Riskihindamine NIS2 ja KüTS võtmes

Kätri Sarapuu

Kui sõna riskihindamine paneb su meeskonna vaikima ja juhatuse pastakat lauale koputama, siis pole probleem riskides. Probleem on selles, kuidas riskihindamist ette kujutatakse.

Vaatame nüüd rahulikult läbi kogu selle tüütu riskihindamise protsessi.

1. Mida NIS2 ja KüTS riskihindamise kohta ütlevad?

Toome selle keerulise osa korraks välja, kus seadus viitab riskihindamisele, seejärel räägime lihtsamalt edasi:

NIS2 artikkel 21 - liikmesriigid tagavad, et elutähtsad ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, ning et ennetada või minimeerida intsidentide mõju nende teenuste saajatele ja muudele teenustele.

KüTS paragrahv 7 - teenuseosutaja rakendab alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, et hallata riske, mis ohustavad teenuseosutaja tegevuses või teenuse osutamisel kasutatava süsteemi turvalisust, sealhulgas koostab vastava riskianalüüsi; ennetada või minimeerida küberintsidendi mõju teenuseosutaja osutatava teenuse saajale ja muule teenusele; ennetada küberintsidenti või see tuvastada ja lahendada.


Sageli arvatakse, et NIS2 ja KüTS nõuavad:

  • paksu dokumenti,
  • pikka kontrollnimekirja,
  • ja ühte Excelit, mida keegi enam ei ava.

Tegelikkus on lihtsam ja samas ebamugavam.
Hea uudis: NIS2 ja KüTS ei nõua müstikat.
Halb uudis: nad nõuavad päriselt juhitud riskihaldust.

Ja see algab alati riskihindamisest.

2. Riskihaldus on NIS2 ja KüTS kohaldamise alus

NIS2 artiklid 20-25 ja KüTS paragrahvid 6–13 räägivad palju turvameetmetest, juhtkonna vastutusest, intsidentidest ja järelevalvest.
Aga nende ühisnimetaja on üks:

Ilma riskihindamiseta ei ole võimalik seadust sisuliselt kohaldada.

Riskihindamine on see koht, kus:

  • otsustatakse, millised riskid on ettevõtte jaoks olulised,
  • määratakse, milliseid turvameetmeid on üldse vaja,
  • põhjendatakse, miks just need meetmed ja mitte teised,
  • ja pannakse paika, milline jääkrisk on teadlikult aktsepteeritud.

Ilma riskihindamiseta on turvameetmed juhuslikud.
Ja juhuslik turve ei vasta NIS2 ega KüTS mõttele.

3. Riskihindamine on juhtimisvahend, mitte paberiharjutus

Alustame kõige olulisemast.

Riskihindamine ei ole:

  • auditiks tehtud tabel
  • IT-osakonna projekt
  • linnuke „tehtud“ veerus

Riskihindamine on:

  • viis, kuidas juhtkond saab aru, mis võib ettevõtet päriselt kahjustada,
  • alus otsustele, mida maandada, mida aktsepteerida ja mida teadlikult alles jätta.

Kui riskihindamine ei mõjuta turvameetmete valikut, siis ei ole see riskihindamine.
See on paber.

Just seetõttu seob NIS2 (artiklid 20–21) ja KüTS (§ 61) riskihalduse ka juhtkonna vastutusega.


4. Juhtkond ei saa olla kõrvalvaataja – roll NIS2 ja KüTS järgi

NIS2 ja KüTS ütlevad sisuliselt sama asja:

  • riskihaldus ei ole IT-projekt
  • see on juhtimisülesanne

See tähendab:

  • juhatus peab teadma, millised riskid on olemas,
  • juhatus peab teadma, millised riskid on aktsepteeritud,
  • juhatus vastutab selle eest, kas riskid on juhitavad.

Kui juhatus näeb riskihindamist ainult tulemuse slaidina, siis on midagi juba valesti.

5. Millele kõigepealt mõelda, enne kui alustad

Unustame korraks kõik lühendid.

NIS2 ja KüTS ei alga meetmetest.
Nad algavad riskipõhisest lähenemisest.

Riskihindamine vastab alati ainult kolmele küsimusele:

  • Mis võib valesti minna?
  • Kui tõenäoline see on?
  • Kui valus see oleks, kui see juhtub?
Risk = ohu ja mõju kombinatsioon
Mitte oht üksinda. Mitte nõrkus üksinda.

See tähendab ka üht olulist asja:
sa ei pea kõiki riske nulli viima.

Aga sa pead teadma ja suutma põhjendada:

  • millised riskid on vastuvõetavad,
  • millised vajavad maandamist,
  • millised on teadlikult alles jäetud jääkriskid.

Just see põhjendus on see, mida järelevalve ja audiitor küsivad.


6. Pane kirja oma päris varad (mitte abstraktsed mõisted)

NIS2 ja KüTS ei kaitse „IT-süsteeme“.
Nad kaitsevad teenuseid, andmeid ja nende toimimist.

Seepärast algab riskihindamine varadest:

  • mis toovad tulu,
  • mis loovad usalduse,
  • mis kahjustavad mainet või teenuse järjepidevust.

Mitte:

  • „IT-süsteemid“
  • „andmed“
  • „taristu“

Vaid:

  • kliendi isikuandmed konkreetses süsteemis,
  • teenus, mille katkestus peatab müügi,
  • sõltuvus teenuseosutajast, kelle rikke korral sa ise midagi teha ei saa.

Kui varad on udused, on riskid udused.
Ja uduste riskidega ei saa juhtida ega kaitseda seda, mis päriselt loeb.


7. Tarneahela riskid NIS2 ja KüTS riskihindamises – jah, need on osa sinu turbest (meeldib see või mitte)

NIS2 ja KüTS ei vaata enam ettevõtet üksi.
Nad vaatavad sõltuvusi.

Kui sinu teenus sõltub:

  • pilveteenusest,
  • makselahendusest,
  • majutusest,
  • alltöövõtjast,

siis on see sinu risk, mitte „kellegi teise probleem“.

Riskihindamine, mis lõppeb ettevõtte seina juures, ei vasta enam tegelikkusele ega seaduse mõttele.


8. Turvaintsident on sisend riskihindamisse, mitte ainult raport

Väga oluline nüanss. Intsident ei pea olema katastroof.

Intsident ei ole ainult:

  • suur andmeleke
  • uudiskünnise ületav küberrünnak

Intsident võib olla:

  • vale ligipääs, mis avastati õigel ajal,
  • teenusekatkestus, millest taastuti kiiresti,
  • eksimus, mis näitas nõrka kohta protsessis.

Just väiksed intsidendid näitavad:

  • kus riskihindamine oli puudulik,
  • millist riski ei olnud registris,
  • milline meede ei töötanud.

Ebamugav, kuid vajalik küsimus:

Kui palju riske realiseerus läbi intsidentide, mida riskiregistris ei olnud?

  • „mitu“ → riskihindamine vajab parandamist
  • „me ei tea“ → riskihaldust ei mõõdeta

Kui sellele ei osata vastata, ei ole riskihaldus juhitud.


9. Riskihindamine ei ole ühekordne tegevus

NIS2 ja KüTS ei ütle: „tee riskihindamine ära“.
Nad ütlevad: „halda riske“.

Praktiline miinimum: vähemalt kord aastas.

Tegelik elu:

  • riskihaldus peab olema järjepidev,
  • riskihindamist tuleb uuendada, kui:
    • teenused muutuvad,
    • IT-süsteemid muutuvad,
    • teenuseosutajad muutuvad,
    • toimub oluline intsident.

Kui riskiregister ei muutu, aga ettevõte muutub, siis riskihaldus ei tööta.

10. Kuidas see haakub standarditega?

ISO/IEC 27001
Riskid peavad olema tuvastatud, hinnatud, käsitletud ja regulaarselt üle vaadatud.

E-ITS
Riskipõhine lähenemine määrab, millised meetmed on vajalikud ja millised mitte.

 

11. Kuidas seda kõike päriselt ellu viia?

Kui eelnev tekst kõlas loogiliselt, aga peas on endiselt küsimus „okei, aga kust ma alustan?“, siis vastus on lihtne: alusta ühest riskihindamisest, mis on tehtud juhtimise, mitte auditi jaoks.

Selleks oleme Defending Datas pannud kokku riskihindamise dokumentide komplekti, mis toetab täpselt seda loogikat, millest siin juttu oli.

Mida see komplekt teeb (lihtsalt öeldes)

Dokumendid aitavad sul:

  • panna kirja oma päris varad, mitte abstraktsed mõisted,
  • kirjeldada riske teenuse, andmete ja tarneahela vaates,
  • hinnata riske nii, et juhatus saab aru, mida aktsepteeritakse ja miks,
  • siduda riskid meetmete ja intsidentidega, mitte lihtsalt tabeliga,
  • näidata NIS2, KüTS, ISO 27001 ja E-ITS vaates, et riskihaldus on päriselt juhitud.

See ei ole “täida lahtrid ära” komplekt.
See on mõtlemise raam, mille tulemus on dokument.

Riskihindamise dokumendid - 139 EUR 


12. Kokkuvõtteks

Hea riskihindamine NIS2 ja KüTS võtmes:

  • ei ole paberiharjutus,
  • ei ole kontrollnimekiri,
  • ei ole ainult IT teema.

Hea riskihindamine:

  • algab päris kontekstist ja päris varadest,
  • aitab otsustada, mida aktsepteerida ja mida maandada,
  • seob riskid tarneahela ja intsidentidega,
  • annab juhatusele otsustusrahu.

Ja kõige olulisem:
see töötab ka siis, kui midagi päriselt juhtub.

Kui riskihindamine on tehtud õigesti, ei ole see dokument.
See on juhtimise tööriist. 

 

13. KKK - korduma kippuvad küsimused - riskihindamine NIS2 ja KüTS järgi

Mis on riskihindamise roll NIS2 ja KüTS järgi?

Riskihindamine on alus, millele tuginevad kõik turvameetmed. NIS2 ja KüTS eeldavad, et ettvõte juhib riske teadlikult ja proportsionaalselt, mitte kontrollnimekirja järgi.

Kas riskihindamine on ühekordne dokument?

Ei. NIS2 ja KüTS käsitlevad riskihaldust pideva juhtimisprotsessina, mida tuleb ajakohastada teenuste, süsteemide, tarneahela või intsidentide muutumisel.

Kas juhatus vastutab riskihindamise eest?

Jah. NIS2 ja KüTS seovad riskihalduse otseselt juhtkonna vastutusega. Riskihindamine ei ole IT-projekt, vaid juhtimisotsuste alus.


Loe järgmisest postitusest, milliseid turvameetmeid rakendada vastavalt NIS2 ja KüTS nõuetele.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.

Kommentaarid

Email again:

Jätka lugemist

Kätri Sarapuu
Kuidas alustada infoturbega? Teekond siin!
Kätri Sarapuu
ISO 27001 sertifikaat: aus juhend algusest lõpuni
Kätri Sarapuu
Defending Data ISMS alusdokumentide juhend

Eelmine

Juhatus ei saa enam öelda „IT teema“

Järgmine

NIS2 ja KüTS turvameetmed: lihtsalt

Jaga seda artiklit