Infoturbe nõuded (EN ISO 19650-5)
Infoturbe nõuded (EN ISO 19650-5)
Sissejuhatus
Infoturbe olemust saab esmalt vaadelda kui turvalisusest lähtuva meelsuse väljaarendamisena. Turvalisusele suunatud meelsust saab vaadata väga erinevate turvalisuse valdkondade tähenduses. Selle eesmärk on julgustada ettevõtete juhte, töötajaid võtta arvesse turvalisusega seotud aspekte nende organisatsioonides, soetatud varade lõikes või oma pakutavates teenustes aga ka töös olevates projektides ning kasutatavates tarkvarades/rakendustes.
Eelnev omab veelgi suuremat tähelepanu olukorras, kus me oleme üha enam liikumas digitaalajastusse, mis tähendab, et kasvab ka nende organisatsioonide arv, kes peavad turvalisusega seotud aspekte arvesse võtma hakkama.
Turvalisusest lähtuv meelsus on üldiselt ette nähtud vaenuliku, pahatahtliku, petturliku ja kuritegeliku käitumise või tegevuse ärahoidmiseks ja katkestamiseks. Seda lähenemisviisi võivad aga kasutada ka organisatsioonid, et aidata kaitsta väärtusliku äriinfo, isikuandmete ja intellektuaalomandi kadumise eest.
Turvalisusest lähtuvat meelsust võib jagada nelja suuremasse rühma:
- Ohtude tuvastamine
- Riskide minimeerimine
- Eeskirjade ning protsesside järgimine
- Vahejuhtumitele/rikkumistele reageerimine
Ohtude tuvastamine
See on seotud ohtude mõistmisega, mis võivad mõjutada:
- organisatsiooni ohutust, turvalisust ja/või vastupidavust;
- inimesi;
- vara;
- teenuseid.
Need ohud võivad olla terrorism, riikide vaenulikud tegevused, äriline spionaaž, organiseeritud kuritegevus, aktivistid, sõltumatud mõjutajad, häkkerid ja pahatahtlikud siseringi liikmed.
Riskide minimeerimine
Teine etapp on meetmete väljatöötamine ja rakendamine nende riskide maandamiseks, mis ületavad teie organisatsiooni riskivalmidust. Need meetmed peaksid arvestama personali-, füüsilise- ja küberturvalisuse kontrolle, samuti meetmeid tundliku informatsiooni haldamiseks, mida organisatsioon loob, hangib, töötleb ja salvestab. Turvalisusele suunatud lähenemisviisi aluseks peaks olema ka hea juhtimistava, mille eest vastutataks oma organisatsiooni tippjuhtkonna tasandil.
Eeskirjade ning protsesside järgimine
Kui eeskirjad ja protsessid on paigas, on oluline, et nende rakendamise tagamiseks oleks olemas asjakohane toetus. See hõlmab turvalisusega seotud kultuuri arendamist ning proportsionaalse auditeerimise ja järelevalve teostamist.
Vahejuhtumitele/rikkumistele reageerimine
Olenemata rakendatavatest meetmetest on võimalik, et turvarikkumine või intsident võib siiski aset leida. Turvalisusele suunatud lähenemisviisi viimane etapp on tõhusalt reageerida ning tuvastada ja rakendada meetmed võimaliku kordumise vähendamiseks.
Turvalisusest lähtuvat lähenemisviisi võib vaadelda väga erinevatest vaatenurkadest, mis sõltub nii sihtrühmast kui ka vajadustest. Siinkohal toomegi mõned olulisemad alateemad ehitusinfo kontekstis:
- Digitehnoloogia
- Infohaldus
- Võrgustatud paik (tark linn)
- Avatud ja jagatud andmed
Seejärel teeme sissejuhatuse olulisematesse standarditesse nagu EN ISO 19650-5 ning EN ISO/IEC 27000 seeria. Käsitletud alateemade lõikes (digitehnoloogia, infohaldus, võrgustatud paigad, avaandmed) tuuakse täpsemad tegevuskavad eraldiseisvate alalõikudena:
- Väga hea tasemega infovajaduse ja -haldamise nõuete määratlus
- Dialoogi alustamine digitaalse ehitatud varade turvalisuse kohta
- Informatsiooni ligipääsetavuse ulatus
- Infohaldus – dokumendi väljastamise juhis
- Triaažiprotsess info avalikustamiseks või avaldamiseks
- Avaandmete turvalisuse lähenemisviisi kasutamine