M 2.10 Riistvara ja tarkvara inventuur


Algatamise eest vastutavad: ametiasutuse/ettevõtte juhtkond, IT-juht, IT- turvaosakond, juhatajad
Rakendamise eest vastutavad: IT-turvaosakond

Keelatud riist- ja tarkvara kasutamise tuvastamiseks on hädavajalik, et regulaarselt viidaks läbi riist- ja tarkvara inventuur. Juhul kui IT-süsteemide arv on väga suur, võib kasutada pistelist kontrollimeetodit. Inventuuri tulemused tuleb dokumenteerida, et ka korduvaid rikkumisi oleks võimalik avastada. Kui inventuuri käigus leitakse keelatud riistvara, tuleb hoolitseda selle eest, et vastavate IT komponentide eeskirjadevastane kasutamine saaks lõpetatud. Sellele lisaks tuleb välja selgitada, kes on väärkasutuse eest vastutav, et olukorrale vastavalt reageerida. Konkreetsete kahtluste korral tuleks riistvara inventuuri tehes uurida võimalikku seadmetega manipuleerimist ja otsida lisaseadmeid, mida võidakse kasutada nt klaviatuuri klahvivajutuste salvestamiseks. Keelatud tarkvara leidude korral tuleks korraldada ka nende eemaldamine. Inventuuride läbiviimiseks peab kontrollival organil olema ettevõtte või ametiasutuse poolt väljastatud sellekohane luba. Lisaks peab kontrollivale organile olema teada, millistel IT süsteemidel millist tarkvara kasutatakse (kasutatava tarkvara loetelu). Kuna reeglina on kasutuses oleva tarkvara loetelu väga mahukas, tuleks efektiivseks kasutatava tarkvara loetelu koostamiseks kasutada sobiliku programmi abi. Tüüpilise klient-server-keskkonna tarbeks peaks see olema võrgu toega.

Enne riist- ja tarkvarainventuuri läbiviimise reeglite kehtestamist tuleks sellesse kaasata vastavalt kas ettevõtte või ametiasutuse töötajate esindajad. Üksikute IT-süsteemide puhul, mis ei ole terviksüsteemi igapäevatöö jaoks määrava tähtsusega, nt testimissüsteemid, võib reeglipärase kontrollimise asemel kasutada vajadusest lähtuvat kontrollimeetodit. Näiteks võib vastavaid IT-süsteeme kontrollida neil juhtudel, kui on toimunud konfiguratsiooni muudatused või kui vastav IT-süsteem on eelnevalt pikemat aega seisnud. Eelduseks on siiski, et meede M 2.9 Aktsepteerimata riist- ja tarkvara kasutuse keeld kehtib kõikidele IT-süsteemidele.

Kontrollküsimused:
  • Millise ajavahemiku tagant toimub riistvara ja tarkvara inventuur?
  • Kas on esinenud aktsepteerimata tarkvara kasutamise juhtumeid?
  • Kuidas toimitakse rikkumise avastamise korral?