Peamised küberturbe standardid ja raamistikud

Sissejuhatus

Arvestades erinevaid olulisi aspekte, nagu eesmärgid, ootuslikud väljundid, ulatus, aeg ja muud, saab luua sobiva ülevaate küberturbe standardi või raamistiku valimiseks, et vajalikud meetmed ja kontrollid rakendada. Võtmetähtsusega on õige standardi või raamistiku kasutamine käesoleva kasutusjuhtumi jaoks.

Järgnevas ülevaates käsitletakse kuut olulist standardit ja raamistikku: GDPR, ISO 27001, COBIT, NIS2 direktiiv, CIS kriitilised turbekontrollid ning NIST küberturbe raamistik (CSF). Iga standard või raamistik pakub ainulaadseid lähenemisviise andmete kaitsmiseks, IT-süsteemide haldamiseks ja küberturberiskide leevendamiseks, aidates organisatsioonidel parandada oma turvataset ja säilitada usaldusväärsust.

Isikuandmete kaitse üldmäärus (GDPR)

Isikuandmete kaitse üldmäärus (General Data Protection Regulation, GDPR) on Euroopa Liidu määrus, mille eesmärk on kaitsta EL-i kodanike privaatsust ja isikuandmeid. See jõustus 25. mail 2018 ja kehtib kõigile organisatsioonidele, sõltumata nende asukohast, mis töötlevad EL-i kodanike isikuandmeid. GDPR annab inimestele suurema kontrolli oma isikuandmete üle, näiteks õiguse neid andmeid vaadata, parandada või kustutada.

Määrus on vajalik, et tagada andmete privaatsus üha digitaalsemas maailmas, kus ettevõtted ja organisatsioonid koguvad tohutul hulgal isikuandmeid. GDPR paneb organisatsioonidele vastutuse selle eest, kuidas nad isikuandmeid käsitlevad, nõudes läbipaistvust, andmete minimeerimist ja turvameetmeid, et vältida rikkumisi. Määrus kehtestab ka tõsised sanktsioonid nõuete rikkumise eest, julgustades ettevõtteid prioritiseerima andmekaitset ja vähendama väärkasutuse, volitamata juurdepääsu või andmevarguste riski.

Lisainfo: https://gdpr.eu/

ISO 27001

ISO 27001 on rahvusvaheline standard, mis pakub raamistikku infoturbe juhtimissüsteemi (ISMS) loomiseks, rakendamiseks, hooldamiseks ja täiustamiseks. Standard avaldati esmakordselt 2005. aasta oktoobris, uusim versioon ilmus 2022. aasta oktoobris. See keskendub tundliku teabe konfidentsiaalsuse, tervikluse ja kättesaadavuse tagamisele, aidates organisatsioonidel pidevalt tuvastada võimalikke turvariske ja rakendada meetmeid nende leevendamiseks. ISO 27001 rõhutab pidevat arengut ja kohanemist uute riskidega regulaarsete hindamiste ja uuenduste kaudu.

ISMS-i kasutamine võimaldab kaitsta kõiki infoturbe varasid, sealhulgas mitte-IT-ressursse, aidates kõrvaldada haavatavusi, mida põhjustavad ebajärjekindlad turvatavad, teadlikkuse puudumine ja isoleeritud lähenemised andmete kaitsmisel. See hõlmab kõiki infoturbe aspekte, näiteks füüsilisi turvameetmeid, töötajate koolitusi ja IT-kontrolle.

Lisainfo: https://www.iso.org/standard/27001

COBIT

COBIT (Control Objectives for Information and Related Technologies) on raamistik, mis on loodud selleks, et aidata organisatsioonidel tõhusalt hallata ja juhtida oma IT-süsteeme. Esimene versioon ilmus 1996. aastal ja uusim versioon (COBIT 5) 2019. aastal. Selle peamine eesmärk on kooskõlastada IT-operatsioonid ärieesmärkidega, tagades, et IT panustab äriedusse, samal ajal hallates riske ja järgides regulatiivseid nõudeid.

COBIT aitab optimeerida IT-ressursse, parandada tulemuslikkust ja tagada, et IT pakub ettevõttele väärtust. See on kasulik nii IT-juhtidele kui ka ärijuhtidele, pakkudes selgeid juhiseid IT-tegevuste kontrollimiseks ja jälgimiseks. Erinevalt teistest raamistikest keskendub COBIT lisaks küberturbele ka IT-juhtimisele, tagades, et tehnoloogia toetab üldisi äristrateegiaid.

Lisainfo: https://www.isaca.org/resources/cobit

NIS2 direktiiv

Võrgu- ja infoturbe direktiiv 2 (NIS2), mis avaldati esmakordselt 2023. aasta jaanuaris, on õiguslik raamistik, mille eesmärk on parandada küberturvet kogu Euroopa Liidus. See põhineb algsel NIS-direktiivil, laiendades oma ulatust, et hõlmata rohkem sektoreid ja kehtestades rangemaid turvameetmeid ning intsidentide teavitamise kohustusi.

NIS2 nõuab, et ettevõtted võtaksid kasutusele riskipõhised lähenemised küberturbele, keskendudes haavatavuste tuvastamisele, võrkude ja infosüsteemide turvamisele ning ärilise toimepidevuse tagamisele. Samuti on direktiiv kooskõlas teiste oluliste raamistikega, nagu GDPR ja ISO 27001, hõlbustades organisatsioonidel vastavuse integreerimist.

Lisainfo: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

CIS kriitilised turbekontrollid

Internetiturbe Keskuse (Center for Internet Security) kriitilised turbekontrollid on prioriteetne juhiste kogum, mida ettevõtted saavad kasutada oma küberturvalisuse parandamiseks. Kontrollid põhinevad uusimatel andmetel levinud rünnakute kohta ja kajastavad erasektori analüüsiekspertide, turvatestijate ja Ameerika Ühendriikide valitsusasutuste ühispanuseid.

Viimase versiooniga, mis avaldati 2024. aasta juunis, koosneb raamistik 18 kriitilisest turbekontrollist. Need hõlmavad teemasid, nagu andmekaitse, kontohaldus, e-posti ja veebilehitseja kaitse ning palju muud. Kontrollide suurim eelis on see, et neid saab rakendada igas suuruses ja tööstusharudes ettevõtetes.

Lisainfo: https://www.cisecurity.org/controls

NIST küberturbe raamistik (CSF)

USA Riikliku Standardite ja Tehnoloogia Instituudi (NIST) küberturbe raamistik on juhend organisatsioonidele, kuidas parandada küberturbe praktikaid. Raamistik on vabatahtlik, kuid väga kasulik igas suuruses ettevõtetele, et paremini mõista, hallata ja vähendada küberturberiske ning kaitsta kogu organisatsiooni.

NIST CSF jaguneb viieks põhivaldkonnaks:

• Tuvasta – Tuvasta kõik organisatsiooni kaitset vajavad varad.
• Kaitse – Kaitse organisatsiooni seadmeid, tarkvara ja andmeid (varasid).
• Tuvasta rünnakud – Monitoori kõiki organisatsiooni varasid.
• Reageeri – Plaan rünnakule reageerimiseks.
• Taasta – Plaan rünnakujärgseks tegevuseks.

Oluline on märkida, et NIST CSF ei ole lihtsalt täitenimekiri, vaid juhis kuidas küberturberiske vähendada.

Lisainfo: https://www.nist.gov/cyberframework

Kokkuvõte

Küberturbe standardid ja raamistikud pakuvad väärtuslikke juhiseid riskijuhtimise, turvameetmete ja vastavuskontrolli tagamiseks, aidates ettevõtetel küberturbe keerukates tingimustes navigeerida. Ehkki terviklik standard või raamistik on hädavajalik, võib selle rakendamine nõuda märkimisväärset ajakulu ja ressursse. Eriti väiksemate organisatsioonide puhul võib täieliku raamistiku rakendamine olla kulukas, kuid rohkem keskendunud võimalused, nagu CIS kontrollid, võivad pakkuda suuremat tasuvust väiksema töökoormuse ja seotud kuludega.

Seetõttu on oluline kaaluda võimalusi ja leida oma organisatsioonile sobiv lahendus.

Saa rohkem teada kuidas kaaluda parima küberturbe standardi või raamistiku valimist oma asutuse koolitusinitsiatiivide rakendamiseks läbi meie Strateegiliste küberõppuste lehe.