Infoturbesüsteemi vastavusse viimine Eesti infoturbestandardi E-ITS nõuetega

Alates 01. jaanuarist 2023 on riigiasutustel kohustuslik järgida Eesti infoturbestandardi   (E-ITS) nõudeid.  EITS aluseks on Saksa päritolu BSI IT-Grundschutz etalonturbe meetod, samaaegselt on  E-ITS on vastavuses standardi ISO/IEC 27001 nõuetega. 

Dateli infoturbesüsteemile omistati ISO 27001: 2013 sertifikaat aastal 2019,  pakume  teile abi ettevõtte infoturbesüsteemi korrastamisel. 

Standardi omanik ja uuendaja on Riigi Infosüsteemi Amet (RIA).   RIA visiooni järgi on kõik ISKE rakendajad aastaks 2024 täielikult üle läinud E-ITS-le.  E-ITSi rakendamiskohustus tuleneb Küberturvalisuse seadusest. E-ITSi järgimise kohustusluse otsustamisel tuleb kõigepealt vaadata, kellele KüTS kehtib ehk kas asutus on küberturvalisuse seaduse § 3 lõike 1 ja lõike 4 ning § 4 toodud teenuse osutaja nimekirjas. 

RIA lehelt: Milline erinevus on ISKE-l, ISO27001 ja E-ITSil? 
ISKE oli mahukas etalonturbekataloog andmekogude põhise rakendusmudeliga, mis võib mingis osas olla kasutatav ka edaspidi infoturbe õpikuna. ISKE viimased uuendused pärinevad aastast 2018. ISKE puuduseks oli, et ta jättis tähelepanuta süsteemide mittetüüpsed lahendused, mis oleksid vajanud eraldi riskihaldust.

ISO27001 infoturbe halduse standard annab ette riskihalduspõhise ISMS raamistiku ja 4 laia teemat, milles asutus peaks oma infoturbe haldust suutma tõestada, tehes detailse riskihalduse ja välja töötama riskikäsitlusmeetmed.

E-ITS on ISO27001-ga kooskõlaline etalonturbe ja riskihalduse kombinatsioonis toimiv standard, kus osa riskihaldusest on ära tehtud etalonturbena tüüpvarade osas ja seetõttu selles osas enam eraldi riskide tuvastamist ja analüüsi ning riskikäsitlusmeetmete väljatöötust teostama ei pea. Küll aga on ka E-ITSi puhul vajalik riskidega tegeleda osas, kus on tegu unikaalsete lahenduste või tavapärasest normaalsest suurema kaitsetarbega. Seega sobib E-ITS ka neile, kel plaan ISO27001 rakendada.