Lepingud ilma milleta infoturvet teha on keeruline

Operatsiooniline vaade
Written By Roland Puiestik

Kuigi tihti on meil soov infoturbele mõeldes (või veelgi hullem küberturbele) osta ports kalleid tarkvara tükke ja kuulutada projekt tehtuks, siis turvalisus ei alga sugugi mitte tehnoloogiliselt tasemelt. Õks kõige esimesi samme ja seega ka üks kõige olulisemaid on jaga vastutused. Erinevate osapoolte vahelised vastutused ja nende piirangud ning detailid reeglina vormistatakse lepingusse ja allkirjastatakse. Seega on suuresti infoturbe aluseks just nende lepingute olemasolu.

Mis lepinguid siiski aga vaja on? Järgnevasse artiklisse olen kokku toonud peamised lepingud mis igal ettevõttel olema peaks, et edukalt oma infoturvet juhtida. Ei, see ei ole juriidiline artikkel ega ka mitte juriidiline nõustamine. Küll aga annab käesolev kirjatükk pildi ette ja teeb selgeks kust pihta hakata.

 
Lepingud mis on infoturbe vaatepunktist kriitiliselt olulised
 

Peamised lepingud mis on kriitiliselt olulised

Kuigi igas organisatsioonis on omad riskid ja ohud on siiski mõned lepingud mis on pea igas kui viimses organisatsioonis möödapääsmatud. Nendeks on:

  1. Konfidentsiaalsusleping

  2. Andmetöötlusleping

  3. Infoturbe poliitika ja töökorrareeglid

  4. Teenuse- ja hoolduslepingud

  5. Kasutusreeglid ja privaatsuspoliitika

Järgnevalt vaatame iga lepingu sisse, miks, kelle vahel ja mida ta reguleerib ning mida silmas pidada.


1. Konfidentsiaalsusleping (NDA – Non-Disclosure Agreement)

Konfidentsiaalsusleping ehk NDA on vast kõige populaarsem ja praktilisem leping antud nimekirjas. NDA on midagi mida saab kasutada pea igas olukorras ning aitab luua seadusliku aluse usaldusele. Kui hakkad arutama uut teenust oma firmale - NDA. Kui võtad uue töötaja kellele annad ligipääsu oma infosüsteemidele - NDA. Kui ei ole kindel kas mingit lepingut oleks vaja vormistada - NDA.

Ehk NDA on midagi mille tasub alati kahepoolselt allkirjastada. See annab kindluse, et jagatud informatsioon jääb kahe osapoole vahele ja on juba esimene ametlik leping pikemas koostöös. NDA puudumisel vastutab kogu info saladuses püsimise eest info edastaja.

Kelle vahelist suhet reguleerib?

NDA allkirjastatakse kahe osapoole vahel kes jagavad informatsiooni. Selleks informatsiooniks ei ole ilmtingimata mõni saladus või isikuandmed vaid lihtsalt arutelu mõnel teemal kus võib tekkida oht, et avaldatakse mõni ettevõtte ärisaladuse detail näiteks. Olgu ta uue teenusepakkuja valimine või hoopis töövestluse läbiviimine on NDA usaldusavaldus paberil.

Mida reguleerib?

NDA reguleerib peamiselt kolme aspekti:

  • Mis informatsioon on salajane?

  • Kuidas seda saladus hoida tuleb?

  • Kui kaua see kehtib?

Lisaks annab NDA ka vastuse mis on tagajärjed kui lepingut rikutakse.

 

2. Andmetöötlusleping (DPA – Data Processing Agreement)

Andmetöötlusleping on GDPR-st tulenevate riskide maandamiseks ja andmetöötluse reguleerimiseks kahe või rohkema osapoole vahel. Antud lepingu aluseks on andmetöötlus kui selline. Ehk kõigepealt on rangelt soovituslik omada andmetöötlusregistrit ehk nimekirja protsessides kus ja kuidas ning kes tegeleb andmetöötlusega. Tihti andmete töötlemisel aga ei saa ainult majasiseselt protsesse lõpuni viia vaid tuleb jagada midagi partneriga siis astubki sisse andmetöötlusleping. DPA puudumisel on kogu vastutus andmete koguja õlgadel.

Kelle vahel suhet reguleerib?

Lihtsustatud kujul reguleerib DPA suhet andmete hoiustaja ja andmete töötleja vahel. Päris elus aga võib olukord olla kordades keerulisem, omanikke on mitu ja töötlejaid on mitu küll aga on reeglina vaid üks andmete vastutav töötleja (erandid on ka siin ehk kaasvastutav töötleja aga see on juba mõne teise artikli teema).

Ehk leping tehakse tavaliselt kahe või enama osapoole vahel kus üks osapool on andmete vastutav töötleja ehk see kes on andmed kokku kogunud ja teine kes on andmete volitatud töötleja (näiteks veebipoe omanik on andmete vastutav töötleja aga makseteenuse pakkuja kellele edastatakse kliendi andmed veebipoest on andmete volitatud töötleja).

Mida reguleerib?

  • Milliseid andmeid töödeldakse

  • Mis eesmärgil

  • Turvameetmed

  • Allvastutavate töötlejate kasutamine (allhankijad)

  • Lepingu lõppemise korral andmete käitlemine

DPA on leping mis peab olema paigas juhul kui tegeled andmete kogumise ja töötlemisega.

 

3. Infoturbe poliitika ja töökorraldus

Infoturbepoliitikad ja töökorrareeglitest mõeldakse tihti kui sisemistest dokumentidest mis las olla jagatud kettal ja küll keegi loeb. Tegelikkuses on aga tegemist ikkagi lepinfutega millega reguleeritakse nii infossüsteemide kui informatsiooni kasutust organisatsioonis ja töökorraldust. Mõlemad dokumendid tuleks ka töötaja poolt kas allkirjastada või näiteks läbi koolituse garanteerida, et töötaja neist aru saab ja neid ka järgima hakkab. Nende puudumisel on kogu vastutus töötaja tegevuste või tegevusetuse osas tööandja kanda.

Kelle vahel suhet reguleerib?

Peamiselt töötaja ja tööandja. Siiski võib infoturbe poliitika katta ka näiteks teenusepakkujaid või muid partnereid ja olla nende vahel allkirjastatud.

Mida reguleerib:

  • Paroolide kasutus

  • Isikliku ja tööseadme eristamine

  • Failide jagamine

  • Tarkvaralitsentsid

  • Kriisireageerimine (sh kellele helistada)

  • jpmt.

Nii infoturbe poliitika kui töökorraldusreeglid võivad olla lühikesed ja lihtsad ning ka väga pikad ja lohisevad kattes peaaegu kõik mis elus ette juhtuda võib.

 

4. Teenuse- või hooldusleping (SLA - Service Level Agreement)

Igal organisatsioonil on pikk nimekiri teenusepakkujaid, alates e-maili teenusest kuni kontori koristusteenuseni. Selleks, et teenust osutatakse vastavalt kliendi vajadustele ja et tulemus oleks kliendi ootuspärane reguleeritakse teenuse parameetrid vastavas lepingus. SLA oma olemuselt on kliendi ootuste ja teenusepakkuja võimekuse ning lepingu hinna vaheline tasakaalupunkt. Ilma vajaliku SLA lepinguta on teenusetõrgete korral kliendil väga vähe mille üle kurta ning parimal juhul leiab midagi hinnapakkumisest mida lubati aga ei teostatud täies mahus.

Kelle vahel suhet reguleerib?

Teenusepakkuja ja teenuse hankija.

Mida reguleerib:

  • Teenuseparameetrid

  • Reageerimisajad

  • CIA kolmik (konfidentsiaalsus, terviklikus, kättesaadavus)

  • Vastutuse piirid

  • Aruandlus

  • Muud teenusest tulenevad parameetrid

SLA lepingud on väga erinevad olenevalt pakutavast teenusest, seetõttu tasub need ka põhjalikult läbi vaadata ja võrrelda näiteks konkureerivate pakkumistega turul.

 

5. Kasutustingimused ja privaatsuspoliitika

Viimane oluline kategooria mida välja tuua on kasutustingimused ja privaatsuspoliitika. Need on olulised vaid organisatsioonidele mis pakuvad mingit teenust ise ja reeglina üle veebiplatvormi. Selleks teenuseks võib olla näiteks veebileht ise või blogi mida hetkel loete. Lihtne rusikareegel on, et kui kogute isiku andmeid (näiteks veebilehele saab sisse logida või veebipoest osta midagi) siis on juba tegemist olukorraga kus mõlemad dokumendid peavad olemas olema. Kasutustingimused panevad paika kuidas ja mis piirangutega teie teenust osutate oma klientidele ja privaatsuspoliitika ütleb kuidas te andmeid kaitsete. Privaatsuspoliitika on samuti GDPR nõue ja seotud DPA lepingutega.

Kelle vahel:

Ettevõtte ja tema teenuse lõppkasutajate.

Mida reguleerib:

  • Milliseid andmeid kogutakse

  • Mis eesmärgil

  • Mis on kasutaja õigused

  • Kes on andmetöötleja

  • Mis teenuse parameetrid

  • Kuidas teenust osutatakse ja mis piirangutega

Kasutustingimused ja privaatsuslepingud on äärmiselt erinevad iga ettevõtte kohta ning neid ei ole võimalik copy-paste meetodil luua.

 

Need olid viis kõige olulisemat lepingut mida praktikas näeme. Tihti tekitavad need suurt peavalu kuid võin kinnitada, et iga leping algab mingisugusest põhjast ja muutub ajas nii kuidas organisatsioonid ja inimesed kes neid allkirjastavad muudavad oma ootusi ja tööprotsesse. Ehk tegemist on iteratiivse protsessiga kus oluline on lihtsalt pihta hakata.

 
Roland Puiestik
Next

Kuidas valmistuda E-ITS auditiks ja palju see maksab?