Infoturbe nõuded (EN ISO 19650-5)
Infoturbe nõuded (EN ISO 19650-5)
Establishing high-level information need and management requirements
Understand any sensitivities
Selle etapi eesmärk on teha kindlaks, kas soovitud tulemuse saavutamiseks vajalik teave on tundlik, näiteks ärilisest, isiklikust või turvalisuse vaatenurgast, ja kus see asub, et määrata kindlaks asjakohased ja proportsionaalsed meetmed, mis tuleb selle kaitsmiseks kasutusele võtta.
Kas mõni teave on tundlik?
Teavet tuleks pidada tundlikuks, kui selle kadumine, väärkasutamine või muutmine või volitamata juurdepääs võib:
- kahjustada üksikisiku või üksikisikute privaatsust, heaolu või turvalisust;
- kahjustada organisatsiooni intellektuaalomandit või ärisaladusi;
- tekitada organisatsioonile või riigile ärilist või majanduslikku kahju;
- ohustada rahva julgeolekut, sise- ja välissuhteid.
Samuti peaksite arvestama, et teabe koondamisel võivad tekkida uued tundlikkused või olemasolevad tundlikkused suureneda. Näiteks võib teatud tüüpi, sidumata teabe ohustatus olla tühine või puududa üldse, kuid kui see on seotud muu teabega, võib sellel olla märkimisväärne mõju. Lisaks võib koos talletatava teabe maht suurendada mõju, mis ilmneks informatsiooni kompromiteerimise korral.
Kui teavet annab kolmas isik, võib see osaline esile tõsta tundlikke aspekte ja nõuda teatud meetmete rakendamist selle teabe kaitsmiseks enne selle jagamist. Enne teabe hankimist peaksite veenduma, et mõistate täielikult, milline teave on tundlik ja milliseid kaitsemeetmeid on vaja. Tavaliselt tuleks juhtimis- ja infokäitluskord kindlaks määrata litsentsi- või teabejagamise lepingus.
Millised riskid võivad tuleneda tundlikule teabele volitamata juurdepääsust ja selle kasutamisest ning milliseid turvariskide maandamise meetmeid on vaja?
Kui mis tahes teave tuvastatakse tundlikuna, on oluline mõista tekkivaid turberiske, et saaksite määrata sobivad ja proportsionaalsed meetmed nende maandamiseks.
Üksikasjalik teave turvariskide mõistmise ja turvalisusest lähtuva lähenemisviisi rakendamise kohta on saadaval järgmistes standardites:
- EN ISO 19650-5:2020 – Security-minded approach to information management
See standard on mõeldud kasutamiseks kõikidele organisatsioonidele, kes on seotud infohalduse ja tehnoloogiate kasutamisega varade või toodete loomisel, projekteerimisel, ehitamisel, tootmisel, käitamisel, haldamisel, muutmisel, täiustamisel, lammutamisel ja/või ringlussevõtul, samuti teenuste pakkumisega ehitatud keskkonnas.
- EN ISO/IEC 27000 standardiseeria
Standardiseeria sisaldab parimaid praktikaid infoturbe haldamiseks – inforiskide haldamiseks infoturbe kontrollide kaudu – üldise infoturbe juhtimissüsteemi (ingl information security management system, ISMS) kontekstis, mis on oma ülesehituselt sarnane kvaliteedi tagamise juhtimissüsteemidega (ISO 9000 seeria), keskkonnakaitsega (ISO 14000 seeria) ja muude juhtimissüsteemidega.
- PAS 185:2023 – Connected places. Establishing and implementing a security-minded approach. Specification
See avalikult kättesaadav spetsifikatsioon (UK PAS) määrab kindlaks põhimõtted ja nõuded turvalisusega seotud lähenemisviisi väljatöötamiseks ja rakendamiseks ühendatud kohas, et tulla toime turvariskidega, mis tulenevad digitaaltehnoloogia ja küberfüüsikaliste süsteemide suuremast kasutamisest ja nendest sõltuvusest ning andmete ja informatsiooni laiemast jagamisest ja kasutamisest.
Kas sellel teabel on mingeid mõjusid privaatsusele?
Oluline on hinnata, kas teave sisaldab 2018. aasta andmekaitseseaduses (GDPR) määratletud isikuandmeid, kuna see mõjutab seda, mida ja kuidas saab hankida, ning teabe töötlemise, säilitamise, jagamise, säilitamise ja hävitamise nõudeid.
Lisaks GDRP-is sätestatud nõuetele tuleks kaaluda, kas andmed võivad võimaldada määrata üksikisiku või tuvastatava grupi elumustrit ja seega tuleb nõuda vastavasisulist kaitset.
Näide.
Kohalik omavalitsus kogub teavet elektrisõidukite laadimise kohta, et teha kindlaks piirkonnad, kus on vaja laadijaid täiendavalt rajada. Kogutud teave tuvastab unikaalselt üksikud sõidukid ja nende laadimise kohad. See loob teatud sõidukite kasutusmustri ja sõidukite juhtide või reisijate elumustreid. Andmete anonüümseks muutmiseks ja muude andmekogumite abil anonüümseks muutmise vältimiseks on vaja rakendada teatud meetmeid.
Kes millisele informatsioonile juurdepääsu vajab?
Kui teave on tundlik, peaksid sellele juurde pääsema ainult need, kellel on tegelik vajadus sellele informatsioonile. Seetõttu on vaja kindlaks määrata, millised organisatsioonid ja rollitüübid vajavad juurdepääsu sellele tundlikule teabele ja mis eesmärgil. Näiteks seoses konkreetse tundliku teabega:
- kes peab saama seda luua, värskendada, seadistada või kustutada;
- kes seda näeb, kui see on töödeldud;
- kui kaua vajab keegi teabele juurdepääsu;
- kas kohandatud vaated on nõutavad konkreetsetel eesmärkidel?
Juurdepääs tundlikule teabele tuleks piirata, kasutades sobivaid rollipõhiseid juurdepääsu kontrolle nii informatsiooni kasutajate kui ka süsteemihalduri õigustega isikute jaoks. Tundlikule teabele juurdepääsu vajadus tuleks regulaarselt üle vaadata ja juurdepääs tuleks eemaldada, kui see pole enam vajalik. Lisaks juurdepääsu reguleerivatele turbepoliitikatele või protsessidele tuleks tehnilises ja informatsiooni arhitektuuris kaaluda kontrollimeetmeid, mis eraldavad tundlikuma teabe, näiteks eraldi salvestamist või muid juurdepääsu piiramise tehnilisi vahendeid.
Näide.
Selle asemel, et anda üksikasjalikku teavet tehnosüsteemide praeguse suutlikkuse kohta kellaajaliselt oma mahajäetud tööstusalade ümbruses, mis võib anda tundlikku teavet naabruses asuvate ehitatud varade kasutamise kohta, esitab kohalik omavalitsus georuumilise "soojuskaardi", mis näitab, kas saadaval on madal, keskmine või kõrge suutlikkus. See annab võimalikele arendajatele vajaliku teabe, kuid mitte tundlikku teavet, mis antud juhul ei ole ülesande jaoks oluline.
Kes ei peaks vajama juurdepääsu informatsioonile?
Sama oluline on mõista, kes ei vaja juurdepääsu teabele. Seetõttu peaksite kaaluma, kas on õigustatud vajadus teha andmed laiemalt kättesaadavaks ja kui jah, siis kas seda tehakse järgmiselt:
- Avaldamine – välja antud müügiks või üldsusele levitamiseks trükitud või digitaalsel kujul
- Teatavaks tegemine – tahtlik, volitatud toiming, mis tehakse osana kohustuslikust protsessist, näiteks taotluste esitamise ja teabenõude päringutele vastamise kavandamine
- Jagamine – andmete edastamine ühelt organisatsioonilt teisele, mis võib hõlmata nende vahelist vastastikust andmevahetust.
Avaldamine võimaldab teil kontrollida, millist teavet ja millal avaldatakse, kuid pärast avaldamist pole teil enam kontrolli selle üle, kuidas inimesed seda kasutavad.
Teatavaks tegemine erineb teabe jagamisest selle poolest, et sellega ei kaasne asjaomaste poolte vahel sõlmitud õiguslikku kokkulepet.
Teabe jagamisega kaasnevad juriidilised kokkulepped võivad teabe kasutamisele kehtestada konkreetsed konfidentsiaalsusnõuded ja piirangud.
Millisteks volitamata kasutusteks võib teavet kasutada ja millised on selle tagajärjed?
Oluline on, et andmete väärtust arvestataks nii lubatud kui ka volitamata kasutamise vaatenurgast. Mõnel juhul võib selle väärtus volitamata kasutaja või kolmanda isiku jaoks olla oluliselt suurem, kui andmete omanik või seaduslikud kasutajad seda tajuvad.
Näiteks võib see olenevalt andmete ja/või teabe olemusest:
- võimaldada vaenulikul osalisel teha kindlaks, kuidas kõige paremini häirida, hävitada või saada volitamata juurdepääs objektidele või ehitatud varadele, sealhulgas naaberobjektidele või ehitatud varadele;
- võimaldab kindlaks teha, kuidas kõige paremini saboteerida või muul viisil häirida seadmete, masinate ja süsteemide tööd;
- toetada üksikisikute või rühmade sihipärast tegevust, et neid ahistada, kahjustada või eksitada;
- seada ohtu äriliselt või majanduslikult väärtuslikku intellektuaalomandit või anda majanduslikku eelist, vähendades andmete kogumisele kuluvat aega ja vaeva.