M 2.9 Aktsepteerimata riist- ja tarkvara kasutuse keeld


Algatamise eest vastutavad: ametiasutuse/ettevõtte juhtkond, IT-juht, IT- turvaosakond
Rakendamise eest vastutavad: IT-juht

On vägagi tavapärane, et töötajad kasutavad kas tööülesannete täitmiseks või siis lihtsalt tööl olles isiklikke riist- ja tarkvaralahendusi nagu nt mobiiltelefonid, pihuarvutid või kaamerad. Kuna lisariistvara kasutamine muutub standardsete ühenduste (nt USB) ja aina rohkem levivate Plug-and-Play funktsioonide tõttu üha lihtsamaks, tuleb nende kasutamist reguleerida. USB kaudu töötavad salvestid (nt kõvakettad, mälupulgad) ja isiklikus kasutuses olevad pihuarvutid võivad IT- turvalisust mõjutada. Seetõttu peab olema reguleeritud, kuidas tohib vastavat riist- ja tarkvara vastu võtta, installeerida ja kasutada. Kohustuslikud meetmed antud valdkonnas on näiteks: M 2.62 Tarkvara vastuvõtuprotseduurid ja M 2.216 IT-komponentide kinnitamise protseduur, täpsemalt moodul B 1.10 Tüüptarkvara ning meede M 4.4 Eemaldatavate andmekandjate draivipilude ja väliste andmekandjate nõuetele vastav kasutamine.

Mittesoovitud riist- ja tarkvara installeerimine ja kasutamine tuleb keelata ja sellele lisaks tehniliste lahendustega nii palju kui saab võimatuks muuta. Enamik operatsioonisüsteeme võimaldab seda teha kasutajakeskkonna piiramisega. Piiramise eesmärgiks on hoida ebasoovitavad programmid ja nende mõjud süsteemist eemal. Lisaks eelnevale tuleb tagada, et süsteemi ei oleks võimalik kontrollimatult kasutada väljaspool selle kindlaksmääratud funktsioone. Mõttekas võib olla ka kasutamiskeelu laiendamine isiklike andmete importimisele (nt makroviiruste leviku ennetamiseks). Tarkvara puhul tuleb dokumenteerida, millised käitusfailide versioonid on aktsepteeritud (koos faili loomiskuupäeva ja faili suurusega). Aktsepteeritud programmide puhul tuleb reeglipäraselt kontrollida, kas on tekkinud muudatusi.

Aktsepteerimata riist- ja tarkvara kasutuskeeld tuleb kirjalikult fikseerida ning kõikidele töötajatele teatavaks teha. Erandite kohta käiv regulatsioon peab sisaldama ka erandite tagasivõtmise õigust.

Kontrollküsimused:
  • Kas riist- ja tarkvara puhul on olemas kasutusloa saamise ja registreerimise protsess?
  • Kas kasutamiskeelud on kirjalikult fikseeritud?
  • Kas kõik töötajad on kasutuskeeldudest teadlikud?
  • Kas töötajaid teavitatakse kehtivatest kasutuskeeldudest regulaarselt?
  • Mil moel on võimalik keelatud tarkvara installeerida ja kasutada?
  • Millised on võimalused üksikutel arvutitel tarkvara iseseisvalt edasi arendada?
  • Kas efektiivsete tüüptarkvara makrode, nt tekstitöötlus, tabelarvutus ja andmebaasid, programmeerimine ja edasiandmine on reguleeritud?
  • Kas aktsepteeritud käitusfailide versioonide kohta on olemas nimekirjad, mis sisaldavad muuhulgas ka loomiskuupäeva ja faili suurust?
  • Kas aktsepteeritud käitusfailide versioone kontrollitakse regulaarselt võimalike muutuste osas?
  • Kas tehnilised võimalused tarkvara installeerimise takistamiseks on olemas?
  • Kas väliste salvestite (nt USB mälupulkade, kaamerate, pihuarvutite ja mobiiltelefonide) kasutamine on reguleeritud?