RIKSi kogemuslugu: infoturbe sertifikaadi ISO 27001 saamisest
Augustis 2023 seisis RIKS (Riigi Infokommunikatsiooni Sihtasutus) olulise valiku ees — millise infoturbe standardi järgi sertifitseerida RIKS-i organitsioon ja teenused. Varasemalt oli asutuses kasutusel ISKE infoturberaamistik, kuid ISKE kadumise ja E-ITS-i tulekuga pidime tegema valiku, kas soovime kasutusele võtta E-ITS-i või hoopis ISO 27001, mis on rahvusvaheliselt tunnustatud standard. Otsuse tegemiseks kaalusime plusse ja miinuseid ning valik langes ISO 27001 kasuks. Kindlasti aitas seda valikult langetada RIKS-is juba juurutatud ISO 9001 ja 50001 standardid ning 27001 kasuks rääkis ka see asjaolu, et tegemist on rahvusvahelise standardiga ning laialdaselt levinud andmekeskustes maailmas, mis on üks RIKS-i teenustest.
Esimeseks sammuks oli ISO 27001 nõuete ning RIKS-is olemasolevate ISO protsesside vastavuse kaardistamine ja siseauditi läbiviimine. Kaardistamise tulemusena selgitasime välja, mida saab integreerida olemasolevatesse protsessidesse ja millised protsessid on puudu, mida on vaja täiendavalt luua. Väljundina tekkis meile ülevaade edasistest vajalikest tegevustest. Olulise eelisena saame välja tuua RIKSi teenuspõhise juhtimise, mis oma olemuselt tähendab seda, et iga RIKS-i pakutav teenus omab teenusspetsiifilist dokumentatsiooni — varad, protsessid, osapooled ja riskid .Igale teenusele on kohaldatud intsidendi halduse protsess ning kokku lepitud teenuse käideldavuse näitajad ning intsidentidele on kindlaks määratud reageerimis ja kordategemise ajad, Mis on võtmeprotsess ISO27001 vaates.
Kaardistamise käigus avastasime, et paljud meie süsteemid ja protsessid sobivad juba ISO 27001 nõuetega, näiteks puudus SoA ( statement of applicability) tabel, mille kaudu hinnatakse tehnilisi meetmeid ja nende kohaldamise vajadust. Põgusa analüüsi tulemusena võtsime vastu otsuse, et välise konsultatsiooni tellimist ei tee, vaid saame oma jõududega hakkama. Siiski oma kogemusest julgeme soovitada organisatsioonidele, kes pole varem ISO standarditega kokku puutunud, kaaluda välise konsultandi kaasamist.
Auditeerimine toimus kahes etapis ning esimeses etapis tuli välja, et mõned vajalikud ISO raamistiku dokumentide uuendamised olid siseaudiitoritel kahe silma vahele jäänud. Õnneks ei olnud need ISO 27001-ga otseselt seotud ning saime soovituse parandada need puudused enne teise etapi auditi toimumist. Esimeses etapis jaanuaris audiitori poolt tehtud vaatlustulemused olid väikesed, kuid siiski olulised ning selleks, et liikuda edasi sertifitseerimisauditi teise etappi, pidime need puudused enne auditi teist etappi kõrvaldama.
Teise etapi auditi raames aprillis, mille kestvus oli 5 päeva, viidi läbi põhjalikud teenuste, protsesside ja IT-süsteemide kontrollid. Audiitor keskendus nii ISO 27001 baasosale kui juhtimise ja riskihalduse aspektidele. Auditi skoop hõlmas kõike, alates asutuse infoturbepoliitikast, juhtimismudelitest kuni värbamisprotsesside, varade halduse, võrgu turvalisuse ja süsteemides tehtud seadistusteni. Samuti vaadeldi jätkusuutlikkust, füüsilist turvalisust, logide kontrolli ja palju muud, mida audiitor pidas vajalikuks kontrollida.
Olulise tähelepanekuna saame välja tuua, et on kriitiline jälgida iga ISO 27001 standardi nõuet. Meie vahetu kogemus näitab, et üksikud alampunktid võivad auditi edukal läbimisel mängida suuremat rolli, kui üldine nõue esmapilgul tundub.
RIKS-i ISO 27001 teekond on olnud meile õpetlik kogemus, mille kaudu on süvenenud meie pühendumus infoturvalisusele ja selle rakendamisele. Kaheksa kuuga jõuda sertifikaadini on näide sellest, kuidas põhjalik ettevalmistus ja olemasolevate protsesside integreerimine võivad teekonda oluliselt hõlbustada lõpptulemuse saavutamiseks. Suureks abiks selle juures olid varasemate ISO auditite tegemise kogemused ning toimiv teenuspõhine juhtimine.
Andero Piberman
Infoturbe juht
Riigi Infokommunikatsiooni Sihtasutus
