Artikkel
  • Jaga lugu:
    Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

    Andmeturve nõuab kindlat vastutajat

    Andmete kaitseks on võimalik rakendada väga erineva kaaluga kaitsemeetmeid. Infoturbemeetmete kulud peavad olema tasakaalus infovara väärtuse ning intsidendist tekkida võiva kahjuga. Meetmete valikute aluseks on asutuses kehtestatud turbepoliitika ja -nõuded. Seni, kuni neid pole, saab lähtuda tervest mõistusest. Toon näiteid valdkondadest, mille peale võiks esmajärjekorras mõelda.
    Andmeturbemeetmeid võib liigitada kahte moodi ? otstarbe järgi ja teostusviisi järgi. Otstarbe järgi jagatakse andmeturbemeetmed kolmeks ? ennetavad, avastus- ja taastemeetmed. Ennetavate meetmetega püüame vältida intsidentide ja kahju tekkimist. Avastusmeetmetega püüame intsidendi või rikke võimalikult varakult avastada. Taastusmeetmetega püüame taastada võimalikult efektiivselt rikke-eelse tavaolukorra.
    Näiteks on ukse lukustamine kontorist lahkudes ennetav meede, tuletõrje- ja valvesignalisatsioon avastusmeede ning uute arvutite soetamine tulekahjus hävinute asemele taastusmeede. Oluline on, et meetmed moodustavad tervikliku kaitse. Ei ole mõtet teha andmetest turvakoopiaid, kui me ei oska või ei saa neid hiljem taastada. Pole kasu kustutist, kui keegi tulekahjust teada ei saa ja õigel ajal kustutama ei torma.
    Teostusviisi järgi jaotatakse andmeturbemeetmed samuti kolmeks ? organisatsioonilised, füüsilised ja infotehnoloogilised. Organisatsioonilised turvameetmed sisaldavad töökorralduse, turbe planeerimise, haldamise ja turvaintsidentide käsitluse tegevusi. Ehk kes peab mida tegema või mida teha ei tohi ning mis saab, kui midagi on tehtud valesti või midagi olulist jäänud tegemata. Füüsilised turvameetmed katavad ära infrastruktuuri ja keskkonnaga seotu. Infotehnoloogilised turvameetmed käsitlevad rakenduste juurdepääsu, samuti autentimist ja krüpteerimist.
    Nii on kasutajatunnuste väljastamine organisatsiooniline turvameede, trellide paigaldamine serveriruumi akna ette füüsiline turvameede ning tootmisrakenduses juurdepääsu piiramine kasutajatunnuse ja parooliga infotehnoloogiline meede. Ei piisa IT-rakendusele juurdepääsu piiramisest kasutajatunnuse abil, kui kasutajatunnuste väljastamise üle pole kontrolli või kui läbi kaitsmata akna saab terve andmebaasi koos serveriga kaasa võtta.
    Andmete kaitse üks olulisemaid alustalasid on vastutus. Kui meil on olemas vastutaja, on meil keegi, kellelt nõuda kaitse toimimist või sündinud kahjude hüvitamist.
    Elektroonilises keskkonnas ei piisa sellest, et on määratletud vastutus. Ootamatult keeruline võib olla vastutaja tuvastamine. Arvuti ei tunne ju kasutajaid nägupidi, vaid kasutajanime järgi. Kui Erkki Leegole määratud kasutajanimi on sattunud kellegi teise käsutusse, siis arvuti arvates kasutab arvutit ikka Erkki Leego ja Erkki Leego vastutab kõikide tema kasutajanime alt tehtud tegude eest.
    Seetõttu on oluline hoida päris inimene ja tema elektrooniline identiteet usaldusväärselt vastavuses. Kasutajanimega seotud parool tuleb hoida enda teada vähemalt sama hoolikalt kui pangakaardi PIN-koodid.
    Elektroonilise identiteedi usaldusväärsus algab kasutajatunnuse väljastamisest. Ka IT-administraator ei tohi teada minu parooli. Muidu ei ole ju hiljem võimalik enam selgeks teha, kas arvutit kasutas Erkki Leego või IT-administraator. Unustage ära parooli väljastamine telefoni, e-posti või inimeste kaudu. Inimene peab saama sisestada ja muuta oma kasutajanimega seotud parooli omakäeliselt.
    Samuti ei tohi olla üldisi kasutajanimesid, mida kasutab mitu inimest. Näiteks ?raamatupidaja? või ?firma?. Vastutus peab olema personaalne. Kasutajatunnuste väljastamise üle tuleb arvet pidada ? kellele, millal ja mis õigustega tunnus väljastati. Inimese lahkudes või volituste muutumisel tuleb tema kasutajatunnus sulgeda või õigusi muuta.
    Palju sõltub andmete kaitse sellest, mida inimene teeb või tegemata jätab. Seetõttu on mõistlik läbi mõelda ja kehtestada reeglid inimese käitumise juhtimiseks. Toon mõned näited protseduuridest, mida võiks kehtestada.
    Infosüsteemide (arvutivõrgu) kasutamise kord on mõeldud kõikidele arvutikasutajatele ning selles on sätestatud kokkulepped, piirangud ja vastutus infosüsteemide ja arvutite kasutamise kohta. Näiteks võib seada piirangu iseseisvalt arvutisse uute programmide paigaldamise osas. Tänapäeva viiruste maailmas tekivad sellise isetegevuse korral varem või hiljem probleemid.
    Pange ka kirja, mida arvutikasutaja tohib teha, mida ei tohi teha ja mis juhtub siis, kui ta midagi lubamatut teeb. Sanktsioonid võiksid alata kasutajatunnusega seotud õiguste piiramisest või kasutajatunnuse äravõtmisest kuni distsiplinaarkaristuseni. Õiglane on ära määratleda ka ettevõtte kohustused infosüsteemi kasutaja ees ? kui palju ressurssi (nt ruumi võrgukettal) on talle ette nähtud ning kuidas on arvutiabi korraldatud.
    Teine oluline protseduur käsitleb uksevõtmete (ja -koodide) jagamist ning haldamist. Kas teate, mitmel inimesel on teie kabineti võti? Kas koristajaga arvestasite? Kas töötaja lahkudes saite tagasi kõik tema käes olnud võtmed? Kas tühistasite tema turvasignalisatsiooni koodi?
    Raske on nõuda kelleltki ruumis asuvate andmete eest vastutamist, kui ligipääs ruumile pole kontrolli all. Soovitan pidada võtmete ja koodide registrit ning võtmeid väljastada allkirja vastu. Suurema asutuse korral on mõistlik väljastamise ahelasse lisada ruumi eest vastutava isiku luba konkreetsele isikule sinna ruumi ligipääsu saamise kohta. Protseduuriga võib kehtestada ka reeglid, mis võtmeid võib töökohast lahkudes kaasa võtta. Näiteks ühes Eesti ministeeriumis ei tohi võtmeid üldse majast välja viia ? need pannakse spetsiaalsesse võtmekappi pääslas.
    Võtmete jagamisega sarnaneb infosüsteemi kasutajatunnuste väljastamise protseduur. Soovitan kasutajatunnuseid väljastada avalduse alusel ning allkirja vastu. Avalduses saab määratleda õiguste ulatuse ? millistele süsteemidele millises rollis juurdepääsu vajatakse. Elektroonilisest identiteedist oli juba juttu eespool. Allkiri seob kasutajatunnuse konkreetse isikuga ja on ka kinnituseks, et kasutaja on nõus ettevõttes kehtiva IT-alase korraga. Õiguste andmisel peab lähtuma töötaja tööülesannetest tulenevatest vajadustest. Igaks juhuks kõigile süsteemidele juurdepääsu andmine hajutab vastutuse.q
    Füüsilised andmeturbemeetmed on kõige käegakatsutavamad ? uks peab olema lukus ja ruum valve all. Tervikliku lähenemise puhul tuleb vaadata üle nii uksed, aknad, seinad kui ka laed ja põrandad. Ei ole kasu tugevast turvauksest, kui see on kinnitatud kipsplaatidest seina külge. Olulise riskiallika moodustavad vee- ja küttetorud ? nende purunemine võib täita toa veega ning hävitada nii paberdokumentatsiooni kui ka tehnoloogia.
    Ootamatu võib olla tundliku vanapaberi töötlemine. Kortsu läinud väljatrükk printerist rändab pigem prügikasti kui paberihunti. Paberihunti kasutatakse väga valitud materjalide puhul. Mugav on kontorisse muretseda pitseeritud turvaprügikast. Läbi väikese pilu kogutakse sinna kõik ebavajalikud paberid ning vastav firma tagab selle prügikasti tühjendamise ning sisu hävitamise. Meie ettevõte kasutab seda teenust ja julgen soovitada.
    Andmeturbemeetmete puhul võib lähtuda tervest mõistusest ja kasutada standardeid. Kui asutuse äri sõltub olulisel määral infost, mida ta kogub ja töötleb, siis on mõistlik andmeturbele professionaalselt läheneda. Valitsevaid ohte ja oma ettevõtte nõrku kohti on lihtne alahinnata. Erinevate andmeturbemeetmetega on võimalik oluliselt vähendada riski kahjude tekkimiseks. Sageli ei olegi vaja teha palju kulutusi, vaid oma töötajatega mõned reeglid kokku leppida. Ainuüksi õige suhtumine tõstab turvalisust.
    Andmed ei ole asutuses ainult elektroonilisel ja paberkujul. Palju teadmist ja kaitstavat infot koguneb ka töötaja pähe. Andmeturbe puhul on sellel kaks aspekti ? need andmed ei tohi kaduma minna ja töötaja ei tohi vales kohas infot avaldada.
    Andmete kadumise vastu aitab dokumenteerimine. Nii äriedu kui ka vastava valdkonna jätkusuutlikkuse tagamiseks on oluline, et töötaja kätte kogunev info on kirja pandud. Kes on üle elanud olulise töötaja eemalejäämise, teab, et teadmuse talletamist ei saa alahinnata.
    Lobisemise vastu aitab vastutus. Töötaja ja tööandja vahelise suhte määratleb ära tööleping. Töölepingusse on mõistlik lisada punkt andmete kasutamise reeglite ja konfidentsiaalsuse kohta. Kui seda teemat ei ole töölepingus käsitletud, ei saa töötajat vastutusele võtta. Andmete kasutamise reeglite kirjeldamiseks ning vastutuse määratlemiseks võib sõlmida ka eraldi konfidentsiaalsuslepingu.
    Autor: Erkki Leego
    Jaga lugu:
  • Hetkel kuum
"Tunnen, et on vaja telefon kätte võtta... ja kukun jälle töösse!"
Miks juhtub nii, et inimesed on pidevalt ühenduses tööga, millised on tagajärjed ja kuidas ennast tööst lahti haakida, kirjutavad organisatsiooniuurijad Anne Reino, Alo Treial ja Maria Murumets Äripäeva essees.
Miks juhtub nii, et inimesed on pidevalt ühenduses tööga, millised on tagajärjed ja kuidas ennast tööst lahti haakida, kirjutavad organisatsiooniuurijad Anne Reino, Alo Treial ja Maria Murumets Äripäeva essees.
Ferrari kutsub tagasi 23 000 sõidukit
Itaalia autotootja Ferrari kutsub tagasi 23 555 sõidukit, sest kahtlustab paljudel mudelitel viga pidurites, vahendab ajakiri Car and Driver.
Itaalia autotootja Ferrari kutsub tagasi 23 555 sõidukit, sest kahtlustab paljudel mudelitel viga pidurites, vahendab ajakiri Car and Driver.
Reaalajas börsiinfo
Raadiohitid: ostuidee karuturul ja tippjuhtimise vähem nähtav pool
Äripäeva raadio kuulajatele pakkus sel nädalal enim huvi aktsiaturgudel toimuv, karuturu taustal esile kerkinud ostuidee ja usutlus tippjuhi Tarmo Noopiga.
Äripäeva raadio kuulajatele pakkus sel nädalal enim huvi aktsiaturgudel toimuv, karuturu taustal esile kerkinud ostuidee ja usutlus tippjuhi Tarmo Noopiga.
Nädala lood: suures skeemis paljastati Eesti firma, elekter kallineb hoogsalt edasi
Selle nädala olulisematest sündmustest tasub esile tuua üks rahvusvaheline skeem, mille paljastamisel tuli esile ka Eesti firma. Lisaks ei saanud mööda energeetikast, sest tuleval talvel ähvardab elektri hind tõusta selgelt kõrgemale, kui oli suvine hinnatipp.
Selle nädala olulisematest sündmustest tasub esile tuua üks rahvusvaheline skeem, mille paljastamisel tuli esile ka Eesti firma. Lisaks ei saanud mööda energeetikast, sest tuleval talvel ähvardab elektri hind tõusta selgelt kõrgemale, kui oli suvine hinnatipp.
Paar miljonit kilo maasikaid mädaneb Soomes põllule
Ukraina sõja põhjustatud tööjõuprobleem on peapõhjus, miks hulk maasikaid Soomes põllule on jäänud, kohati on ka vihmad maasikakorjamist takistanud, kirjutab Yle uudisteportaal.
Ukraina sõja põhjustatud tööjõuprobleem on peapõhjus, miks hulk maasikaid Soomes põllule on jäänud, kohati on ka vihmad maasikakorjamist takistanud, kirjutab Yle uudisteportaal.

Küpsised

Äripäev kasutab küpsiseid parima ajakirjandusliku teenuse, huvipakkuvama sisu ja hea kasutajakogemuse võimaldamiseks. Meie veebilehel on järgmist liiki küpsised: vajalikud-, statistika-, eelistuste- ja turunduse küpsiseid. Küpsiste kasutamise eesmärkide ja töötlemise aluse osas saad rohkem infot Meie Küpsiste Poliitikast. Vajutades „Luban kõik“ nõustud Küpsiste kasutamisega meie ja kolmandate osapoolte poolt Meie Küpsiste poliitikas ja käesolevas Küpsiste lahenduses toodud tingimustel. Vajutades „Muudan eelistusi“ saad oma eelistusi alati muuta ja täiendavalt infot erinevate Küpsiste kohta.

Loe lähemalt meie Privaatsus - ja Küpsisepoliitikast.