Для публичного сектора
Требования к безопасности ИТ-систем собраны в Эстонском стандарте информационной безопасности (E-ITS). Это своего рода руководство по кибербезопасности, которое помогает организациям государственного сектора защититься от большинства киберугроз. Дополнительно Департамент государственной инфосистемы предлагает учреждениям пройти Кибертест, размещенный на знакомой многим платформе Moodle. Кибертест помогает сотрудникам государственных учреждений лучше ориентироваться в вопросах информационной безопасности и поддерживать высокий уровень цифровой грамотности.
Эстонский стандарт информационной безопасности (E-ITS) служит базой для обсуждения и регулирования вопросов информационной безопасности на эстонском языке, в соответствии с правовой системой Эстонии. Он согласуется с международно признанным стандартом ISO/IEC 27001, регулирующим управление информационной безопасностью. Главная задача E-ITS – способствовать развитию и укреплению информационной безопасности учреждений публичного сектора Эстонии, а также частных предприятий. В числе целей стандарта также – сделать работу с вопросами информационной безопасности более доступной для небольших организаций.
E-Материалы, связанные с E-ITS, можно найти на портале eits.ria.ee
Кто должен применять E-ITS
Применение Эстонского стандарта информационной безопасности (E-ITS) обязательно для всех организаций, выполняющих общественные задачи. Однако использовать E-ITS могут и частные предприятия – вне зависимости от их размера и используемых технологий – если они стремятся к повышению уровня информационной безопасности. Даже если ваша организация не обязана применять стандарт, но нуждается в надежной системе обеспечения информационной безопасности, всё равно рекомендуется использовать именно E-ITS. Он разработан с учетом эстонской специфики, доступен на эстонском языке и всесторонне поддерживается Департаментом государственной инфосистемы.
Какие преимущества дает внедрение E-ITS?
- Вы четко понимаете цели своей организации и процессы, необходимые для их достижения.
- Вы знаете, какие активы связаны с этими процессами и какова их реальная потребность в защите – с точки зрения доступности, целостности, конфиденциальности и устойчивости к киберугрозам.
- Информационная безопасность становится органичной частью всех процессов, благодаря чему вы можете сосредоточиться на своей основной деятельности и быть готовыми к реагированию на возможные атаки и инциденты. Вы уверены, что ваша организация действует в соответствии с заключенными договорами и нормативными требованиями.
- Надежность и устойчивость вашего учреждения подтверждаются внешним аудитом, что повышает доверие со стороны клиентов и партнеров.
- Системный подход к информационной безопасности обеспечивает бесперебойность работы, укрепляет репутацию и дает конкурентное преимущество среди аналогичных организаций.
- Используя E-ITS, вы вносите свой вклад в надежную и безопасную работу электронного государства Эстонии – один за всех, все за одного.
Важные рекомендации
- Совместно с руководителем учреждения определите цели информационной безопасности – почему она важна именно для вашей организации?
- Проанализируйте бизнес-процессы учреждения: назначьте ответственных, определите связанные с процессами активы, подберите подходящие меры из Эстонского стандарта информационной безопасности и внедрите их в каждый процесс.
- Организуйте в учреждении управление рисками.
- Регулярно оценивайте и совершенствуйте работу системы управления информационной безопасностью.
- Планируйте ресурсы учреждения с учетом возможного ущерба – чтобы предотвратить его или оперативно устранить последствия.
- Постоянно информируйте и обучайте сотрудников и руководство учреждения.
- Обновляйте подходы к информационной безопасности при любых изменениях в организации или после серьезных инцидентов!
Роль высшего руководства
- Ответственность за информационную безопасность несет высшее руководство – именно оно обладает целостным взглядом на деятельность учреждения, знает его цели и осознает, какие риски могут помешать их достижению.
- От отношения руководства зависит многое: будут ли у организации ресурсы на обеспечение безопасности, станет ли информационная безопасность понятной, очевидной и неотъемлемой частью культуры учреждения.
- Даже самые дорогие решения в сфере кибербезопасности окажутся бесполезны, если сотрудники не вовлечены в процесс. Поэтому крайне важна поддержка и контроль со стороны руководства.
- В случае инцидента именно на руководителе лежит задача оперативно и грамотно информировать общественность, включая взаимодействие со СМИ.
Дополнительная информация
- Э-материалы, связанные с E-ITS, можно найти на портале eits.ria.ee
- Базовые курсы по управлению информационной безопасностью для лиц, внедряющих Эстонский стандарт информационной безопасности. На курсах мы помогаем будущим специалистам по внедрению получить необходимые знания и навыки для применения Эстонского стандарта информационной безопасности.
- Эстонский стандарт инфобезопасности был подготовлен в рамках программы структурных фондов Европейского союза «Повышение осведомленности информационного общества» при финансировании Европейского Фонда Регионального развития.