Eesti Infoturbestandard (E-ITS) on alates 01.01.2023. aastast kohustuslik rakendamiseks paljudele era- ja avaliku sektori organisatsioonidele. E-ITS aluseks on Saksa päritolu BSI IT-Grundschutz etalonturbe meetod. E-ITS koostamisel on arvestatud vajadusega saavutada vastavus standardi ISO/IEC 27001 nõuetega. E-ITS põhineb riskijuhtimisel ning aitab organisatsioonidel määrata infosüsteemide kaitsemeetmed.

E-ITS on kehtestatud Vabariigi Valituse määrusega küberturvalisuse seaduse (KüTS) § 7 lõike 5 ning Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded” § 3 lõike 1 alusel. Vastavalt KüTSle on E-ITS rakendamine kohustuslik avaliku sektori organisatsioonidele, elutähtsa ja olulise teenuse osutajatele (ETOd, OTOd) ja teistele küberturvalisuse seaduses välja toodud organisatsioonidele.

E-ITS on võrreldes eelkäijaga (ISKE) läbinud suure muutuse, mis muudab asutustel ja organisatsioonidel infoturbe haldussüsteemi rakendamise lihtsamaks. Uus infoturbestandard E-ITS tagab oluliselt laiema ulatuse ja selgemad nõuded. E-ITS vastavuses oleva infoturbe haldussüsteemi rakendamine tagab parema kaitse organisatsioonile ja teabele tervikuna.

E-ITS on sarnane ISO/IEC 27001 standardi ülesehitusele ning omab sarnast auditeerimise lähenemist ja nõudeid.

Erasektori organisatsioonides, kes on KüTSi subjektideks, on kohustus korraldada riskihaldust ja rakendada infoturbe meetmed kooskõlas E-ITSi või ISO27001-ga.

Võta ühendust

ISKE standardi kehtivuse lõppemine

Infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE) kehtib kuni 31.12.2023. Selleks ajaks peavad kõik ISKE rakendajad uuele infoturbestandardile E-ITS üle minema. ISKE rakendamise õiguslik alus kadus ära 1. jaanuarist 2023 ja selle järel ei ole enam õiguspärane sellest lähtuda. 01. jaanuari 2023 seisuga kehtivate ISKE auditite tulemuste kehtivust see ei mõjuta ning asutus saab sellele kuni kehtivuse lõpuni tugineda.

Alates 01.01.2023 ei ole enam lubatud ISKE standardile vastavate auditite läbiviimine ning ootus on, et ISKE rakendajad on aastaks 2024 täielikult üle läinud E-ITS’le.

Auditeerimine

E-ITSi auditeerimise nõue sõltub organisatsiooni infosüsteemi turbetasemest, vastavalt kas kahe- või kolmeaastane tsükkel. Iga audititsükkel koosneb: põhiauditist, järelauditist (kui infoturbe hetkeolukorra tase organisatsioonis on madal) ning iga-aastasest vaheauditist. Sellele lisandub ka eelaudit, mis on kohustuslik esimesel korral kui auditeeritakse organisatsiooni vastavust E-ITSi standardile. Oluline on meeles pidada, et eelauditi ja põhiauditi vahe ei tohi olla üle 6-kuu.

Kui asutus ei ole varasemalt olnud E-ITS kohuslane või ei ole varasemalt olnud ISKE kohuslane, siis tuleb alustada E-ITS rakendamist 6 kuu jooksul alates määruse jõustumise kuupäevast. Tuleb koostada konkreetne tegevusplaan standardi rakendamiseks ning E-ITS põhiaudit peab olema asutusel läbitud 2025. a. lõpuks.

E-ITS auditit tegema ei pea nt teenuse osutajad, kellel on majandusaasta jooksul keskmiselt alla 10 töötaja ja kelle aasta bilansimaht või aastakäive ei ületa 2 miljonit eurot.

Auditi tellimisel peavad organisatsioonid arvestama, et uue infoturbestandardi E-ITSi põhine auditeerimine on mahukam võrreldes varasemate ISKE audititega. Kui ISKE auditit pidi läbi viima iga kahe-, kolme- või nelja aastase perioodi järel (sõltuvalt turbeastmest), siis E-ITS standardi kohaselt muutub auditeerimiskohustus iga-aastaseks. Auditi tellimist tuleks alustada vähemalt kaks kuud varem.

E-ITS auditit tellides peab asutus kirjeldama üheselt ja arusaadavalt auditi käsitlusala, sealhulgas auditeerimisele määratud äriprotsessid koos kaitsetarbega ning võimalikud erisused.

Auditi tellimisel tuleks silmas pidada audiitori kvalifikatsiooni varasema sarnaste tööde kogemus ning infoturbe süsteemide auditeerimise sertifikaat(did). Antud tingimused on olulised, et tagada kvaliteetne ja jätkusuutlik auditeerimine 3 aasta jooksul, mis omakorda annaks kindluse asutuse infoturbe haldussüsteemi võimekusele.

KPMG auditi meeskond omab mitmeid rahvusvaheliselt tunnustatud infoturbe ja auditi sertifikaadid sh ISO 27001 Lead Auditor ja CISA, mis tagavad audiitori kvalifikatsiooni E-ITS auditeerimisjuhendi nõuetega. Täiendavalt omab meeskond CISM ja CRISC sertifikaate, mis tagavad eduka riskihinnangute läbiviimise.

ISO 27001 standard alternatiivina E-ITSi rakendamisele

Vastavalt KüTSile ei kohaldata E-ITS rakendamise nõuet, kui on organisatsiooni (teenuse osutaja) rakendatud turvameetmed vastavad rahvusvahelise standardiga ISO/IEC 27001 kehtestatud nõuetele ning vastavussertifikaat on esitatud haldusjärelevalve teostajale (RIA).

KPMG saab olla Teie organisatsioonile abiks nii E-ITS rakendamisel kui ka auditeerimisel.