Kuidas luua arusaadavat infoturbepoliitikat?

Strateegiline vaade
Written By Roland Puiestik

Infoturbepoliitika on üks esimesi dokumente mida iga standard ja regulatsioon organisatsioonidelt nõuab. Aja jooksul olen näinud väga kirjut hulka infoturbepoliitikaid, alates ühe leheküljelistest “ära tee paha” dokumentidest kuni 72 leheküljelise monstrumini mida isegi IT juht ei olnud täielikult läbi lugenud.

Keskmine infoturbepoliitika kipub ikka pigem olema meistrivõistlused kantseliitlikkus maratonkirjutamises ning sobivad rohkem ilukirjanduse kategooriasse. Järgnevas artiklis toon välja mis on infoturbepoliitika, miks seda üldse vaja on ja millest ta koosneb. Artikli võtan kokku aga selge juhisega kuidas luua oma infoturbepoliitika ilma, et peaksid googeldama “information security policy template”. Dokument mille me loome on lihtne, lühike ja loogiline aga paindlik vastavalt sinu ettevõtte vajadustele.

 
 

Mis on infoturbepoliitika?

Infoturbepoliitika on üks paljudest lepingutest mis igal organisatsioonil olema peaks (miks ja mis lepinguid veel tasub kaaluda leiad artiklist Lepingud ilma milleta infoturvet teha on keeruline). See on alusdokument kuhu pannakse kirja mida, kuidas ja kes kaitseb ning miks. Selle dokumendi loomisel algab protsess tavaliselt juhatuse tasemelt. Nimelt juhatus on see kes otsutab mida on vaja kaitsta ja kui palju nii ajalist kui rahalist ressurssi saab sinna alla panna.

Peale juhatuse sisendi saamist saab hakata IT juba koostöös teiste osakondadega infoturbe poliitikat sisustama. Peamised küsimused on siis kuidas jagada vastutust ja mida lahendada tehnoloogiliste meetoditega (tarkvara seadistused või riistvara valik) ja mida lahendada organisatsiooniliste meetoditega (reeglid ja juhendid).

Õige pea aga avastatakse, et pisiasju ja detaile on niivõrd palju, et neid kõiki ühte dokumenti ära ei ole võimalik mahutada ja ei oleks ka loogiline. Seetõttu nimetame ka infoturbe poliitikat kui raamdokumendiks või raamistikuks endaks. See koosneb tavaliselt kas järgmistest peatükkidest või eraldiseisvatest dokumentides:

  • Eesmärk ja ulatus - siin toome välja mida infoturbepoliitikaga reguleeritakse ning mis sinna alla ei kuulu. Samuti põhjendused ja vajadusel selgitused.

  • Rollid ja vastutused - mille eest vastutab juhatus, mille eest IT ja mille eest näiteks lõpp kasutaja. Kui ettevõttes on ka IT arendusega tegelev osakond siis neil kipub näiteks omad vastutusalad olema.

  • Juhtpõhimõtted - alused mille mõistmine on hädavajalik infoturbepoliitikast arusaamiseks ja selle korrektsel rakendamisel. Näiteks CIA põhimõte - konfidentsiaalsus, terviklikus ja käideldavus.

  • Andmete liigitamine - andmetöötluse põhimõtted kuidas andmeid liigitatakse ja miks.

  • Juurdepääsukontroll - mehhanismid ja meetodid kuidas luuakse, hallatakse ja muudetakse või eemaldatakse juurdepääse infoturbepoliitika skoobis olevatele varadele.

  • Koolitused ja teadlikus - kuidas organisatsioon tagab oma töötajate teadlikuse ohtudest ja koolitused erinevatel teemadel. Mis on kohustuslik ja kuidas koolituste läbimine toimib.

  • Intsidendihalduse põhimõtted - kuidas reageeritakse intsidendi korral, keda informeeritakse ja kes mille eest vastutab.

  • Järelvalve ja auditeerimine - kuidas tagatakse korra järgimine ja mis ootab korra rikkujat.

  • Regulatsioonid ja seadusaktid - välised faktorid mis mõjutavad infoturbepoliitikat ja kuidas neile vastatakse antud raamistikuga.

  • Tehnilised ja füüsilised meetmed - meetmed ja lahendused mida kasutatakse ja mida tuleb kasutada, et maandada infoturbe riske.

  • Infotehnoloogiliste varade kasutusreeglid - kuidas soetatakse, hallatakse ja hiljem maha kantakse nii riistvara kui tarkvara.

Antud loetelu ei ole küll lõplik ja oluline on silmas pidada, et paljud neist võivad olla kaetud mõnes muus dokumendis nagu näiteks:

  • Intsidendihaldusplaan ja kord

  • Kasutusringimused

  • Privaatsuspoliitika

  • Andmekaitse poliitika

  • Töökorraldusreeglid

  • Krüpteeringu kasutamise reeglid

  • jpmt.

Nii nagu suurematel organisatsioonidel võib neid dokumente palju kokku olla siis väiksematel võib kõik olla ühes dokumendis ja paljud peatükid saab konsolideerida kokku üheks. Näiteks juhtpõhimõtteid võib tutvustada siis kui need teksti sees üles tulevad kui neid palju ei ole. Samuti regulatsioonid ja seadusakte saab tutvustada koos näiteks järelvalve punktidega.

Miks infoturbepoliitika ei pruugi täita soovitud eesmärki?

Kui me eelmisest peatükist võtame kõik dokumendid kokku ja kõik vajalikud lisad paneme sinna sisse siis saamegi ühe meeletult pika ja lohiseva dokumendi mida lugeda on keerulisem kui mõnda seaduseelnõud. Selle tulemus on aga üheksa korda kümnest see, et töötajad ei loe seda läbi. Kui nad ei ole nõuetega tutvunud on aga ka palju loota neist, et nad neid järgivad.

Tean küll organisatsioone kes ütlevad kohe “küll me paneme nad lugema” aga see ei ole lahendus. Keerulise, kohmaka ja tihti arusaamatu infoturbepoliitika probleem ei ole mitte nende lugejad vaid nende koostajad. Peamine asi mida tuleb meeles pidada on “kas see teenib meie eesmärki?”. Üks lihtne küsimus mis iga lause puhul tasub üle kontrollida. Eesmärkide hulgas on alati kõrgel kohal soov vähendada riske. Kui aga töötajad reeglitest aru ei saa või need on liiga pikad mida keegi ei jaksa lugeda siis see reeglistik ei teeni enda eesmärki.

Siin tulebki appi infoturbepoliitika kui raamistik, mis viitab teistele dokumentidele. Mitte kõik töötajad ei pea olema tutvunud kõigi dokumentidega. Koristajal ei ole vaja teada kuidas krüpteerida mälupulka ja turundusjuhil ei ole vaja teada kuidas töötajate kontosid tehakse. Läbimõeldult tükkideks jagatud dokumendid võivad olla palju efektiivsemad kui üks pikk monstrum.

On ka teine äärmus, dokument mis samuti ei teeni enda eesmärki. Liiga pealiskaudne ja lihtsustatud dokument. Päriselu näide: “Töötaja peab arvutit kasutama ohutult:”. Mida sellest välja lugeda? Mina ei oska sellele vastata ja tõenäoliselt ei oska ka selle ettevõtte 250 töötajast mitte keegi sellele vastata. Aga selline punkt seal on ja iga töötaja peab selle läbi lugema ja andma allkirja, et ta seda ka tegi. Loetud on aga kas sellest nüüd kasu tekkis?

 

8 reeglit kasuliku infoturbepoliitika loomiseks:

  1. Pane selgelt kirja dokumendi eesmärgid

  2. Küsi iga lause kohta “Kas see lause teenib dokumendi eesmärke?”

  3. Küsi endalt kas lauset on võimalik lihtsamalt kirjutada?

  4. Väldi kordamist ja kasuta pigem viitamist

  5. Väldi kantseliitlikku teksti nagu “Peale töötajaga kokkulepitud tööaja lõppu vahetult peale tööpäeva veendub töötaja oma tööruumide piires avatavate läbipääsude nõuetekohases sulgemises.”. Kasuta pigem aktiivset ja lihtsat keelt “Töölt lahkudes sulge enda järel aknad ja uksed.”

  6. Kirjuta asjadest mida päriselt tehakse mitte asjadest mida soovid, et kunagi tegema hakatakse. Näteks: “Parool peab olema 18 tähemärki pikk ja kasutama …” võiks asendada “Kasuta paroolihaldurit.”

  7. Jäta ruumi tõlgendamiseks, ära ürita kõiki olukordi ära seletada, see ei ole võimalik. Näiteks: “Tarkvaralahenduse valimisel tuleb pöörata tähelepanu pakkuja suhtumisse infoturbe praktikatesse”.

  8. Seosta tegevused konkreetsete riskidega, ära lisa reegleid mis ühtegi riski ei puuduta.

 

Loome arusaadava infoturbepoliitika

Nüüd kus teame mis kõik infoturbepoliitikas olemas võiks olla ja kuidas seda teha arusaadavaks nii, et tast kasu ka oleks vaatame ühte näidist. Järgnev on Google Docs näidis infoturbepoliitikast mis on heaks alguspunktiks oma infoturbepoliitika kujundamisel. Otselink failile on siin.

Antud dokument on näidis mille peamine kasu tuleb inspiratsiooni andmisest. Kindlasti ei soovita kellelgi lihtsalt kopeerida dokumenti ja loota, et sellest piisab.

Olen lisanud just Google Docs lingina dokumendi sest plaanis on seda ajas muuta ehk tule ja vaata ikka tagasi kas on uuendusi tekkinud.

 
 

Järgmised sammud

Dokumendi või raamistiku koostamine on küll oluline samm ent ainult üks samm pikemas infoturbekultuuri loomises. Edasi tuleb loodud dokumenti ka töötajatele tutvustada. Seda tasub teha koolituse vormis. Praktika näitab, et inimesed on erinevad ja saavad asjadest erinevalt aru. Koolitus annab võimaluse kohe küsimusi küsida ja leida ka juhte kus infoturbepoliitika võib vajada muudatust.

Kui koolitus on tehtud siis tuleb jätkata infoturbepoliitika rakendamist ja selle järgimise monitoorimist. Perioodiliselt saab võrrelda nii monitoorimise tulemusi kui organisatsiooni muutunud riske ning täiendada infoturbepoliitikat, et see neile ka vastaks. Eesmärk on peegeldada tänast olukorda ja maandada tegelikke riske mitte eelmise aasta omi või tuleviku ootusi.

 

Loodan, et sellest artiklist oli kasu. Kui tekkis huvi kas sinu infoturbepoliitika on ka tegelikult kasulik su ettevõttele siis võta meiega all oleva nupu kaudu ühendust ja räägime kuidas saame aidata.

 
Roland Puiestik
Next

Mida tähendab tänapäevane antiviirus aastal 2025?