajate tagasiside hindamiseks.

Sellisel juhul on ISO 17799 heaks stardipunktiks.