1. Milleks see dokumentide pakett on?

Iga seade tuleb vaikimisi seadistustega, mis on loodud ühilduvuse jaoks — mitte turvalisuse jaoks. Vaikimisi on peal teenused, mida keegi ei vaja. Vaikimisi on paroolid, mida Google'ist otsida saab. Vaikimisi on avatud pordid, millele keegi ei oska seletust anda.

Ründaja tööriistakast otsib täpselt neid asju. Automaatselt.

See pakett aitab sul:

• dokumenteerida, mis sinu süsteemides tegelikult on — baasjoon, millega kõike võrreldakse
  
• kehtestada turvalised algseadistused iga seadmetüübi jaoks
  
• hallata konfiguratsioonimuudatusi nii, et kuus kuud hiljem tead, kes mida muutis ja miks
  
• tõendada audiitorile, et konfiguratsioonid ei ole juhuslikud — vaid teadlikult hallatavad
  

Tulemus: konfiguratsioonid, mis päriselt kaitsevad — mitte lihtsalt "on olemas".

2. Kellele see sobib?

See pakett on mõeldud organisatsioonidele, kes:

• peavad vastama NIS2, KüTS või ISO 27001 nõuetele
  
• ei suuda kohe vastata küsimusele "mis teenused teie serveril töötavad ja miks?"
  
• ei ole kindlad, kas kõigil seadmetel on muudetud vaikeparoolid
  
• ei oma muudatuste logi — ehk keegi muudab konfiguratsioone ja keegi ei kirjuta üles
  

Sobib eriti:

• infoturbejuhile (CISO), kes peab süsteemi üles ehitama
  
• IT-adminile, kes seadmeid päriselt haldab ja auditeerib
  
• juhtkonnale, kes vastutab — KüTS § 6¹ järgi isiklikult
  
• organisatsioonile, kes valmistub ISO 27001 auditiks
  

Kui sa ei saa kohe vastata küsimusele "kes muutis serveri konfiguratsiooni kolm kuud tagasi ja miks?" — see pakett on sinu jaoks.

3. Mida saad?

See ei ole lihtsalt poliitika. See on täielik konfiguratsioonihalduse süsteem.

Pakett sisaldab 3 omavahel seotud dokumenti:

3.1. Turvalise konfiguratsiooni dokumentide juhend

Selgitab, kuidas kõik allolevad dokumendid koos töötavad:

• süsteemi loogika ja õige täitmise järjekord
  
• selgitab, mis on CIS Benchmark ja miks seda kasutada
  
• välistab klassikalise vea: poliitika on kinnitatud, aga keegi ei tea, mis seadmetel tegelikult töötab
  

3.2. Turvalise konfiguratsiooni poliitika vorm

Juhtkonna taseme otsuste dokument:

• rakendatavuse tabel 8 seadmetüübiga
  
• muudatuste halduse raamistik — 4 muudatuse tüüpi
  
• rollid ja vastutused — kes kinnitab, kes haldab, kes kontrollib
  
• mõõdikud
  
• juhtkonna kinnitamine koos KüTS § 6¹ viitega
  

3.3. Turvalise konfiguratsiooni protseduuri ja kontrollnimekirja vorm

Samm-sammuline käsiraamat IT-adminile. Kirjutatud modulaarselt — täidad ainult need osad, mis sinu seadmetüüpidele kohalduvad:

• üldine algseadistuse protsess kõikidele seadmetele
• kontrollnimekirjad 
  
• muudatuste halduse protseduur 
  
• kõrvalekallete käsitlemine CVSS tasemete järgi
  

3.4. Konfiguratsioonihalduse registri vorm

Audiitori esimene küsimus — ja sinu elav tõenddokument. Kolm töölehte:

• Seadmete konfiguratsiooni register
  
• Baasjoon ja turvanõuded
  
• Muudatuste logi 
  

4. KKK

Kas peame kõik seadmed ümber konfigureerima? Ei — alusta olukorra kaardistamisest. Tõenäoliselt on paljud seadmed juba osaliselt korras. Baasjoon näitab, kus on lüngad. Alusta kriitilisematest, mitte kõike korraga.

Mis on CIS Benchmark ja kas see on kohustuslik? CIS Benchmark on tunnustatud konfiguratsiooniturbe standard, mis on tasuta kättesaadav aadressilt cisecurity.org/cis-benchmarks. See ei ole regulatiivselt kohustuslik, aga on auditil aktsepteeritud tõend, et baasjoon põhineb tunnustatud standardil. Pakett toetab ka STIG-i ja organisatsiooni oma standardit.

Kas muudatuste logi peab olema Excel? Ei — kui IT-piletisüsteem (Jira, ServiceNow jne) dokumenteerib muudatusi, on see sama hea. Oluline on, et muudatus on dokumenteeritud enne tegemist, mitte pärast.

Kas see vastab ka E-ITS nõuetele? Jah — kõik dokumendid on toodud E-ITS märkmetega

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.