Hästi üles ehitatud infoturbe dokumentatsioon ei ole kaos. 

ISMS dokumendid on infoturbesüsteemi dokumendid  - Information Security Management System.

Defending Data on enda dokumendid üles ehitanud nii, et see süsteem kataks korraga järgmise:

• ISO 27001 - dokumentatsioon põhineb ISO 27001 standardil
  
• E-ITS ootused - igas dokumendis on välja toodud ka märkused, mida peaks selles dokumendis muutma, lisama, et see vastaks ka E-ITS nõuetele
  
• NIS2 direktiivi nõuded
  
• Küberturvalisuse seaduse, sh esmaste turvameetmete nõuded

Vaatame siis, kuidas Defending Data dokumentatsioon on üles ehitatud.

1. Infoturbepoliitika (ISMS tuum)

Infoturbepoliitika on kogu ISMS-i vundament. See on dokument, kus organisatsioon sõnastab oma infoturbe põhimõtted, eesmärgid ja vastutused.

Siin pannakse paika:

• miks infoturve on oluline
  
• milliseid varasid kaitstakse
  
• kuidas toimub riskihaldus
  
• kes mille eest vastutab
  

See ei ole lihtsalt formaalne infoturbepoliitika dokument, vaid juhtimistaseme kokkulepe, mis annab suuna kogu infoturbe juhtimisele.

See on koht, kus ettevõte peaks ütlema: “me juhime infoturvet teadlikult, mitte reaktsioonipõhiselt.”

2. Teemapõhised infoturbe poliitikad (reeglid päriseluks)

Kui infoturbepoliitika loob raami, siis teemapõhised infoturbe poliitikad annavad konkreetsed reeglid.

Siia alla kuuluvad näiteks:
·       ligipääsuhalduse poliitika
·       varade halduse poliitika
·       andmete klassifitseerimise ja käsitlemise poliitika
·       tarnijate riskihalduse poliitika
·       logimise ja seire põhimõtted
·       jne

Hea infoturbe poliitika ei ole liiga üldine ega liiga keeruline – see on kasutatav.

3. Protseduurid ja juhendid (kuidas infoturve päriselt toimib)

Siin muutub infoturbe poliitika reaalseks tegevuseks.

Protseduurid ja juhendid kirjeldavad, kuidas infoturbe protsessid igapäevaselt toimivad, näiteks:

• kuidas toimub kasutajakontode loomine ja ligipääsuhaldus
  
• kuidas viiakse läbi riskihindamine
  
• kuidas toimub varundamine ja taastamine
  
• kuidas käsitletakse infoturbe intsidente
  

Need infoturbe protseduurid on kriitilised, sest ilma nendeta jääb poliitika ainult teooriaks.

See on koht, kus “me peaksime” muutub “me teeme”.

4. Registrid ja vormid (dokumenteeritud info ja ülevaade)

ISO 27001 rõhutab dokumenteeritud info olemasolu – ehk seda, et organisatsioonil oleks selge ülevaade oma infoturbe seisust.

Registrid ja vormid on selle jaoks võtmetähtsusega:

• riskiregister (kus on kirjas kõik tuvastatud riskid ja nende käsitlemine)
  
• varade register
  
• ligipääsude register
  
• tarnijate hindamised
  
• intsidendilogid
  

Need ei ole lihtsalt tabelid, vaid tööriistad, mis võimaldavad infoturbe juhtimist päriselt teha.

Kui infot ei ole kirjas, siis audit eeldab, et seda ei eksisteeri.

5. Tõendid (audit ei usu sõnu)

ISO 27001 kui ka E-ITS audit ei küsi ainult dokumente – ta küsib tõendeid.

Tõendid on see, mis näitavad, et sinu infoturbe juhtimissüsteem töötab ka päriselus:

• logid ja auditijäljed
  
• koolituste tõendid
  
• süsteemide väljavõtted
  
• kinnitatud tegevused
  

See on koht, kus infoturbe compliance muutub tõendatavaks.

Poliitika ütleb: “me teeme”
Tõend ütleb: “siin on, et me tegime”

6. Kuidas dokumente dokumendiregistris kajastada?

Defending Data on loonud ka dokumentide koodisüsteemi ja alloleva näitega selgitame, kuidas see loodud on:

- DD-ASM-POL-XXXX - mida see tähendab?

• - DD - siia võid panna enda organisatsiooni nimetähed, et oleks aru saada, millise ettevõtte kohta dokument käib, näiteks:
  
  • DD - Defending Data
  • EE - Eesti Energia
  • TE - Turva Ettevõte
• ASM - siia pane alati teemapõhine lühend, olenevalt, millist dokumenti koostad, näiteks:
• ASM - Asset Management (varahaldus)
• RSK - riskid
• HRSEC - personaliturve
• POL - siinkohal viitab sellele, millise dokumendiga on tegemist:
• POL - poliitika
• PRO - protseduur
• REG - register
• NOT - teade
• XXXX - siia pane enda dokumendinumber või siis aastaarv

7. Kuidas see infoturbe süsteem kokku töötab?

Loogika on lihtne ja skaleeritav:

• infoturbepoliitika ja teemapõhised poliitikad → annavad suuna
  
• infoturbe protseduurid ja juhendid → kirjeldavad tegevuse
  
• registrid ja vormid → hoiavad infot
  
• tõendid → kinnitavad toimimise
  

See ei ole lihtsalt ISO 27001 või E-ITS dokumentatsioon.
See on toimiv infoturbe juhtimissüsteem.

8. Miks see lähenemine töötab?

Sest see aitab sul:

• täita ISO 27001 nõudeid ilma liigse keerukuseta
  
• vastata E-ITS praktilistele ootustele
  
• olla valmis NIS2 ja küberturvalisuse seaduse nõueteks
  
• ja mis kõige olulisem – päriselt juhtida riske
  

See ei ole “paberil turve”.
See on kontroll.

9. Kui sa ei taha ise enda ettevõtte dokumentatsiooni ja ISMS süsteemi nullist ehitada

Kui sa tunned, et:

• ISO 27001 dokumentatsioon tundub loogiline, aga ajamahukas
  
• või sa ei taha riskida sellega, et ehitad süsteemi valesti
  

Siis Defending Data e-poes on valmis ISO 27001-põhised dokumendimallid, mis sisaldavad:

• infoturbepoliitika näidiseid
  
• infoturbe poliitikaid
  
• riskihindamise juhendeid ja riskiregistreid
  
• tarnijate riskihindamise tööriistu
  
• praktilisi protseduure ja vorme
  

Kõik on üles ehitatud täpselt selle sama loogika järgi, mida sa just lugesid. Lisaks on toodud iga dokumendi juurde ka see, mida nõuab E-ITS.

Alusta oma infoturbe süsteemi ülesehitamist siit: 

Defending Data e-pood

10. KKK – koduma kippuvad küsimused – ISMS dokumentatsiooni kohta

Kas ISO 27001 dokumentatsioon peab sisaldama kõiki postituses kirjeldatud osasid?

Jah, kuid mitte formaalselt. Oluline ei ole dokumentide arv, vaid see, et sinu infoturbe juhtimissüsteem kataks:

• riskihalduse
  
• kontrollid
  
• tõendatavuse
  

Kas dokumentide nimed peavad olema täpselt sellised?

Ei pea. ISO 27001 ei nõua konkreetseid nimesid, vaid seda, et sul oleks olemas vajalik infoturbe dokumentatsioon ja protsessid.

Kas see sama struktuur katab ka NIS2 ja KüTS nõuded?

Jah, enamikul juhtudel. Kui sinu infoturbe süsteem on üles ehitatud riskipõhiselt ja sisaldab poliitikaid, protseduure, registreid ja tõendeid, siis:

• NIS2 nõuded on kaetud
  
• Küberturvalisuse seaduse ootused on täidetud
  

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.