IT küberturvalisuse poliis (näide)

I. IT küberturvalisuse poliis – tutvustus ja eesmärk

Käesolev IT küberturvalisuse poliis tagab kliendile, et tema ettevõtte, koostööpartnerite ja töötajate andmed on kaitstud nii inimlike eksimuste, kui pahatahtlike küberünnakute eest. Poliis kirjeldab kõiki meetmeid, mida rakendame, et minimeerida turvariske ja tagada kliendi infosüsteemide jätkusuutlikkus.

Küberturvalisus on oluline, sest kõik organisatsioonid salvestavad, koguvad ja töötlevad suures mahus andmeid, sealhulgas tundlikumat infot, nagu intellektuaalne omand, finantsinfo või isikuandmed. Infot, mille jõudmisel volitamata isikute kätte, võib olla negatiivseid tagajärgi.

Poliisi kehtestanud ettevõte ja selle töötajad jälgivad küberturvalisuse nõudeid. Kehtiv poliis vaadatakse üle vähemalt üks kord aastas, vajadusel tihenimi.

IT küberturvalisuse poliis jälgib ettevõtte riskianalüüsis püsitatud küsimusi. Käesolev poliitika kehtib ettevõtte juhatuse liikmetele ja töötajatele, kellel on püsiv või ajutine juurdepääs ettevõtte süsteemidele ja riistvarale.

II. Konfidentsiaalsed andmed

Ettevõtte töö tegemiseks on vajalikud järgmised andmed:

  • Ettevõtte sisesed dokumendid
  • Ettevõtte finantsandmed
  • Klientide dokumendid ja finantsandmed
  • Partnerite dokumendid
  • Töötajate andmed
  • Ligipääsuandmed, sh ligipääsuandmed teistesse süsteemidesse

III. IT ülevaataja roll

Ettevõttes on olemas IT ülevaataja, kes kontrollib regulaarselt/perioodiliselt erinevate rutiinsete IT tööde või protsesside täitmist ja selle kvaliteeti, juhib tähelepanu ja teavitab tõrgetest.

IT ülevaataja kontrollib süstemaatiliselt ettevõtte IT süsteemide hetkeseisu, teavitab IT ülesannete täitjaid puudustest, kontrollib puuduste täitmist ja teavitab IT juhti või tema asendajat puudustest, mis tekivad varasemast töö tegemata jätmisest, halvasti täitmisest või töökorralduse puudustest.

IT ülevaataja kontrollib kõiki käesolevas dokumendis kirjeldatud tegevuste tulemusi. IT ülevaataja ülesandeid lisatakse või muudetakse vastavalt vajadustele.

Igale uuele töötajale tutvustatakse poliisi ja juhendatakse käesolevat poliitikat rakendama töölevõtmise ajal. Ettevõtte juhatus vaatab poliitika igal aastal korrapärasel koosolekul üle ning viib sisse vajalikud parandused. IT ülevaataja töö on sisendiks kord kahe aasta jooksul tehtavale põhjalikule IT auditile.

Lisaks kasutajaõiguste kontrollimisele, koostab IT ülevaataja ka ülevaate ettevõttest välja jagatud andmetest ning kontrollib seda koos äripoole vastutava töötajaga. IT ülevaataja kontrollib ka teiste partnerite tööd ning tuvastab, kas töö vastab käesolevale IT küberturvalisuse poliisile.

IV. Töötajate kasutuses olevate seadmete ja andmete kaitse

Ettevõtte töötajad kasutavad tööks ainult ettevõtte omanduses olevaid seadmeid. See tähendab, et andmeid ei saa kasutada seadmetes, mida ettevõte ei halda ega saa vajadusel üle vaadata. Võõrastest seadmetest on ligipääs andmetele võimatu või piiratud.

Täiendavalt kasutame andmete kaitsmiseks järgmisi meetmeid:

  • Kõik kliendi andmekandjad on krüpteeritud.
  • Arvutitel on BIOS paroolid.
  • Lisaks Windowsi paroolile tuleb arvuti käivitamisel sisestada PIN kood.
  • Arvutitel on keelatud USB seadmed ja teised välised andmekandjad.
  • Arvutitel on keelatud sleep režiim, kasutatakse vaid hibernate režiimi.
  • Arvuti siseneb hibernate režiimi vähem kui 10 minutiga.
  • Kõiki paroole muudatakse regulaarselt, paroolid on piisava keerukusega.
  • Süsteemidesse sisse logimiseks on vajalik kahetasandiline autentimine (MFA).
  • Kahetasandiline autentimine käib läbi turvaspetsialisti (kahetasandilise autentimise kood tuleb teiselt inimeselt).
  • Automaatsed ja regulaarsed manuaalsed operatsioonisüsteemid ja tarkvarauuendused (iga kahe nädala tagant).
  • Viirusetõrje automaatne ja manuaalne kontroll (iga kahe nädala tagant).
  • Töötajad ei saa installeerida tarkvara, mis vajab administraatori õigusi.
  • Arvutitel uuendatakse firmware ja draivereid vähemalt 1 kord aastas või vajadusel tihedamalt.
  • Töötajad ei tohi anda oma tööarvutit teistele inimestele kasutada, ka pereliikmetele.
  • Töötajad ei tohi kasutada ega proovida kasutada tarkvarasid, mis pole tööks ettenähtud.
  • Töötajad ei tohi kasutada oma andmeresursse teistest arvutitest.
  • E-mailidest ja dokumentidest otsitakse tarkvara abil õngitsuskirju.
  • Töötajad on instrueeritud ja neile on antud juhend, kuidas hoida IT hügieeni.
  • Peale igat IT intsidenti või peale igat teenuspäringut tehakse lihtne arvuti kontroll
  • Ettevõte toob regulaarselt koosolekutel esile küberturvalisuse olulisuse.
  • Töötaja arvuti andmetest tehakse automaatseid koopiaid 2 korda päevas.
  • Koopiaid kontrollitakse automaatselt, lisaks perioodiliselt manuaalselt (1 kord kuus).
  • Arvutites on keelatud installida tööks mittevajalikke rakendusi ja tarkvara.
  • Töötamiseks väljaspool ettevõtte kontorit kasutatakse vaid VPN ühendust.
  • Igapäeva tööks ei kasutata Wifi ühendust.
  • Töötajatele on antud juhend, kuidas ja milliseid vahendeid kasutades võib andmeid ettevõttest väljapoole jagada.
  • Töötajad ei tohi hoida iseenda isiklikke andmeid tööarvutis, samuti ei ole ühelgi viisil lubatud tööks vajalike seadmete sünkroniseerimine isiklike seadmetega.
  • Töötajad teavad, kelle poole pöörduda kahtluste või tavatute olukordade puhul arvutiga töötamisel.
  • Kõiki arvuteid ja süsteeme hallatakse keskselt.
  • IT intsidendid registreeritakse ja dokumenteeritakse, viidatakse nii riist- kui tarkvarale.
  • Arvuti kasutaja vahetuse puhul hävitatakse seadmest kõik andmed mitmekordse wipemisega.
  • Arvuti kaotamise või varastamise puhul teavitab töötaja sellest kohe IT spetsialisti ja otsest ülemust.
  • Töötaja peab teavitama igast IT spetsialistist, kes soovib hallata ettevõtte IT süsteeme, kui konkreetne spetsialist ei ole lubatud IT spetsialistide nimekirjas. Poliisiga kaitstud seadmeid ei tohi hallata kõrvalised isikud.
  • Töötaja peab teavitama IT spetsialisti ja enda otsest ülemust, kui on võtnud kasutusele või soovib võtta kasutusele uue tööks vajaliku tarkvara.

Ettevõtte töötajad peavad ettevõtte infosüsteemide kasutamiseks andma nõusoleku, et nad on saanud aru IT süsteemide turvalisuse olulisest ning teavad, kuidas nad võivad ettevõtte andmeid ja IT vara kasutada.

Ettevõtte töötajate tööleping sisaldab kohustust järgida IT küberturvalisuse poliisi ning mitte avaldama ettevõtte IT süsteemide eripärasid ka peale töölepingu lõppemist. Kui tuvastatakse puudus töölepingus, otsustab edasise tegevuse ettevõtte juhtkond.

Soovitame töötajatel teavitada võimalikest rünnakutest, kahtlastest meilidest või andmepüügikatsetest koheselt. Ettevõtte IT-spetsialiste tuleb teavitada võimalikest petuskeemidest, rikkumistest ja pahavarast, selliselt saavad nad parandada IT infrastruktuuri kaitset.

IT-spetsialistid peavad viivitamatult uurima küsimust ning saatma ettevõtteülese hoiatusteate, kui seda vajalikuks peavad.

V. Ettevõtte infosüsteemide kaitse

Ettevõtte IT infrastruktuuris kasutatakse enterprise klassi seadmeid. Kõikide seadmete firmware ja tarkvara uuendatakse vähemalt üks kord poole aasta jooksul (IT juhi erikorraldusel tihemini). Seadmed, mis võivad anda võõrastele ligipääsu ettevõtte andmetele ja on lõpetanud tootetoe, vahetatakse ennetavalt.

Serverite tarkvara uuendatakse vähemalt kord kahe nädala jooksul ning kontrollitakse käsitsi. Serverid, mida saab uuendada automaatselt, uuenevad ise. Serveritel kasutatakse ametlikult toetatud operatsioonisüsteemi, välja arvatud pärandvaral, millele ei ole võimalik väljaspoolt ettevõtte sisevõrku ligi pääseda.

Internetiühendusi, servereid ja võrguseadmeid monitooritakse ning monitooringu teadetest luuakse IT intsidendid, mida käsitlevad spetsialistid vastavalt teenustaseme kokkulepetele. Kui eksisteerib tõrkeid IT riist- või tarkvaras, siis selle kohta saadetakse IT’le teade.

Serverid ja teised andmehoidlad on kaitstud viiruse- ja nuhktõrjetarkvaraga, servereid ja võrgusalvestusseadmeid uuendatakse automaatselt, lisaks kontrollitakse uuendusi vähemalt üks kord kuus manuaalselt. Tuvastatud viirus või nuhkvara salvestatakse teenuse haldustarkvarasse.

Kõik IT infrastruktuuri haldusliidesed on piiratud ligipääsemiseks ainult sisevõrgust või kindlatelt IP aadressidelt. Lisaks rakendatakse kahetasandilist autentimist ka haldusliidestes, mis võimaldavad kahetasandilist autentimist. Serveriruum ja võrgusõlmpunktid on lukustatud ning võtit hoitakse turvalises kohas. Missioonikriitilised seadmed on kaitstud ülepinge kaitsme ja UPS’iga. Olulisemad seadmed on dubleeritud.

IT infrastruktuurist ei suunata väljapoole mitte ühtegi teenust. Avalikud teenused (koduleht ja mailid), hoitakse kolmanda osapoole majutuses (samuti administreeritavad IP piirangu ja kahetasandilise autentimisega). Külalistele mõeldud Wifi asub ettevõtte susevõrgust eraldi võrgus. Ettevõtte infosüsteemi ressursse ei saa kasutada ilma omamata ettevõtte poolt antud arvutit, PIN’i, paroole ja eraldi kinnitatud kahetasandilist autentimist või VPNi.

Vastavalt töö tegemise iseloomule ja arvutivõrgu ehituse iseloomule, võidakse kasutada täiendavaid tarku tulemüüre, mis annavad täiendava kaitse võimalike rünnakute vastu.

Ettevõtte IT infrastuktuuri turvalisust kontrollitakse ja varundatakse seadistused vastavalt IT ülevaatajale koostatud põhjaliku juhendi põhjal. Kirjeldatud juhendit uuendatakse vähemalt kord ühe aasta jooksul, vajadusel tihemini.

VI. Kasutajaõiguste haldamine

Kõik kasutajad on registreeritud kasutajate nimekirjas, kus on näha, millistel kasutajatel, kuhu süsteemiosadesse ligipääs on. Seda tabelit kontrollitakse regulaarselt, lisaks vaatab selle tabeli täiendavalt üle ettevõtte juhtkond vähemalt kord poole aasta jooksul.

Kõikide kasutajaõiguste loomiseks, muutmiseks ja kustutamiseks küsitakse eraldi ettevõtte otsustajalt kirjalik nõusolek. Kasutajaõiguste andmine või muutmine on dokumenteeritud ning talletatakse arhiivi.

Kasutajaõiguste tabel sisaldab informatsiooni selle kohta, kes IT vastutajatest kasutajaõiguseid muutis, millisel põhjusel ning millise kliendi intsidendiga see seotud oli.

Kõrgendatud õigustega ja administraatori taseme õigustega kasutajaid kontrollitakse pärast igat kasutajateõigustega seotud toimingut.

Rakendustarkvarade kasutajaõiguste andmisega tegeleb ettevõtte vastutav töötaja, kes kontrollib, et kasutajaõigused ja grupiõigused ning gruppidesse kuulumine on asja- ja ajakohane. Samuti kontrollib vastutav töötaja, et andmetele saavad ligi vaid need töötajad, kes vajavad andmeid töö tegemiseks. Vastutava töötaja eesmärk on kontrollida ka seda, et rakendustarkvara ei võimaldaks pääseda ligi valedele andmetele.

Kasutajaõiguste andmist või muutmist juhib ja kontrollib ettevõtte juhtkond või tema poolt volitatud isik.

VII. Varundus ja varunduse kontroll

Ettevõtte infovaradest tehakse kord ööpäevas koopia spetsiaalsele kindlaks määratud andmehoidlasse, koopiate autentsust kontrollitakse käsitsi vähemalt üks kord kahe nädala jooksul. Kord ühe kuu jooksul tehakse lisaks veel täiendav käsitsi varukoopia.

Koopia ebaõnnestumise kohta saadetakse vastutavale töötajale teavitus, mis registreeritakse ja hiljem arhiveeritakse. Varunduse intsidentidega töö dokumenteeritakse.

Varunduses arvestatakse sellega, et varundust on vaja ka selleks kui kasutajate ligipääsuandmed lekivad, andmeid on rikutud või kui tekib vajadus leida andmed oluliselt varasemast ajaperioodist.

Ettevõtte sisemiste ohtudega tegelemiseks peamine meetod on piisav arv varukoopiaid (andmete kustutamine, rikkumine või turvaintsidentid).

Iga päev tehakse varukoopiast koopia ka väljapoole ettevõttet, kasutatakse offsite koopiat täiendava varumeetmena. Varundus on dokumenteeritud ettevõtte IT dokumentatsioonis ning iga infovara konfiguratsiooniüksus sisaldab kirjeldust selle kohta kuidas tehakse koopiat ning kuidas varukoopiast taastada.

VIII. Töötajate koolitamine

Uue töötaja lisandumisel juhendatakse töötajat ettevõtte infosüsteemide tööst ja antakse juhised ning soovitused turvaliseks arvuti kasutamiseks. Olemasolevatele töötajatele räägitakse IT turvalisusest uuesti üle vähemalt kord poole aasta jooksul. Töötajaid informeeritakse millised võivad olla tagajärjed kui informatsioon satub võõraste inimeste kätte.

  • Arvuti käivitamisel peab olema PIN kohustuslik
  • Ära kasuta oma kasutajatunnuseid mitte üheski teises seadmes
  • Muuda oma paroole tarkvarades vähemalt kord poole aasta jooksul (rakendused, kus parooli muutmist ei küsita automaatselt)
  • Ära kirjuta ülesse oma paroole või PIN’e
  • Ära jaga dokumente või infot väljapoole organisatsiooni kui Sa ei tea mida Sa teed
  • Ole alati ettevaatlik kui soovid avada kahtlast või tundmatud linki või e-kirja, vajadusel konsulteeri IT toega
  • Kõikidel arvutitel peab olema seadistatud „hibernation“ (mitte „sleep“)
  • Kõik välised USB seadmed on piiratud ja keelatud
  • Eelista alati kasutada võrgukaablit LAN
  • Hoia oma dokumente kas töölaual või Dokumentide kaustas
  • Kui Sa näed Drive ikooni juures punast X’i siis võta ühendust IT kasutajatoega
  • Kui Sa saadad välja väga konfidentsiaalset infot siis krüpteeri andmed enne saatmist
  • Kui Sa kasutad arvutit väljaspool kontorit siis kasuta alati VPNi
  • Ära kopeeri või sünkroniseeri andmeid väljaspoole organisatsiooni
  • Ära kopeeri või sünkroniseeri oma andmeid iseenda isiklikku arvutisse
  • Palun ära kasuta isiklikke rakendusi või tarkvarasid töö arvutil (sh meelelahutus, näiteks Facebook või Instagram) välja arvatud tööks vajalike juhtudel (turundus, kliendisuhtlus)
  • Eelista kasutada Microsoft Edge brauserit
  • Kui Sa näed arvutiekraanil kahtlast teadet siis võta koheselt ühendust IT toega
  • E-mailide avamisel kontrolli, kas saatja mailiaadress oli õige (tihti tuleb vaadata kuvatava nime taha)
  • Konsulteeri IT toega kui Sulle tundub, et saadetud info, link või tarkvara on kahtlane
  • Ära lase ühelgi tehnikul või spetsialistil oma IT asju parandada ilma veendumata, et tal on selleks ettevõtte juhtkonna poolt antud volitus
  • Ära sünkroniseeri oma arvuti andmeid mobiili, pilve või teise seadmesse ilma omamata selleks kirjalikku volitust.
  • Kasuta vaid keerulist parooli, vähemalt 10 tähemärki, see peab sisaldama ka numbreid ning suur- ja väiketähti.
  • Ära jaga Sulle antud paroole mitte kellegiga, sh teiste töötajate või IT spetsialistidega.
  • Ära kasuta sama salasõna mitmes seadmes.
  • Ära kasuta isiklikku paroolihalduse tarkvara või mõnda muud tarkvara, mis talletab paroolid – välja arvatud töö arvutisse eelnevalt seadistatud tarkvara.
  • Anna võimalikult ruttu teada kui Sinu kasutuses olnud riistvara või pilveressurss ei tööta, töötab kahtlaselt või on üle võetud/varastatud.
  • Kui Sulle tundub, et ettevõtte IT varad on ohus, andmed võivad olla kättesaadavad võõrastele inimestele või mõni tegevus tundub kahtlane siis anna sellest varakult märku
  • Hoidu tarkvaradest, mis pole tööks ette nähtud.
  • Ole teadlik, et andmeid võidakse proovida varastada ka sotsiaalse manipulatsiooni teel, sh. telefoni teel, esitledes ennast spetsialistina või saates Sulle kahtlaseid dokumente või linke
  • Mõtle mida Sa jagad ja kellega! Hoidu kogemata jagamast valesid kaustu või dokumente. Kui eksisid jagamisel siis teavita sellest kiiresti IT tuge
  • Hoia eemale kahtlastest veebilehtedest või tarkvaradest
  • E-kirja edastamisel kontrolli topelt saajate nimekirja
  • Väldi väljaspool kontorit võõrastes kohtades Wifi-t ning eelista hotspoti, seda eriti välismaal või võõrastes kohtades.
  • Kui Sa kasutad ettevõtte infovarasid mobiilsest seadmest (telefon, iPAD) või mõnest teisest seadmest kui Sulle antud töö arvuti siis peab see seade olema liidetud ettevõtte turvavõrku ning seadme võõrandamisel peab olema seade andmetest puhastatud spetsialisti poolt
  • Ära edasta kasutajanime ja parooli e-mailiga või läbi sotsiaalmeedia
  • Kui kasutad tööks sotsiaalmeediat või sõnumiedastustarkvarasid siis uuenda neid regulaarselt või palu abi IT toelt
  • Ära ühenda oma arvutit mitteusaldusväärse päritoluga irdmeediat (USB pulgad Hiinast, mälukaardid, vms).
  • Kui peaksid kasutama väliseid andmekandjaid siis hoia neid lukustatud sahtlis või seifis
  • Ära hoia ühiselt kasutatavatel ressurssidel dokumente, mis pole teistele vajalikud
  • Hoia varukoopiaid lukustatud seifis või lukustatud serveriruumis
  • Ära jäta oma arvutit järelevalveta

IX. Sotsiaalne kontroll

Turvalisus peab olema organisatsioonis iga töötaja, mitte ainult IT-spetsialistide ja tippjuhtide murekoht.

Kui ettevõtte töötaja näeb, et ettevõtte andmeid käideldakse valesti või kui andmete konfidentsiaalsus võib sattuda ohtu siis võib töötaja sellest teavitada oma otsest ülemust või IT spetsialiste. IT tugi on toeks vea parandamisel ning ettevõtte juhtkond aitab jõuda parema lahenduseni andmete kaitsmisel.

Töötaja saab anda vihje andmete valest kasutamisest juhtkonnale või IT toele ning vajadusel jääda ka anonüümseks.

Seoses andmete kaitsega on kõigi töötajate toetus vajalik erinevate seaduste ja määruste täitmiseks. Ettevõte kaitseb töötajat kui ta juhib tähelepanu kahtlasele tegevusele ettevõtte infosüsteemis.

Ettevõte julgustab arutlema ja rääkima IT turvalisuse teemadel.

X. Plaan tegelemiseks oluliste IT tõrgetega

Iga töötaja või juhatuse liige, kes on teatud infosüsteemi või selle osa peakasutaja peab olema veendunud, et IT’l on olemas plaan tegelemaks oluliste IT tõrgetega. See plaan peab olema üle vaadatud vähemalt üks kord aastas koostöös IT spetsialistiga ning kinnitatud.

Samuti peab iga töötaja andma teada uuest lahendusest ja veenduma, et ka uuele tarkvaral on koostatud plaan tegelemaks tõrgetega. IT osakond teavitab juhtkonda uue tarkvara lisandumisest ja annab ülevaate kuidas oluliste IT tõrgetega hakkama saadakse.

Ettevõtte juhtkond kontrollib plaani kuidas IT tegeleb oluliste IT tõrgetega.

XI. Dokumentatsioon

Kõikidest ettevõtte IT varadest luuakse dokumentatsioon, kõik IT muudatused ja IT intsidendid viidatakse vastavalt seadmetele või tarkvaradele. Dokumentatsioon on koostatud sellisel põhimõttel, et piisava pädevusega uus IT spetsialist saaks kõik ettevõtte tööks vajalikud tegevused viia ellu ärile vajaliku kiirusega.

IT dokumentatsioon kontrollitakse täiendavalt üle vähemalt kord poole aasta jooksul IT ülevaataja poolt. IT dokumentatsioon sisaldab konfiguratsiooni elemente, nende vahelisi seaoseid ning vajaliku infot selleks, et ettevõtte töö IT intsidendi tekkimisel oleks taastatud võimalikult kiiresti. IT dokumentatsioon on koostatud lähuvalt parimatest IT praktikatest.

Dokumentatsioon sisaldab nõudeid kirjeldamaks erinevate ärikasutajate vajadusi, sh tarkvarade nimekirja ja seadistuste eripärasid. IT ülevaataja kontrollib dokumentatsiooni põhjalikult kord aastas ning pisteliselt vastavalt vajadusele.

Ettevõte juhtkond küsib enda valdusesse kogu IT dokumentatsiooni vähemalt kord aastas või vajadusel tihemini. IT partneritega sõlmitud teenus- või konfidentsiaalsuslepingud on IT dokumentatsiooni osa. Ettevõte kasutab IT intsidentide, teenuspäringute ja probleemide käitlemiseks IT teenuse juhtimise tarkvara.

XII. Turvaintsidentide käitlemine

Ettevõtte töötajad peavad andma teada igast kahtlaselt tunduvast IT süsteemi toimimisest. Väga tähtis on tuvastada võimalikud vead või rünnakud varakult. Ettevõte julgustab töötajaid andma teadma ja küsima üle kui peaksid tekkima võimalikud kahtlused.

Kui ettevõtte andmed on ohus siis tuleb võimalikult kiiresti vahetada paroolid ning kontrollida andmete korrektsus/olemasolu. Vajadusel tuleb arvuti või seade seisata.

IT spetsialist tuvastab koos töötajaga kahtlaselt näiva asjaolu, see dokumenteeritakse ning koos IT ülevaatajaga otsustatakse järgmised tegevused.

XIII. Andmete sünkroniseerimine süsteemide vahel

Kui ettevõtte infosüsteemid on omavahel liidestatud või kui ettevõtte infosüsteemid on liidestatud väljaspool asuvate ressurssidega siis liidestatakse vaid nende andmete saatmine, mis on vajalikud konkreetse funktsiooni täitmiseks. Liidesed kaitstakse kasutajanime ja parooliga, kasutatakse krüpteeritud ühendust ning vajadusel teisi piirangu meetodeid (IP piirang, MAC piirang, SSH võtmed).

Ettevõtte infosüsteemid, mis hoiavad ettevõtte jaoks olulisi andmeid peavad olema kaitstud piisavalt hästi, et oluline info ei satuks võõrastesse kätesse. See tähendab, et kui veebileht sisaldab ärikriitilisi andmeid siis on vaja ka veeb võimalikult hästi turvata. See tähendab ligipääsu, turvapaikade paigaldamist, ründevektorite tuvastamist ja tõrjumist ning tegelemist võimalike turvaintsidentidega.

XIV. Mobiilsed seadmed

Ettevõte ei luba kasutada ettevõtte andmeid kasutajate isiklikel seadmetel, sh mobiilsetel või teistel seadmetel.

Kui selleks tekib vajadus siis seda lubatakse vaid erijuhtudel ning sellisel puhul rakendatakse mobiilsele seadmele turvameetmed, sh viirusetõrje, automaatsed uuendused, VPN ühendus, parooli keerukuse nõuded ning võimaldatakse ettevõtte süsteemiadministraatoril täielik kontroll mobiili üle. Sellisel juhul peab töötaja või juhatuse liige enne seadme võõrandamist puhastama seadme andmetest koos ettevõtte IT vastava inimesega.

XV. Veebikeskkondade turvalisus – IT küberturvalisuse poliis

Ettevõtte kasutuses olevates veebikeskkondades kasutatakse võimalusel ligipääsu piiramist või kahetasandilist autentimist. Kasutatakse piisava keerukusega paroole ning paroole vahetatakse regulaarselt.

Veebikeskkondade administreerimised on võimalikud vaid kontori võrgust ning autentimisel kasutatakse robotituvastamise mehhanisme.

Veebikeskkonnad on varundatud ning sisaldavad funktsionaalsust tuntud rünnete vältimiseks.

Veebikeskkonnad, kus on tundlikke kliendi andmeid uuendatakse regulaarselt ning lisaks kasutatakse veebirakendustele tulemüüri, mis tuvastab ja hoiab ära veebirakenduste vastu suunatud ründepäringuid.

XVI. Töö turvareeglitega

Ettevõtte juhtkond ja IT osakond tegeleb regulaarselt ettevõtte turvareeglite, nende väljatöötamise ja jõustamisega.

Turvareeglite väljatöötamiseks ja jõustamiseks tehakse vastavalt IT juhi ärenägemisele järgnevaid tegevusi:

  • Viiakse regulaarselt kurssi ettevõtte töös kasutatavate seadmete ja tarkvara tootja infoga
  • Uuritakse enne uuenduste paigaldamist uuenduste sisu ja mõtet
  • Automaatselt paigaldatakse vaid olulised uuendused ja turvauuendust, enne uute funktsioonide lisandumist tutvutakse uute võimalustega
  • Erinevad seadmed ja tarkvara pannakse võimalusel saatma teavitusi uute funktsioonide lisandumisest
  • IT intsidentide lahendamisel uuritakse logifaile
  • IT ülevaataja uurib vastavalt vajadusel kasutajate harjumusi
  • Hinnatakse ja rakendatakse tootjate poolt soovitatavaid turvaeeskirju
  • Välisvõrgust piiratakse ära kõik tehnilised võimalused, mis ei ole vajalikud ja põhjendatud
  • Uuritakse viiruse- ja nuhktõrjetarkvara logisid
  • Koostöös ettevõtte vastutava töötajaga uuendatakse poliisi kui peaks tekkima uusi seadusandlusest või määrustest tulenevaid nõudeid
  • Uute tehnoloogiate või IT ärifunktsioonide lisandumisel viiakse läbi turvaanalüüs
  • Ettevõtte tööprotsesside või töö iseloomu muutumisel kontrollitakse vastavust poliisiga
  • Ettevõtte tööjõu muutumisel kontrollitakse vastavust poliisiga
  • Ettevõtte struktuuri muutumisel või töökorralduse muutumisel
  • Suuremate IT muudatuste puhul vaadatakse turvapoliis ja selle rakendamine uuesti üle
  • Ettevõtte IT viib ennast regulaarselt kurssi IT maastiku turvaohtudega
  • Ettevõte korraldab ringi IT varade füüsilise asukoha
  • Korduvate suuremate IT intsidentide või IT turvaintsidentide tekkimisel
  • Kasutajatega viiakse läbi intervjuusid, uuritakse kasutajate harjumusi
  • IT ülevaatajalt küsitakse sisendit turvareeglite parandamiseks
  • Uuritakse töötajate arvamusi kuidas nende arvates peaks andmeid kaitsma
IT küberturvalisuse poliis