Alljärgneva läbi töötamine ja kasutusele võtmine peaks olema iga ettevõtte-asutuse juhi oluline ülesanne.

1. Palka infoturbejuht ja taga tema sõltumatus

Teil on vaja kedagi, kes teeks süsteemset kontrolli infovarade, personali ja tööprotseduuride üle. Seda rolli saab täita edukalt vaid juhul, kui infoturbejuht on kaasatud asutusse juhtimisse, on iseseisev IT-osakonnast ning ülejäänud organisatsioon tajub tema antavate suuniste puhul tippjuhi toetust.

floating_list

Võimalusel loo andmehalduse korraldamiseks ka spetsiaalne ametikoht andmekaitse spetsialisti näol. Isikuandmete kaitse üldmäärusest lähtuvalt on teatud juhtudel ka kohustus andmekaitsespetsialist organisatsiooni määrata. Täpsemalt saab selle kohta lugeda andmekaitse inspektsiooni koduleheküljelt.

Asutuse infoturbe korraldus võiks olla üles ehitatud standardile või parimale praktikale. See annab võimaluse nõuda info- ja võrguturbe korraldamisel kehtestatud reeglite järgimist ning süsteemset aruandlust. Standard annab vastused küsimusele: kuidas korraldada infovarade haldust, juurdepääsude ja kasutajaõigustega seonduvat; kuidas varundada andmeid ja kaitsta andmekandjaid jms.

RIA on loonud Eesti infoturbestandardi (E-ITS), mille siht on arendada ning edendada Eesti avaliku sektori asutuste, aga ka erafirmade infoturbe taset, esitades eestikeelse ja Eesti õigusruumile vastava aluse infoturbe käsitlemiseks, mis samaaegselt on kooskõlas rahvusvaheliselt tunnustatud infoturbehalduse standardiga ISO/IEC 27001.

Küberturvalisusele suunatavad vahendid sõltuvad teenuse turbenõuetest ning asutuse äririskidest. Näiteks on tihtipeale ettevõtte ärimudeli peamine osa e-pood. Sel juhul tuleb tagada, et e-pood toimiks viperusteta ja oleks hea käideldavusega, st kättesaadav alati, kui klient sinna suundub. Vastasel juhul jääb ettevõttel lihtsalt soovitud tulu saamata.

Kliendi ootus on aga turvaline integratsioon pangaliidesega ja see, et tema andmed ei lekiks. Ehk siis nõuded terviklusele ja konfidentsiaalsusele. Kui veebipoes pakutakse teiste osapoolte teenuseid, siis on ka nendega sõlmitud lepingud ja neiski omakorda käideldavuse, tervikluse ja konfidentsiaalsuse nõudeid.

Vastavate nõuetega käivad sageli kaasas ka sanktsioonid või trahvid, mille ennetamiseks on vaja rakendada turvameetmeid. Samuti tuleb veenduda erinevate turvameetmete rakendamises juhul, kui süsteemide automaatika, millega ka inimesed töötavad, sõltub ITst.

Palu IT-juhilt riskide hindamist ning asutuse IKT-eelarve kinnitamisel küberturvalisusega seonduvate kulude eraldi välja toomist. RIA loodud E-ITS võib aidata riske hinnata.

4. Testi teenuste ja süsteemide turvalisust regulaarselt

Leppige asutuses kokku põhimõtetes, et enne uute teenuste või olemasolevate teenuste uute versioonide kasutuselevõttu tuleb alati läbi viia turvatestid. Nõua oma põhiteenuste süsteemset testimist võimalusel vähemalt kord aastas, selleks vajalike lepingute olemasolu ning planeeri selleks rahalised vahendid ettevõtte eelarvesse.

5. Kasuta RIA kübertesti küberhügieeni parendamiseks

Küberturvalisus sõltub töötajate teadlikkusest. Paraku näitab kogemus, et käitumismustrid on tihtipeale hoolimatud ning riskantsed. RIA kübertest võimaldab kiirelt ja tasuta anda asutuse töötajatele põhiteadmised küberhügieenist ning tagab operatiivse ülevaate asutuse töötajate küberturbeteadlikkusest. RIA uuendab kübertesti sisu iga aasta, et pakkuda testi kasutajatele kõige ajakohasemat teavet.

See on omakorda hea sisend täiendavate koolituste tellimiseks. Ka koolituste korraldamisel on abiks RIA, mis korraldab teavitusüritusi nii tavakasutajatele kui tehnilistele ekspertidele.

6. Investeeri võrgu kaitsesse ning seiresse

Kasuta sissetungi tõkestamise ja avastamise seadmeid ning nõua infoturbejuhilt, et võrguliiklust salvestataks ja analüüsitaks. Võrguliikluse võiks salvestada vähemalt ühe nädala, soovitavalt aga ühe kuu ulatuses. Võrguliikluse seirevõimekuse (sh sissetungi avastamine, kogu võrguliikluse salvestamine ja indekseerimine) saab luua, kasutades vabavaralisi komponente, samas võib olla vajalik teha investeeringud riistavarasse.

Võrguliikluse seire ja kaitse korraldamisel võib pakkuda täiendavat tuge CERT-EE lahendus CERT-EE Suricata for All (S4A). See lihtsustab vabavaral põhineva võrguliikluse seirelahenduse ehitamist, võimaldab saada rünnete ja pahavara tuvastamiseks CERT-EE käest reegleid ja abi.

Leppige kokku põhimõtted logide pidamise kohta, sest see aitab hiljem tuvastada võimalikud kuritarvitused ning teenusega seonduvad probleemid. Oluline on, et lepitaks kokku, milliseid kriitilisi logisid talletatakse. Soovitatav on säilitada logid puutumatuna turvalises keskkonnas teile vajaliku aja jooksul eeldusega, et neid oleks võimalik küberintsidendi analüüsimiseks ka kasutada.

Üks peamisi ettevõtete vastu suunatud ründevektoreid seondub organisatsiooni e-kirjavahetuse kuritarvitamisega. Nõua, et asutuse andmevahetus, eelkõige meilivahetus, oleks krüpteeritud ning teie asutuse meiliaadresside võltsimine oleks kurjategijatele tehtud võimalikult keeruliseks (märksõnadena SPF, DKIM ja DMARC). RIA veebis asuv juhend tutvustab kaitsemeetmeid lähemalt ja aitab meilivahetuse turvalisemaks muuta.

Samuti võib e-kirjade ja veebiserverite andmevahetuse turvalisuse parendamisel abi olla Ühendriikide küberturvalisuse ja infrasturktuuri turvalisuse agentuuri koostatud juhendist.

9. Nõua CERT-EE teavitamist turvanõrkustest ja intsidentidest

Ära hoia küberintsidente enda teada ning jaga teavet Eesti küberruumi seirava CERT-EE-ga. Iga intsidenditeade on vajalik tervikpildi hoidmiseks ning tihtipeale ka teiste kasutajate riskide maandamiseks. Kiire teavitus ning infovahetus CERT-EEga aitab kaasa riskide maandamisele riigis tervikuna.

Kohustus intsidentidest teavitada on riigiasutustel ning küberturvalisuse seaduses nimetatud erasektori teenuseosutajatel, samas on oodatud kõikide teiste asutuste teavitused. Täpsem info ja raporteerimine: cert@cert.ee või raport.cert.ee.

10. Veendu kriisiplaani olemasolus ja harjuta selle täitmist regulaarselt

Hinnake oma äririskid ning valmistage ette plaan B ehk kuidas teha nii, et küberintsident ei halvaks teie teenuste kättesaadavust. Mõtle läbi, mis saab siis, kui e-teenus (nt e-kirjad, laohaldustarkvara) mõnda aega ei tööta, koduleht on maas jms ning kuidas seda mõju leevendada. Oluline on omada tegevuskava kriisihalduseks, aga sellest ei piisa – kriisiplaani tuleks süsteemselt ka asutuses läbi harjutada.

11. Tutvu RIA koostatud ettevõtete küberturvalisuse lühijuhendiga

RIA küberturvalisuse lühijuhend on mõeldud selleks, et aidata ettevõtetel astuda esimesi samme küberturvalisemate äriprotsesside suunas. Sealt leiab põhimõtted, kuidas kaitsta oma kliente, süsteeme, töötajaid ja kaubamärki. Nende põhimõtete vajadusest peaks aru saama iga ärijuht ja nende meetmete rakendamisega peaks toime tulema iga vähegi infoturbeteadlik IT-teenuse pakkuja.

Lisasoovitus riigiasutustele: kasuta turvalist riigivõrku

Riigivõrk on riigi osutatav internetiteenus, mille kvaliteedi ja turvalisuse eest vastutab RIA. CERT-EE teeb riigivõrgu turvaseiret Eesti parima ohuindikaatorite loetelu, tehnilise ja sisulise võimekuse toel. Riigivõrguga liitumine parandab märkimisväärselt teie asutuse küberturvalisust ning tagab ka terviklikuma vaate Eesti küberruumis toimuvast.

IGALE JUHILE | Riigi infosüsteemi ameti 11 soovitust ettevõttes küberturbe tagamiseks

Riigi infosüsteemi amet (RIA) avaldas uuendatud kujul 11 põhjalikku soovitust tippjuhtidele ettevõtete ja asutuste küberturvalisuse tagamisel.

Arvete menetlemise automatiseerimine vähendab pettuste riski, kui seadistus on õige

Korteri väljaüürimisega raha teenida ei olegi nii lihtne, siin on 3 konksu

Kas jõulupidu liidab või loob lõhesid? Meeskonnad käituvad seal ausamalt kui koosolekul

Millal eelistada töövaidluses kompromissi, millal aga lepitusmenetlust?

Juristid: palkade avalikustamine seab Eesti keeruliste valikute ette

Millal eelistada töövaidluses kompromissi, millal lepitusmenetlust?

Evelyn Aaviksoo: töötervishoid peaks olema investeering, mitte “linnuke”

Адвокат: обязательное предварительное решение налогового департамента вносит ясность в налоговую среду Эстонии

Рождественские корпоративы: радостная традиция или источник рисков?

Kas tööandja võib lõpetada lepingu hoiatuseta?

Vandeadvokaat: tee põhjalik kodutöö enne, kui võtad vastu juhatuse liikme rolli

Personalijuht juhatuse laua taha: enne tasub teha põhjalik kodutöö

Koosolekud on peegel ettevõtte toimimisele – kas kohtume selleks, et luua või põgeneda?

Tulemuslik meeskonnatöö: 3 + 3 soovitust meeskonnajuhtidele

Küberründe ohvriks on langenud iga viies kaupmees. „Teadlikkus kasvab alles kogemuse kaudu“

Häkkerid murdsid ettevõtte küberkaitsest läbi. Millised nõuded ja trahvid võivad nüüd tabada juhatuse liikmeid?

Sõbralik kontorikoer võib tööandjale kalliks maksma minna

Heli Raidve: on ainult kaks aega – tööaeg ja puhkeaeg. Kõik muu on väljamõeldis

Advokaat: maksuameti siduv eelotsus loob Eesti maksukeskkonnas selgust

Töökoha jõulupidu: rõõmustav traditsioon või riskiallikas?

Серая зона найма: когда кандидат оплачивает счет работодателя, или настоящая цена бесплатных пробных заданий

Ettevõtte parim relv petturite vastu: töötaja julgus kahtluse korral juhilt/kolleegilt üle küsida

Tööinspektsioon hoiatab: ainult juhendist ei piisa – uuel töötajal peab olema ka praktiline väljaõpe

Как компенсировать сотруднику зарядку служебного электромобиля дома?

Värbamine on praegu sprint, mitte maraton

Eesti IT-firma soovitused värbamiseks: too välja palgavahemik ja võimalik karjäär

Advokaat selgitab: millal on ettevõtete ühinemine või jagunemine seaduslik ning millal mitte

Värbamise hall ala: kui kandidaat maksab tööandja arve ehk tasuta proovitööde tegelik hind

Kuidas hüvitada töötajale ettevõtte elektriauto kodus laadimine?

Töötervishoiuarsti otsus võib tähendada töötajale lepingu ülesütlemist

Ärivaidluste advokaat: juhatuse liikme isiklik vastutus muutub reaalseks

Как команде войти в рабочий ритм осенью?

Kristina Judina: juht peab julgema kriisi tunnistada

Tööinspektsioon: istumiskeeld pole seadusega kooskõlas, füüsilist ülekoormust tuleb vältida

Kuidas tiimiga sügishooaeg käima tõmmata?

Tööinspektsioon: istumiskeeld pole seadusega kooskõlas

Kui töötaja ei suuda keskenduda: probleem pole temas, vaid töökeskkonnas

Advokaat: IT-alal pidurdab riigihangetes innovatsiooni intellektuaalomandi kuuluvus

Tehnoloogiaettevõtte juhtivtöötaja: miks me pöörasime kontoriusku

Spordiarst soovitab, kuidas kodukontoris kehalist ülekoormust vältida

5 olulist küsimust, mida küsida oma ettevõttes AI-lahenduste kasutamise kohta

5 soovitust, kuidas pärast puhkust tööle naasta

Присяжный адвокат: опционы участия в Эстонии нельзя рассматривать как прямую заработную плату

Налоговый консультант: ужесточение налогового контроля вызывает тревогу

Kuidas teha suvel tööd nii, et ise terveks jääksid

Vandeadvokaat: Eesti osalusoptsioone ei saa käsitleda kui otsest töötasu

6 soovitust, kuidas kodukontoris kehalist ülekoormust vältida

Maksunõunik: maksukontrollide karmistamine tekitab muret

Töötervishoid juhile, kes tahab ennetada, mitte remontida

Хели Райдве: если работник отгуливает сверхурочные часы в конце месяца, работодатель платит вдвойне

Горячие вопросы о новой системе пособий по безработице

НТД: как избежать ошибок и налоговой проверки

По мнению НТД, предприятия с рисками в сфере налога с оборота составляют 6% всех эстонских предприятий

MTA: kuidas vältida eksimusi ja maksukontrolli

MTA silmis on käibemaksuriskiga 6% kõikidest Eesti ettevõtetest

Heli Raidve: kui töötaja võtab tunnid kuu lõpus tagasi, maksab tööandja topelt

Miks pank küsib selgitusi, kui autofirma ostab tonni suhkrut? Kes satub automaatsesse kontrolli?

Kuidas saada hakkama tõmbleva tollipoliitikaga? Tollispetsialistide koolitajad annavad nõu

Pauk võib olla suur: ehitusturgu ähvardab ränk hinnatõus

Kuumad küsimused uue töötushüvitiste süsteemi kohta

Juhi roll värbamises: miks see on kriitiline ka siis, kui HR on tugev partner

Kuidas teha vigu õigesti? Vaata vigadele julgelt otsa

Kristina Schotter: 10 nõuannet konfliktseks äriühingu üldkoosolekuks

Vandeadvokaat: hanke kehtetuks tunnistamine võib kaasa tuua kahjunõude

Pankur: ESG-aruandluse kohustus küll kaob, aga ootused jäävad – alusta vabatahtliku aruandlusega

Ardo Reinsalu: kas tehisintellekt toob neljapäevase töönädala?

Müra esitab ehitajale kõrgeid nõudeid ja eeldab arendajalt kannatust

Töötasu märkimine haigus- või hoolduslehel: lihtne eksida, kallis parandada

Juhtimisekspert õpetab: kui meeskonnas ei vasta keegi standarditele, tuleb sellega tegeleda

Финальная игра тайны заработной платы: как создать справедливую и прозрачную систему оплаты труда?

Palgasaladuse lõppmäng: kuidas luua õiglast ja läbipaistvat tasusüsteemi?

Vaimne tervis töösuhtes: millal muutub mure töövaidluseks?

Ehituse projekteerimislepingu kohtuvaidlusi saab vältida

Mida teha, kui tööandja ei anna kirjalikku lepingut

Hoonete süsiniku jalajälje kohustust lükati edasi, aga turg nõuab seda juba täna

2025. aasta koosolekute ja arutelude teemad ehk 3 märksõna sellel tööaastal

5 практических советов бухгалтеру, как выиграть гонку со временем

Налоговый эксперт Тынис Эллинг: новые веяния в декларировании оборота в 2025 году

Резкий поворот в отчете об устойчивом развитии: компании с численностью 1000 работников теперь могут быть спасены

5 praktilist soovitust raamatupidajale, kuidas võita võidujooksu ajaga

Парадокс разницы в зарплатах: женщины просят меньшую зарплату, но их удовлетворенность работодателем выше

Sirje Tammiste: kolm tähtsat küsimust spetsialisti edutamisel juhiks

Kestlikkusaruande suur pööre: alla 1000 töötajaga ettevõttel nüüd lootus pääseda

Maksuekspert Tõnis Elling: uued tuuled käibe deklareerimisel 2025

Kui tööandja ei panusta töötajate tervisesse, maksab ta haiguslehtede ja asendajate eest

Tööandja 9 uut kohustust. Kuidas palkade läbipaistvus praktikas välja näeb?

Palgalõhe paradoks: naised küsivad väiksemat palka, aga rahulolu tööandjaga on suurem

Asjade edasilükkamine on nähtamatu ajaröövel, millele on õnneks lahendus

Vandeadvokaat: iga töötaja, mitte ainult juht, peab mõistma, et ärisaladuse hoidmise nõue on päris nõue

Vigane ehitusprojekt ei vabasta ehitajat automaatselt vastutusest

Предприниматели уезжают из Эстонии не из-за налогов, но риск остается

Бухгалтеры играют особую роль в выявлении мошенничества. Что указывает на преступление?

5 soovitust tööohutuse parandamiseks digiteerimisega

Ettevõtjad ei lahku Eestist maksude pärast, kuid risk on õhus

Raamatupidajatel on eriline roll pettuste avastamisel. Mis viitab kuriteole?

Advokaat: päranduse küsimused tasub lahendada eluajal

Kohtulugu: 4 krõbedat õppetundi suulise töölepingu ja välismaalasega

Advokaat selgitab: mida teha, kui ärisaladus ei ole enam saladus?

KOGEMUSLUGU: Rimi Eesti tarneahela juht: ühtse logistikakeskuse rajamine oli loogiline otsus

Raha vedeleb maas. “Nii saab käibemaksu lootusetult nõudelt tagasi küsida”

SMS запись в регистр работы не подтверждают соглашение сторон

Налоговые изменения в 2025 и 2026 годах

Jurist tuletab meelde: firmapeol tehtud fotode jagamisel arvesta kolleegide õigustega

Kuus võimalust võla kättesaamiseks, kui võlgnik on paberitel vaene ja varatu

Alapakkumiste aeg hakkab läbi saama

Keskkonnasäästlik ehitus pole üksnes süsinikujalajälje hindamine

SMS ja TÖRi kanne ei tõenda poolte kokkulepet

Erivajadusega inimeste kaasamine loob väärtust nii töötajale kui ka tööandjale

2025. ja 2026. aasta maksumuudatustest

Особый порядок для малых предприятий вступит в силу в 2025 году

Väikeettevõtja erikord jõustub 2025

Ekspert: automaatne küberkaitse on odav, ent tekitab petliku turvatunde

Kaugtöö varjatud riskid: kuidas tagada kodukontoris usaldus ja ohutus

Siseministeerium karmistab välismaalaste lühiajalise töötamise korda

Läbipõlemise vältimine on töötaja ja juhi jagatud vastutus

Uuring: ettevõtjad vaatavad praegust tööturu olukorda murelikult

Miks ehitusprojektides kaob alguses aeg ja lõpus raha?

Tööle kandideerimine. „See on põhiline viga, miks sind töövestlusele ei kutsuta“

Vandeadvokaat Annika Vait: soolise palgalõhe andmed on olemas, kasutage neid!

Ellex Raidla eksperdid: mida finantsettevõtted võivad oma teenuse pakkumiseks tehisaruga teha ja mida mitte

Miks psühhosotsiaalsed ohutegurid on iga tööandja vastutus

Ehitajate nõutud hind ei ole enam jätkusuutlik

Запрет на корректировку налога с оборота противоречит сути директивы

Hea juhtimiskvaliteedi tõed: ekspertide nõuanded eduka organisatsiooni toimimiseks

Värsked muudatused seadustes ja määrustes

Käibemaksu korrigeerimise keeld on vastuolus direktiivi mõttega

Изменения, касающиеся автоматической рассрочки налоговой задолженности

Maksuvõla automaatse ajatamise muudatused

Läbipõlenud töötaja andis tööandja kohtusse

Kas kasutusjuhend asendab ohutusjuhendit?

Konkurentsipiirang töölepingus – kaitse tööandjale või ootamatute kulude allikas?

Vandeadvokaadid: konkurentsipiirang töölepingus – kaitse tööandjale või ootamatute kulude allikas?

Как действовать, если работодатель теряет доверие к сотруднику?

Kuidas käituda, kui tööandjal kaob töötaja suhtes usaldus

Eksperdid: kuidas „võõrad“ osaühingu omanikeringi pääsevad ja kuidas seda takistada?

Finantsinspektsioon juhtidele: kui oled tegutsenud liigkasuvõtjana, on su tee finantssektorisse suletud

Kui tahad inimesi tõhusalt motiveerida, siis tunne nende tugevusi

Pille Parind-Nisula: vaiksed lahkujad on märk kehvast juhtimisest

Изменения в законодательстве. Подоходный налог для местных самоуправлений

Изменения в законодательстве. Пенсия по выслуге лет, профилактика нетрудоспособности

Muudatused õigusaktides: tulumaks omavalitsustele, väljateenitud aastate pension, töövõimetuse ennetamine

Muudatused õigusaktides. Väljateenitud aastate pension, töövõimetuse ennetamine

Muudatused õigusaktides. Tulumaks omavalitsustele

6 küsimust ja vastust: kestlikkusaruande koostamine ja audiitorkontroll

Kohtukaasus: äriühing käis MTA-ga kohut

Kontorisse tagasi sundimine on vähikäik organisatsioonile

Miks ja kuidas puhata ja aega maha võtta?

Kui palgata puhkuse ajas ei ole kokku lepitud, ei saa seda lepet lugeda sõlmituks

Расчет налогооблагаемой стоимости недвижимости

Excelis on võimsaid tööriistu, mida paljud finantsjuhid veel ei kasuta

Vandeadvokaat: kui palgata puhkuse ajas ei ole kokku lepitud, ei saa seda lepet lugeda sõlmituks

Kinnisasja maksustatava väärtuse arvutamine

Finantsjuhi töö nõuab tihti ka oskust esineda. 3 nippi enesekindlaks esinemiseks

Kui äriregister kustutab sinu ettevõtte, tee ennistamiseks need kolm sammu

Advokaat: suur osa AI kasutajaid ei taju selle ohte ega tagajärgi

Сколько стоит отпуск за свой счёт?

Mis maksab palgata puhkus?

Ehitushangetel on tellijate ja pakkujate hinnaootustes suured käärid

Karm tõdemus: heitmevaba sõidukipargi eesmärk võib osutuda ebarealistlikuks

Kuidas ja miks toetada meeskonna liikmeid nende isiklikes eesmärkides?

Advokaadid: mis saab maksudest äriühingu kustutamisel?

Iga töötaja on oma ettevõtte visiitkaart

Работнику должны быть предоставлены ежедневные перерывы для отдыха

Изменения в законах и постановлениях

Vales vormis leping jätab sind sotsiaalsetest hüvedest ilma

Töötajale peab võimaldama igapäevaseid puhkepause

Muudatused seadustes ja määrustes

Tellija eeldab ehitajalt projekti kõigi vigade märkamist ebamõistlikult lühikese ajaga

Kasulik artikkel

IGALE JUHILE | Riigi infosüsteemi ameti 11 soovitust ettevõttes küberturbe tagamiseks