Taust
Saarte Liinid on Küberturvalisuse seaduse (KüTS) subjekt, mis tähendab, et neil on seadusest tulenev kohustus vastata riigi poolt kehtestatud infoturbe standardile. Seega Eesti Infoturbe Standardi (E-ITS) rakendamine oli vajalik, kuid lõpuni oli ebaselge, kas neil lasub ka E-ITS auditi kohustus või mitte. Kuid NIS2 jõustumise valguses oleks audit nagunii möödapääsmatu olnud. Seega otsustati, et E-ITS-i rakendamine ja audit tuleb plaani võtta.
Kuigi Saarte Liinid olid juba teinud esimesed sammud — riskianalüüs ja varasemalt OIXIO IT pool teostatud küberturbeaudit olid tehtud ja samuti rakendatud mitmed tehnilised ja organisatoorsed meetmed. Vaatamata sellele otsustati, et E-ITS rakendamise teekonda üksi ette ei võeta ja toe saamiseks pöörduti OIXIO IT poole.
Teekond
E-ITS rakendamise teekond Saarte Liinides oli võrdlemisi pikk protsess. Leppisime kliendiga kokku, et liigume mõistlikus tempos. Eesmärgiks sai püsitatud, et E-ITS auditi valmidus peab olema saavutatud 2 aasta pärast. Kõigepealt panime paika infoturbe juhtimissüsteemi (ISMS), täpselt nii, nagu standard seda ette näeb. See oli aluseks kõigele edasisele.
Järgmine suur samm oli äriprotsesside kaardistamine ja vajalike inimeste kaasamine. Infoturve puudutab kõiki organisatsiooni tasandeid, mistõttu oli oluline, et protsessi ei veaks ainult IT, vaid et panustaksid ka teised võtmerollid. Meetmete haldamiseks ja protsessi läbipaistvamaks muutmiseks kasutasime Cybsis-e tööriista, mis aitas kõike süsteemselt jälgida ja progresseerumisest ülevaadet hoida.
Kõige suurem töömaht kulus aga meetmete endi kallal – olemasolevate lahenduste ülevaatamine, vajalike paranduste tegemine, uute meetmete rakendamine, dokumentatsiooni loomine ning süsteemide täiendamine. Et mitte korraga liiga palju koormust tekitada, valisime esialgu optimaalsemad ja realistlikumad meetmed, mis lõid tugeva aluse edasiseks arenguks.
Suur väärtus kogu teekonna juures oli Saarte Liinide juhtkonna valmisolek aktiivselt kaasa tulla. Koos viisime läbi juhtkonna ja töötajate koolitusi, et tõsta teadlikkust ja tagada, et infoturbe põhimõtted jõuaksid igapäevasesse töösse. Lisaks tegime regulaarselt ülevaatusi, et hinnata, kuidas rakendamine edeneb ning kus vajame täiendusi.
Lõpuks jõudsime teekonna ühe olulisima verstapostini – eelauditini. Seal saime kinnituse, et tehtud töö kandis vilja: kõik oli korras ning saime rohelise tule liikuda edasi põhiauditi suunas.
Tulemus
Teekond kulmineerus edukalt:
- Eelaudit – kõik oli korras, saime rohelise tule liikuda edasi.
- Põhiaudit – läbisime edukalt. Auditi lõpparuandes esitati ainult mõned madala riskiga leiud.
- Audiitori tagasiside – saime kiita erakordselt hea ettevalmistustöö eest. Audiitor märkis, et sellist põhjalikkust ja valmisolekut ei olnud nad varem kohanud. OIXIO meeskond tahab siinkohal esile tõsta kliendi IT-juhi, Ahti Paju, kellega oli suurepärane ja konstruktiivne koostöö kogu protsessi vältel.
- Klient jäi tööga rahule – Saarte Liinide juhtkond kinnitas, et koostöö oli professionaalne ja tulemuslik.
Töö ei lõpe aga auditiga – Infoturve ei ole ühekordne projekt, vaid pidev protsess, mis ei lõppe kunagi. Jätkame Saarte Liinidega igapäevast infoturbe haldust, uute meetmete rakendamist ja ISMS-i järjepidevat täiustamist.
Kliendi kommentaar tehtud tööle
“Meie jaoks oli E-ITS-i rakendamine alguses üsna suurt väljakutset osutav – nõuded olid keerulised ja alati ei olnud ka seaduse tõlgendused päris selged. OIXIO IT meeskond aitas kogu protsessi samm-sammult läbi mõelda ja üles ehitada nii, et me ei teinud lihtsalt linnukesi tabelis, vaid tõstsime päriselt oma infoturbe taset. Eriliselt väärtustasime seda, et OIXIO ei tulnud peale suruma, vaid pakkus praktilisi ja jõukohaseid lahendusi, mille saime oma igapäevasesse töökorraldusse sobitada. Tänu nende toele läbisime auditi väga edukalt ja meil on kindlus, et ka tulevikus on meie infoturve tugeval alusel.”