M 2.1 IT kasutajate vastutuse ja reeglite kehtestamine


Algatamise eest vastutavad: ametiasutuse/ettevõtte juhtkond
Rakendamise eest vastutavad: IT-juht, organisatsiooni juht

IT-kasutus ja IT-turvalisus on valdkonnad, kus lisaks vastutusalale tuleb määratleda ka tegutsemisõiguste piirid. IT-kasutuse puhul tuleb defineerida nii spetsialistide vastutusala kui ka kollektiivne vastutus. Spetsialistid vastutavad erialaste suuniste väljatöötamise eest, mida on vaja jälgida IT rakendamise käigus. Kollektiivne vastutus hõlmab muuhulgas järgmisi ülesandeid:
  • andmehõive,
  • töö planeerimine ja ettevalmistus,
  • andmetöötlus,
  • väljastatud andmete järeltöötlemine,
  • andmekandjate haldus ning - rakendusmeetodite kontrollimine.

IT-kasutuse ühe osana tuleb kehtestada kohustuslikud IT-turvareeglid. Soovitavad reguleerimisvaldkonnad on:
  • andmevarundus,
  • andmete arhiveerimine,
  • andmekandjate transportimine,
  • andmeedastus,
  • andekandjate hävitamine,
  • IT-rakendusmeetodite, tarkvara ja konfiguratsioonide dokumenteerimine,
  • paroolide kasutamine,
  • sissepääsuõigused,
  • süsteemi pääsuõigused,
  • ligipääsuõigused,
  • ressursside reguleerimine,
  • riistvara ja tarkvara ostmine ja liisimine,
  • hooldus- ja remonditööd,
  • tarkvara: vastuvõtuprotseduurid,
  • tarkvara: rakenduste arendamine,
  • andmekaitse,
  • kaitse arvutiviiruste eest,
  • auditeerimine,
  • valmisolek hädaolukorraks ning
  • tegevusplaan turvapoliitika rikkumiste korral.

Vastava info leiate järgnevatest meetmete kirjeldustest. Lisaks eelnevale tuleb arvestada ka sellega, et informatsiooni enda turvalisus ei tohi samuti kahe silma vahele jääda. Antud valdkonnas tuleks IT turvaline kasutamine ja konfidentsiaalsuse kaitse omavahel sobival viisil ühendada. Siia alla kuuluvad näiteks:
  • sobilik ümberkäimine tööks vajaliku strateegilise informatsiooniga,
  • konfidentsiaalsuskokkulepped,
  • andmeturbe eest vastutavate isikute kaasamine töödesse ja projektidesse, mis sisaldavad strateegilist infot,
  • töötajate koolitus strateegilise infoga ümberkäimise kohta, nt kokkupuuted klientidega ja tööreisid,
  • informatsiooni klassifitseerimine vastavalt selle turbeastmele.

Kõik vastuvõetud eeskirjad tuleb teha asjaomastele töötajatele sobival moel teatavaks (vt M 3.2 Uute töötajate kohustamine eeskirju järgima). Vastavaid teavitamisi on soovitatav dokumenteerida. Lisaks eelnevale tuleb tagada, et kõik eeskirjad oleksid teatud kindlas kohas kõige uuemal kujul olemas ja õigustatud huvi korral ka ligipääsetavad. Eeskirjade muudatused tuleb dokumentidesse võimalikult ruttu sisse viia, et valestimõistmised, selgusetus vastutusalade osas ning võimalikud vastuolud oleksid juba eos välistatud. Kõik eeskirjad peaksid olema varustatud kas vastuvõtukuupäeva või versiooninumbritega, et kõige uuemaid andmeid oleks võimalikult kerge üles leida.

Kontrollküsimused:
  • Millised eeskirjad on hetkel jõus?
  • Kas eeskirjade läbitöötamine toimub pidevalt?
  • Kas eeskirjad tehakse töötajatele teatavaks?