1. Milleks see dokumentide pakett on?

Krüpteerimine on nagu lukk — lukk uksele on hea. Aga kui võti on ukse kõrval vaasi all, on lukk dekoratsioon.

Enamik organisatsioone teeb sama vea: BitLocker on sisse lülitatud, aga:

• taastevõtmed on "IT-adminil kusagil"
  
• lahkunud töötaja VPN sertifikaat on ikka aktiivne
  
• varukopiad on pilveteenuses krüpteerimata
  
• TLS 1.0 on serveris endiselt lubatud, sest "kunagi seadistati nii"
  

See pakett aitab sul:

• dokumenteerida, mis on tegelikult krüpteeritud ja mis ei ole
  
• kehtestada ajakohased algoritmid — ja keelata need, mis on murtud
  
• hallata võtmeid nii, et töötaja lahkumine ei ole turvarisk
  
• tõendada audiitorile, et krüpteerimine töötab päriselt — mitte ainult paberil
  

Tulemus: krüpteerimine, mis päriselt kaitseb — mitte lihtsalt "on olemas".

2. Kellele see sobib?

See pakett on mõeldud organisatsioonidele, kes:

• peavad vastama NIS2, KüTS või ISO 27001 nõuetele
  
• ei suuda kohe vastata küsimusele "kus on kõikide seadmete taastevõtmed?"
  
• kasutavad pilveteenuseid, VPN-i või kaugtööd (ehk praktiliselt kõik)
  
• tahavad lõpetada olukorra "keegi seadistas kunagi, keegi ei tea enam miks"
  

Sobib eriti:

• infoturbejuhile (CISO), kes peab süsteemi üles ehitama
  
• IT-adminile, kes päriselt haldab võtmeid ja sertifikaate
  
• juhtkonnale, kes vastutab — KüTS § 6¹ järgi isiklikult
  
• organisatsioonile, kes valmistub ISO 27001 auditiks
  

Kui sa ei saa kohe vastata küsimusele "mis TLS versiooni meie server kasutab ja kas see on lubatud?" — see pakett on sinu jaoks.

3. Mida saad?

See ei ole lihtsalt poliitika. See on täielik krüpteerimise haldussüsteem.

Pakett sisaldab 4 omavahel seotud dokumenti:

3.1. Krüpteerimise dokumentide juhend 

Selgitab, kuidas kõik allolevad dokumendid koos töötavad:

• süsteemi loogika ja õige täitmise järjekord
  
• kuus juhtkonna otsust, mida rakendatavuse tabel nõuab
  
• välistab klassikalise vea: dokument on täidetud, aga süsteem ei kaitse
  

3.2. Krüpteerimise poliitika vorm 

Juhtkonna taseme otsuste dokument:

• rakendatavuse tabel kuue valikuga
  
• lubatud vs keelatud algoritmide tabel
  
• võtmehalduse elutsükli põhimõtted
  
• erandite haldus pärandsüsteemidele, mida veel ei saa uuendada
  

3.3. Krüpteerimise ja võtmehalduse protseduuri vorm

Samm-sammuline käsiraamat IT-adminile. Kirjutatud modulaarselt — täidad ainult selle, mis sinu organisatsioonile kohaldub:

• kõvaketta krüpteerimine
  
• TLS sertifikaatide haldus
  
• VPN haldus
  
• varukopiate krüpteerimine ja taastamise testimine
  
• võtmehalduse täielik elutsükkel samm-sammult
  
• kaotsiläinud seadmele reageerimine: krüpteeritud vs krüpteerimata seade (erinevad protsessid!)
  

3.4. Krüpteerimise ja võtmehalduse registri vorm

Audiitori esimene küsimus — ja sinu elav tõenddokument. Kolm töölehte:

4. KKK

Kas sellest, et "meil on BitLocker" ei piisa? Auditil mitte. BitLocker on üks osa — aga audiitor küsib ka taastevõtmete asukohta, lahkunud töötajate seadmete protseduuri ja viimase kontrolli kuupäeva. Pakett annab vastused kõikidele nendele küsimustele.

Kas peame kõiki nelja moodulit täitma? Ei. Protseduur (C4.11.2) on kirjutatud modulaarselt — TLS jaotis on ainult neile, kellel on avalikud veebiteenus, VPN jaotis ainult VPN kasutajatele. Täidad ainult selle, mis sinu organisatsioonile kohaldub.

Mis vahe on krüpteerimisel ja räsimisel? Krüpteerimine on kahepoolne — saad andmed tagasi võtmega. Räsimine on ühepoolne — paroolide jaoks. Segadus nende kahe vahel on üks levinumaid vigu infoturbes — pakett selgitab mõlemad.

Kas see vastab ka E-ITS nõuetele? Jah — kõik dokumendid on toodud E-ITS märkmetega.

Kas see sobib, kui meil ei ole pilveteenuseid? Jah — rakendatavuse tabel võimaldab märkida, mis sinu organisatsioonile kohaldub ja mis mitte. Iga valik on dokumenteeritud otsus, mitte tühi lahter.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.