Need mõisted on üldiselt sünonüümid ning erinevus sõltub sageli sellest, kes ja millises kontekstis neist räägib. Lihtsustatult öeldes: kui töö käigus tekib andmeid, millele ei ole täiendavat tähendust antud, on tegemist lihtsalt andmetega. Kui aga andmetele lisatakse tähendus, muutuvad need juba informatsiooniks.
Tasub meeles pidada ka kolmandat mõistet – küberturvalisus –, mis keskendub eelkõige digitaalse teabe, eri masinate ja süsteemide vahelise info ning nende süsteemide kaitsmisele välise osapoole eest.
Kuidas on andmekaitse seotud infoturbega?
Infovara hõlmab kõiki infotehnilisi vahendeid – riistvara, tarkvara, eri andmesideseadmeid jne. Infovaraks võib aga pidada ka organisatsioonis töötavaid inimesi ja kliente. Seetõttu võibki öelda, et andmekaitse ja infoturve on nagu ühe medali kaks poolt: andmekaitse määrab isikuandmete töötlemise aluspõhimõtted, infoturve aga aitab neid põhimõtteid ellu viia.
Infoturbe eesmärk on kaitsta organisatsiooni äriprotsesse korralduslike ja tehnoloogiliste turvameetmetega. See tähendab vastutust kogu toimiva süsteemi turvalisuse eest ning suutlikkust seista vastu igasugustele tegevustele, mis ohustavad süsteemis töödeldavate andmete või süsteemi kaudu osutatavate ja juurdepääsetavate teenuste käideldavust, autentsust, terviklust ja konfidentsiaalsust.
Nagu tihti öeldakse: „Andmekaitse ütleb, mida peaks tegema, infoturve ütleb, kuidas me seda teeme.“
Kust tuleb andmekaitse õigusesse infoturbe rakendamise kohustus?
Juristide vaates tuleneb see isikuandmete kaitse üldmäärusest (IKÜM). Täpsemalt on aluseks artikkel 5, lõige 1, punkt f – turvalisuse põhimõte –, mis sätestab, mida ja kuidas tuleb tagada:
„Tuleb tagada asjakohane turvalisus asjakohaste ja turvaliste meetmetega.“
Lihtsamalt öeldes tähendab see, et iga olukorda tuleb hinnata eraldi: miks ma midagi teen, milliseid isikuandmeid ma töötlen ning mille eest ja kuidas ma neid kaitsen.
Oluline on ka artikkel 32, mis kirjeldab infoturbe eesmärke ning toob välja konkreetsed viisid andmete kaitsmiseks, näiteks andmete krüpteerimise ja pseudonüümimise.
„Hästi oluline on kirja panna, mida ma teen ja kuidas ma seda tagan. Teine tähtis osa on süsteemide testimine – et ma tean ja tunnen, et kasutatavad meetmed peavad vastu ning on tõhusad.“
Millest alustada?
Kõigepealt kaardista, mida sinu organisatsioon teeb ja milliseid äriprotsesse see hõlmab. Seejärel tee selgeks, millised varad sul kasutusel on – olgu need klientide andmed, dokumendid, töötajad, infosüsteemid või valveseadmed. Ära unusta ka nn üldist kaitseala: füüsilist kontorit, kodukontorit, ühistöötamise alasid ja muid kohti, kus sinu organisatsiooni vara ja teave võivad paikneda.
„Kui mõnes neist komponentidest juhtub midagi suure mõjuga, pead kohe teadma, kas ja kuidas see mõjutab sinu organisatsiooni toimimist.“
Olulisemad märksõnad, mida meeles pidada: mis sul on, mida sa teed ja kuidas sa seda kaitsed. Samuti peab sul olema ülevaade võimalikest ohtudest, mis võivad sinu organisatsiooni kahjustada – olgu selleks elektrikatkestus, veeõnnetus, sidevõrkude tõrked, aegunud tarkvara või isegi inimfaktor (töötajate tegevus). Oluline on osata hinnata iga ohu realiseerumise tõenäosust ja selle võimalikke tagajärgi – see ongi nn riskihindamine.
„Töötle nii vähe andmeid kui vaja ja nii vähe kui võimalik.“
Üldiselt võib öelda: dokumenteeri! Pane kirja kõik töökorralduslikud teemad – infoturbe kord, andmekaitse reeglid, lepingud, ülesanded, käitumisjuhised intsidentide korral, üldise kaitseala kirjeldus jpm. Nii paned korralduslikult paika kogu reeglistiku ja kirjeldad täpselt, mida tuleb teha, kes teeb, millal teeb ning kellel on ligipääs vajalikele ressurssidele.
Mida teha, kui on juhtunud intsident?
- Kaardista, mis juhtus.
- Tee kindlaks, kas tegemist oli välise rünnakuga, turvaveaga või inimliku eksimusega.
- Uuri, kas ja mis on lekkinud.
- Sulge võimalusel ligipääsud.
- Vajadusel ja võimalusel kaasa väliseid eksperte.
- Vajadusel pöördu nõu saamiseks CERT-i poole.
- Võimalusel talleta rakenduse või andmebaasi tõmmis ja ära kustuta olemasolevaid andmeid ja logisid.
- 72 tunni jooksul teavita isikuandmeid puudutava intsidendi puhul rikkumisest Andmekaitse Inspektsiooni.
- Dokumenteeri kogu juhtum ja õpi sellest!
„Andmekaitse käsikäes infoturbega on pidev protsess, alati tuleb midagi uut juurde ja mingi toiming langeb ära. Tulevad uued andmekoosseisud, võetakse kasutusele uuemaid tehnoloogiad – ennast tuleb pidevalt kursis hoida.“
Uuri ja loe lisaks
Eesti infoturbestandard (E-ITS)
Andmeturve (Andmeturve | Andmekaitse Inspektsioon)
Andmehäälingu uus episood on valminud koostöös Euroopa Liidu CERV programmiga, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.
