Kui infoturbe nõuete maailm oleks garderoob, siis: NIS2: “riietu ilmastikukindlalt” (ütleb kuidas, mitte mis brändi jope). KüTS: sama jope Eesti lõikega: lisab järelevalve ja riigispetsiifika. Esmased turvameetmed: “pane vähemalt kingad jalga, palun” miinimumtase. E-ITS: Eesti “standardraam”. ISO 27001: rahvusvaheline lavapääse: kõige rangem “näita dokumenteeritud infot” tase.
1. Üks tabel, mis lõpetab “aga mitu dokumenti mul siis peab olema?” teema
Legend:
- ✔️ = selgelt nõutud / eeldatud
- ◯ = kaudselt vajalik / praktikas oodatud (tõendatavus)
- — = pole tüüpiline nõue (võib olla, aga ei ole fookus)
Nipp: NIS2/KüTS ei kontrolli “dokumendi nime”, vaid kas kontroll töötab ja on tõendatav. ISO ja E-ITS annavad lihtsalt kõige sirgema tee tõenditeni.
Kui klikid dokumendi peale, viiakse sind edasi postituse juurde, milles on räägitud vastavast meetmest või siis kohe poodi, kus saad vastavad dokumendid soetada.
Dokument / tõend (mis päriselt loeb) | NIS2 | KüTS | ET | E-ITS | ISO 27001 |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
2) Ulatus (mis on kaetud: teenused/süsteemid/protsessid) | ◯ | ◯ | ✔️ | ✔️ | ✔️ |
3) Riskihindamise metoodika (kuidas hindad) | ◯ | ◯ | ✔️ | ✔️ | ✔️ |
4) Riskihindamise tulemused (mis võib valesti minna ja miks) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
5) Riskide käsitlemise plaan (mida riskidega teed) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
7) SoA / rakendatavuse põhjendus (miks kontroll on/ei ole) | ◯ | ◯ | ◯ | ◯ | ✔️ |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
10) Teavitamise kord (sh riiklikud teavitused) | ✔️ | ✔️ | ✔️ | ✔️ | ◯ |
11) Varundus ja taastamine (backup/restore) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
12) Järjepidevus ja taastumine (BCP/DRP) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
14) Rollid ja vastutused (sh juhtkond) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
15) Teadlikkus ja koolitused (tõendid!) | ◯ | ✔️ | ✔️ | ✔️ | ✔️ |
◯ | ◯ | ✔️ | ✔️ | ✔️ | |
◯ | ◯ | ◯ | ✔️ | ✔️ | |
◯ | ◯ | ◯ | ✔️ | ✔️ | |
19) Mõõdikud ja seire (toimivuse tõendamine) | ◯ | ◯ | ◯ | ✔️ | ✔️ |
◯ | ◯ | ◯ | ✔️ | ✔️ |
2. Kuidas seda päriselus kasutada
1) Kui sa rakendad E-ITS-i, siis…
…sa katad KüTS-i ootused enamasti “struktuuri kaudu”: riskid, kontrollid, tõendid ja ülevaatused on juba ühes keeles.
2) Kui sul on ISO 27001 tasemel dokumenteeritud info (päriselt kasutusel)
…siis sisuliselt:
- NIS2/KüTS: kontrollid ja riskijuhtimine on olemas
- jääb “Eesti-spetsiifika”: teavituste protsessid, kohalik järelevalvepraktika, määrusest tulenevad detailid.
3) Kui sul on täna ainult “mingi poliitika kuskil SharePointis”
Siis alusta lihtsalt:
- Riskihindamine + riskiplaan
- Turvaintsident + varundus/taaste
- Ligipääsud + tarnijad
- Tõendid (logid, protokollid, kinnitused)
Sest järelevalvele ei meeldi “meil on dokument”. Talle meeldib “näita, et toimib”.
3. KKK - korduma kippuvad küsimused - NIS2 ja KüTS kohustuslikud dokumendid
Kas NIS2 või KüTS nõuab ISO 27001 sertifikaati?
Otseselt mitte, kuid, kui sinu ettevõtte kuulub KüTS kohaldamisalasse, siis on sul valida, kas rakendada E-ITS või esitada ISO 27001 sertifikaat RIA-le.
Kas E-ITS tähendab “rohkem dokumente”?
Mitte tingimata. E-ITS tähendab tavaliselt paremini struktureeritud dokumenteerimist ja tõendeid (ehk vähem “otsimist”, rohkem “leidmist”).
Mis on kõige sagedamini puudu (kõigis lähenemistes)?
Tõendid: koolituslogid, juhtkonna otsused, seire, parandusmeetmete jälgimine. Fail on tore. Tõend on kuninglik.
Loe järgmisest postitusest, kuidas käituda, kui sinu ettevõttes juhtub küberintsident.
See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.
Kommentaarid