Eelmises sammus kaardistasid ära äriprotsessid ehk selle, mida organisatsioon päriselt teeb. Järgmine loogiline küsimus on: millega need protsessid üldse toimivad?

Siin tulevad mängu vara- ja teenusepakkujate registrid. Kui sa ei tea, mis on organisatsiooni jaoks väärtuslik ja mille najal protsessid töötavad, siis ei saa sa valida ka õigeid kaitsemeetmeid ega hinnata riske mõistlikult.

See juhend vaatab praktiliselt läbi, kuidas luua E-ITS või ISO 27001 rakendamisel vararegister ja teenusepakkujate register nii, et neist oleks hiljem päriselt kasu.

Mis on vara E-ITS kontekstis?

E-ITS mõistes ei ole vara ainult riistvara. Vara võib olla mis tahes asi, millel on organisatsiooni jaoks väärtus.

Praktikas tähendab see näiteks:

  • andmeid ja infot
  • tarkvara ja infosüsteeme
  • füüsilisi seadmeid ja ruume
  • teenuseid
  • töötajaid ja nende oskusi
  • mainet ja muud mitteainelist väärtust

See on oluline, sest infoturbe eesmärk ei ole kaitsta ainult “rauda”. Kaitsta tuleb seda, mis kannab organisatsiooni jaoks väärtust ja mille kadumine või kahjustumine tekitab päriselt mõju.

Miks eri tüüpi varade kaardistamine oluline on?

Kui serveriruumis tekib veeavarii, siis probleem ei ole ainult füüsilises ruumis või serveris. Selle kaudu võivad mõjutada saada:

  • andmed
  • teenused
  • äriprotsessid
  • inimeste töövõime

E-ITS rakendamisel on varad ja varagrupid vajalikud selleks, et määratleda sihtobjektid. Just sihtobjekti põhjal hakkad hiljem valima etalonmeetmete mooduleid. Kui sihtobjekt on ebaselge, muutub ka kaitsemeetmete valik juhuslikuks.

Kes peaks vararegistri looma?

Levinud viga on eeldada, et infoturve ja vararegister on automaatselt IT ülesanne. Tegelikult ei tea IT üksi sageli piisavalt hästi, millised töövahendid, teenused ja andmestikud on eri osakondade jaoks kriitilised.

Seetõttu on varade ja teenusepakkujate kaardistamine meeskonnatöö. Infoturbejuht või E-ITS eestvedaja juhib protsessi, kuid sisend peab tulema protsessiomanikelt ja vastutajatelt.

Kõige praktilisem tööjaotus on tavaliselt selline:

  • infoturbejuht aitab metoodika, struktuuri ja järjepidevusega
  • äriprotsessi omanik kirjeldab, mida töö tegemiseks päriselt vaja on
  • tehniline haldaja aitab täpsustada süsteemid, asukohad ja sõltuvused

1. Alusta olemasolevatest andmetest

Vararegistrit ei ole mõistlik nullist kirjutama hakata, kui organisatsioonis on juba olemas mitu osalist nimekirja.

Hea algmaterjal tuleb sageli siit:

  • põhivara nimekirjad
  • IT seadmeregistrid
  • tarkvaralitsentsid ja lepingud
  • töötajate nimekirjad
  • regulaarsed teenuseostud ja kuumaksed

Esimene samm ei pea olema täiuslik. Eesmärk on koondada olemasolev info ühte kohta ja hakata seda järk-järgult täiendama.

Kus registrit pidada?

Alustada võib täiesti vabalt Exceli või Google Sheetsiga. Need sobivad hästi esimeseks struktuuriks ja annavad võimaluse andmeid sorteerida ning filtreerida.

Piirang tekib siis, kui sul on vaja hallata palju seoseid:

  • üks vara toetab mitut protsessi
  • üks teenusepakkuja puudutab mitut vara
  • ühe riskiga on seotud mitu sihtobjekti

Sellest hetkest alates jääb Excel kiiresti kitsaks ja info hakkab killustuma.

2. Seo varad äriprotsessidega

Kui algne nimekiri on koos, tuleks järgmine töö teha äriprotsesside kaupa. Küsimus ei ole lihtsalt, millised seadmed organisatsioonis olemas on, vaid:

mida on vaja, et konkreetne protsess saaks toimida?

Selline lähenemine toob nähtavale ka varad, mis muidu kergesti ununevad:

  • väliste partnerite liidestused
  • pilveteenused
  • kriitilised ruumid
  • töötajad või komisjonid
  • sideühendused
  • andmekogud

Kui võtta näiteks kooli sisseastumisprotsess, võivad vajalikud varad olla:

  • sisseastujate andmed
  • sisseastumise infosüsteem
  • komisjoni liikmete töövahendid
  • eksamite ruumid
  • IT tugi

Sellest tekib juba palju sisulisem register kui lihtsalt “sülearvutid” ja “server”.

3. Grupeeri sarnased varad

Kõiki üksikuid seadmeid ei ole mõistlik käsitleda eraldi, kui neid kaitstakse sama loogika alusel. Sellepärast on mõistlik luua varagrupid ehk sihtobjektid.

Näiteks võib organisatsioonis olla eraldi:

  • õpetajate sülearvutid
  • arvutiklassi sülearvutid
  • külalisvõrk
  • personali andmekogu

Kuigi osa neist võivad tehniliselt olla sarnased, ei ole nende kasutusotstarve ja kaitsetarve sama. See tähendab, et ka nende turvameetmed ei pruugi olla samad.

Hea rusikareegel on lihtne: pane ühte gruppi kokku ainult need varad, mida plaanid hallata ja kaitsta samal viisil.

Millised väljad võiks vararegistris olla?

Miinimum, millest on päriselt kasu:

  • vara nimetus
  • unikaalne tunnus
  • kirjeldus
  • vastutaja
  • haldaja
  • seotud äriprotsessid
  • seosed teiste varadega
  • asukoht
  • märkused või piirangud

Lisaks tasub võimalikult vara kirja panna lühikirjeldus ja protsessiseos. Need annavad hiljem konteksti nii riskihindamisel kui ka kaitsetarbe valikul.

Vastutaja ja haldaja ei ole sama asi

See eristus on praktikas väga oluline.

  • Vastutaja teab, miks vara on oluline ja millist ärilist mõju selle rike tekitab.
  • Haldaja vastutab igapäevase tehnilise hoolduse, seadistuse või toe eest.

Kui need rollid lähevad segamini, hakkab tehniline pool tegema äriotsuseid või vastupidi. Selge rollijaotus aitab hoida vastutuse arusaadavana.

4. Loo eraldi teenusepakkujate register

Teenusepakkujad jäetakse sageli poolkogemata registritest välja, kuigi organisatsioon sõltub neist tihti sama palju kui enda sisemistest süsteemidest.

Praktiliselt on kõige selgem hoida teenusepakkujaid eraldi registris. See aitab eristada:

  • varasid, millele rakendad tehnilisi kaitsemeetmeid
  • tarnijaid ja teenuseid, mille puhul vajad lepingulist, protseduurilist ja riskipõhist juhtimist

Teenusepakkujate registris võiks vähemalt olla:

  • teenusepakkuja nimi
  • teenuse kirjeldus
  • kontaktid, sh turvaintsidentide kontakt
  • organisatsioonisisene omanik
  • haldaja
  • seotud äriprotsessid
  • varad, millele teenusepakkujal ligipääs on
  • teenuse või andmete asukoht

See on oluline nii tarnijariski, intsidentide lahendamise kui ka auditite seisukohalt.

Levinumad vead

Kõige sagedamini lähevad asjad valesti neljas kohas:

  1. nähakse ainult füüsilist vara ja unustatakse andmed, tarkvara ning teenused
  2. pilve- ja teenusepakkujad jäetakse registrist välja
  3. register aetakse liiga detailseks ja sinna kantakse komponendid, millel puudub eraldi juhtimisväärtus
  4. seoseid äriprotsessidega ei looda, mistõttu register jääb lihtsalt passiivseks nimekirjaks

Kui register ei aita vastata küsimusele, millist protsessi mingi vara toetab ja mida selle kadumine mõjutaks, siis jääb suur osa selle väärtusest kasutamata.

Kuidas Kordon aitab

Kui registrit hallata ainult eraldi tabelites, dokumentides ja inimeste peas olevate teadmistega, muutub süsteem kiiresti raskesti hoomatavaks.

Kordon aitab siduda omavahel:

  • äriprotsessid
  • varad
  • teenusepakkujad
  • riskid
  • turvameetmed

See tähendab, et info ei ole lihtsalt lahtrites, vaid päriselt seotud. Kui mingi vara kaob, tarnijaga tekib probleem või risk muutub, on kohe näha, milliseid protsesse see mõjutab.

Kokkuvõte

Vara- ja teenusepakkujate register ei ole ühekordne projekt. See on elav osa juhtimissüsteemist, mida tuleb hoida ajakohasena.

Hea register aitab sul:

  • saada aru, mida organisatsioon päriselt kaitseb
  • seostada varad äriprotsessidega
  • valida sobivamad kaitsemeetmed
  • teha riskijuhtimist vähem oletuslikult

Kui alus on nõrk, jäävad ka järgmised sammud nõrgaks. Kui register on hästi üles ehitatud, muutub kogu E-ITS või ISO 27001 rakendamine palju selgemaks.