Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Turvapoliitika täiendab firma sisekorraeeskirju
Turvapoliitikaks nimetatakse Eesti standardi EVS-ISO/IEC 2382 kohaselt eelkõige plaani ning tegevuskava, mille eesmärk on kaitsta arvutisüsteeme ning nendes leiduvaid andmeid.
Vastupidiselt laialt levinud arusaamale ei piirdu arvuti- ning andmekaitse vaid elektrooniliste riskide maandamisega. Oluline osa on ka tavapärastel, füüsilist turvalistust mõjutavatel ohtudel ja nende vältimise meetoditel.
Töötajatele tuleb potentsiaalseid riske järjepidevalt teadvustada. Alustama peaks lihtsatest käitumisreeglitest: paroole ei kirjutada üles, vaid õpitakse pähe; tänaval või mujal avalikus kohas helistades ei räägita ettevõtte konfidentsiaalsest infost; tööandja sülearvutit ei võeta kaasa pubisse. Kui ettevõttes puudub väikese töötajate arvu tõttu vajadus luua eraldi turvapoliitikadokumenti, tuleb olulisemad käitumisreeglid kehtestada sisekorraeeskirjades.
Ettevõtte turvapoliitika kujundamisel ei pea alustama tühjalt kohalt. Suur osa riskidest ning nende vältimise viisidest on tegelikult universaalsed ega sõltu väga palju firma tegevuse spetsiifikast.
Ebaharilike turvariskidega ettevõttel on mõistlik pöörduda konsultandi poole, kes oskab kõikidele detailidele tähelepanu juhtida ning aitab teha riskidest ülevaate.
Väiksemas, põhiliselt kontoritööga tegelevas firmas sobib aluseks võtta näiteks riigi infosüsteemide osakonna poolt riigiasutuste tarbeks välja töötatud soovituslik dokument ?Asutuse infoturbe poliitika?, mis kirjeldab detailselt kõiki aspekte, millele turvapoliitika koostamisel tähelepanu pöörata. Tegevusi teatud andmete käitlemisel reguleerib andmekaitseseadus.
Kui ettevõttel on oma infotehnoloogia- ning turvaosakond, tuleks turvapoliitikadokumendi koostamine jätta nende ülesandeks. Dokumendis tuleb kirjeldada kõik konkreetse ettevõtte asukohast, töökorraldusest, informatsiooni konfidentsiaalsusest jms tulenevad riskid.
Turvapoliitika ettevalmistamisel tuleb esialgu arvesse võtta ka kõige ebatõenäolisemana tunduvad riskid. Riskide loetelu hilisem analüüs peaks näitama, kas üksikuna väikeseks hinnatud oht võib seoses mõne teise ohuga muutuda oluliseks riskiks.
Pole välistatud, et riskide ülevaate koostamise käigus selgub vajadus teha mõni suurem muudatus ettevõtte töökorralduses.
Autor: Andres Palm