Vaatame need valikud rahulikult ja loogiliselt läbi.

1. Variant 1: ISO/IEC 27001 – rahvusvaheline standard

ISO 27001 on rahvusvaheline infoturbe juhtimissüsteemi standard.
Lihtsalt öeldes:
see on raamistik, mis ütleb, kuidas infoturvet süsteemselt juhtida, mitte ainult “paari meetmega ära lappida”.

ISO 27001 aitab sul:

• kaardistada riskid
• panna paika reeglid ja vastutused
• rakendada turvameetmeid
• hoida infoturvet pideva juhtimise all

Plussid

• rahvusvaheliselt tuntud ja usaldusväärne
• sobib väga hästi erasektorile
• tugev signaal klientidele ja partneritele

Miinused

• sertifitseerimine võtab aega ja raha
• väiksemale organisatsioonile võib tunduda “liiga suur amps”
• tuleb üle vaadata, et oleks rakendatud lisaks ka esmased turvameetmed

Oluline teada
Kui KüTS sinu ettevõttele otseselt ei kohaldu, ei ole sa kohustatud sertifikaati tegema, sa võid lihtsalt järgida kõiki standardi nõudeid ja rakendada meetmeid, et hoida enda ettevõtte küberturvalisust. Kui Sinu ettevõttele kohaldub KüTS, siis pead rakendama E-ITS-i või siis esitama RIA-le ISO 27001 sertifikaadi.

2. Variant 2: E-ITS – Eesti riigi infoturbestandard

E-ITS (Eesti infoturbestandard) on:

• Eesti riigi poolt loodud
• ISO/IEC 27001-l põhinev
• kohandatud Eesti õigusruumi ja praktika jaoks

Lihtsamalt öeldes:
E-ITS on praktilisem ja “maakeelsem” versioon ISO-st.

E-ITS:

• annab konkreetsemad juhised
• sobib eriti hästi avalikke ülesandeid täitvatele organisatsioonidele
• on tasuta ja avalikult kättesaadav - vaata siit
• sisaldab esmaseid turvameetmeid

Plussid

• selged kontrollküsimused ja meetmed
• vähem “standardikeelt”
• väga hea alguspunkt ka väiksemale organisatsioonile

Miinused

• ei ole rahvusvaheline sertifikaat
• erasektoris ei pruugi klientidele sama tuttav olla kui ISO

Oluline teada

E-ITS ei ole Eestis lihtsalt üks võimalik raamistik.
Kui KüTS sulle kohaldub ja sul ei ole ISO 27001 sertifikaati, siis on E-ITS loogiline ja sageli ka eeldatav valik. Mõnel juhul on see lausa kohustuslik.

3. Variant 3: Esmased turvameetmed — infoturbe hügieen

Kui ISO 27001 on täismahuline spordiauto ja E-ITS on korralik pereauto, siis esmased turvameetmed on see, et sul on üldse juhiluba ja turvavöö kinni.

Esmased turvameetmed on sätestatud küberturvalisuse seaduses ja võrgu- ja infosüsteemide küberturvalisuse nõuete määruses. Need on kohustuslik miinimum kõigile KüTS-i kohaldamisalas olevatele teenuseosutajatele — nii avalikus sektoris kui ka osadele erasektori ettevõtetele.

Mida see tähendab praktikas?

Esmased turvameetmed on infoturbe hügieen: riskide hindamine, tulemüürid, autentimine, varukoopiad, tarkvara uuendused. Keerukus sõltub sinu organisatsiooni riskidest ja teenustest — ei ole üht ja sama nimekirja kõigile.

Plussid:

• kohustuslik miinimum, millest tuleb alustada
  
• selge ja konkreetne nimekiri meetmetest
  
• hea alguspunkt, mille peale ehitada edasi
  

Miinused:

• ei ole sertifitseeritav — see on põhieeldus, mitte lõppeesmärk
  
• üksi ei pruugi piisata, kui KüTS kohaldub täies mahus
  

Oluline teada

Esmased turvameetmed ei ole alternatiiv E-ITS-ile või ISO 27001-le — need on kohustuslik alus, millele tuleb üles ehitada kõik muu. Ka siis, kui rakendad E-ITS-i või teed ISO 27001 sertifikaadi, peavad esmased turvameetmed olema täidetud.

4. Aga võrdleme nüüd neid kolme omavahel?

Eestis on infoturbes astmed, mitte üks ja sama retsept kõigile. Hea uudis: sa ei pea valima suurimat paketti lihtsalt sellepärast, et see olemas on.

Valik käib sisuliselt nii:

4.1. KüTS ei kohaldu sinu ettevõttele? Sa ei ole kohustatud ei E-ITS-i ega ISO 27001-te rakendama. Esmased turvameetmed on siiski mõistlik miinimum — mitte seaduse pärast, vaid sellepärast, et küberintsidendid ei küsi enne luba, kas sa oled KüTS-i subjekt.

4.2. Avalik sektor või elutähtsa teenuse osutaja? E-ITS Eestis eeldatud ja sageli kohustuslik. Kui sul ei ole ISO 27001 sertifikaati, on E-ITS loogiline ja sageli ainus valik. Pluss esmased turvameetmed.

4.3. Rahvusvaheline äri või tahad tugevamat usaldussignaali? ISO 27001. Sobib ka puhtalt Eesti ettevõttele, kui eesmärk on kord, küpsus või kasv. Globaalselt tunnustatuim infoturbe tunnistus. Pluss esmased turvameetmed.

Kõigi nende ühine nimetaja: riskipõhisus ja proportsionaalsus. Mitte "võta suurim pakett igaks juhuks" — vaid "vali see, mis vastab sinu organisatsiooni tegelikele riskidele ja kohustustele."

5. KKK – korduma kippuvad küsimused – ISO 27001 või E-ITS?

Kas ISO 27001 on NIS2 ja KüTS järgi kohustuslik?

Ei. NIS2 ja KüTS ei nõua just ISO 27001 standardi kohaldamist. Nõutud on riskipõhised tehnilised ja organisatsioonilised turvameetmed. ISO 27001 on üks võimalik viis nende nõuete täitmiseks ja tõendamiseks.

Millal on E-ITS kohustuslik?

E-ITS on eeldatav ja sageli kohustuslik organisatsioonidele, kes täidavad avalikke ülesandeid või kuuluvad KüTS-i kohaldamisalasse ega kasuta ISO 27001 standardit.