Tänapäevase küberturbeauditi skoop ja nõuded
Küberturbeauditi eesmärk
Küberturbeauditi eesmärk on hinnata ettevõtte küberturvalisuse olukorra, milles antakse hinnang ettevõtte küberturvalisuse hetkeseisule, tuuakse välja nõrgad kohad ning soovitused ja konkreetsed tegevused küberturvalisuse taseme tõstmiseks.
Küberturbeauditi skoop
Põhjalik küberturbeaudit peab ära katma kogu põhilise IT-taristu, sealhulgas:
- Arvutid, serverid, virtuaalserverid
- Kõik alamvõrgud/VLAN-id
- DNS serverid
- Tulemüürid ja tulemüürireeglid
- Kommutaatorid, WiFi tugijaamad ning seadmete keskhaldus
- Kaugligipääsud (VPN, IPsec tunnelid jms)
- Identiteedihalduse süsteemid (AAA)
- Pilveteenused (nt M365, Azure)
- Välisperimeeter ja avalikud veebiteenused
- Printerid
- IoT seadmed ja valvesüsteemid
- Automaatikavõrgud
- Varunduslahendus
- Viirusetõrje
- Serveri- ja seadmeruumid
- jne
Küberturbeauditi tegevuste ulatus
Küberturbeauditi tegevused peavad hõlmama organisatsiooniliste ja tehniliste meetmete kontrolli, sealhulgas:
- Infoturbe halduse protsesside ja töökordade ülevaatus.
- Riskianalüüsi ja taasteplaanide olemasolu kontroll ja nende ülevaatus.
- Vastavalt vajadusele vastavuse hindamine standarditele ja direktiividele. Näiteks ISO 27001, E-ITS, NIS2, DORA.
- Infovarade, andmekogude ja teenuste kaardistus.
- Võrguarhitektuuri topoloogia ülevaatus ja vajadusel selle ajakohastamine.
- Arvutite, serverite, võrgu sise- ja välisperimeetri, veebiteenuste ning muude infovarade turvanõrkuste tuvastamine.
- Käsitsi kontrollid (valeseadistuste tuvastamine) ja seadistuste vastavus parimatele turbepraktikatele.
- Identiteedihalduse ja juurdepääsu halduse turvalisuse hindamine.
- Pilveteenuste (nt M365, Azure) turvanõrkuste hindamine.
- Ründeala kaardistamine ja tumeveebi skaneeringud (digitaalne jalajälg internetis).
- Asukohtade füüsiline külastus ja füüsilise turbe hindamine.
Küberturbeauditi tulem
Küberturbeauditi tulemiks peab olema minimaalselt:
- Auditiaruanne, mis hõlmab kokkuvõtet juhtkonnale ja kajastab ka detailseid auditi leide.
- Küberturbe küpsustaseme hinnang.
- Vastavus standarditele ja direktiividele (nt ISO 27001, E-ITS, NIS2, DORA).
- Prioritiseeritud ülevaade tehnilistest turvanõrkustest ja valeseadistustest, koos riskitaseme ja kõrvaldamise keerukuse hinnanguga.
- Hinnang ettevõtte töötajate teadlikkusele küberturvalisuse riskidest.
- Eduka rünnaku toimepanemiseks vajalikud ressursid – ehk audiitori hinnang sellele, kui lihtsasti on võimalik ettevõtet edukalt rünnata.
- Konkreetne 1-aasta tegevuskava küberturbe küpsustaseme tõstmiseks.
Pakkumuse sisu ja nõuded
Teenusepakkujal palutakse esitada pakkumus, mis sisaldab järgmisi osi:
- Teenusepakkuja üldandmed (ettevõtte nimi, registrikood, kontaktisik, kontaktandmed)
- Lühike ülevaade kogemusest sarnaste auditite läbiviimisel
- Metoodika kirjeldus ja kasutatavad tööriistad
- Ajagraafik ja tegevuskava
- Meeskonna koosseis ja kvalifikatsioon
- Pakkuja ettevõte peab olema ise ISO 27001 ja ISO 9001 sertifitseeritud
- Hinnapakkumine, sh eraldi kulud (nt tööjõukulu, lisakulud)
Veel mõni soovitus
- Kindlasti sõlmida konfidentsiaalsusleping (NDA) või teenusleping, mis sisaldab NDA punkte.
- Küsi teenusepakkujalt küberturbeauditi näidisaruannet, mis aitab sul mõista, milline on oodatav tulem.
- Vali partner, kes on võimeline auditist tuleneva arengukava ka ellu viima või vähemalt võimeline nõustama sel teekonnal.
- Kui ettevõte kasutab igapäevatöös AI-d, siis on mõistlik ka AI riskide hindamine auditi skoopi sisse tuua.
Pakkumuste hindamise kriteeriumid
Pakkumuste hindamisel on soovitatav lähtuda järgmistest kriteeriumitest:
| Hindamiskriteerium | Osakaal (%) |
| Teenusepakkuja kogemus ja varasemad tööd | 40% |
| Pakutud metoodika ja auditi põhjalikkus | 35% |
| Hind | 15% |
| Projekti ajakava ja tööde valmimise kiirus | 10% |
Küberturbeaudit ja arenguplaan
Küsi pakkumist:
Kuidas saame Sulle abiks olla? (OIXIO Cyber)
Võta ühendust, kui soovid suhelda eksperdiga.
* tähistatud väljad on kohustuslikud