EVK läbis esimeste seas infosüsteemide turvaauditi

"Auditi läbimine on kvaliteedimärk registripidajale. See näitab, et võtame oma tööd tõsiselt ja püüame täita meile seatud ootusi. Eesti Väärtpaberikeskus suhtub registripidamise turvalisusesse ja konfidentsiaalsusesse täie rangusega," ütles väärtpaberikeskuse IT juht Andres Lips.

Infosüsteemide turvaauditi (ISKE) eesmärk on tagada infosüsteemides olevatele andmetele piisav turvalisus. ISKE läbimine on kohustuslik riigi ja kohaliku omavalitsuse registrite infosüsteemide ja riistvara turvalisuse tagamiseks ning selle täitmist kontrollib Riigi Infosüsteemide Arenduskeskus.

Arenduskeskuse ISKE tootejuhi Merje Kaasani sõnul on tervitatav, et esimesed asutused on jõudnud auditi läbiviimiseni. "ISKE audit annab kindlustustunde nii asutuse juhtkonnale kui klientidele, et turvalisusega seotud asjad on infosüsteemides korras. Samas on ISKE audit vaid üks vaheetapp infoturbe protsessis ning erinevate süsteemide kaitsmine peab olema igapäevane töö," lisas ta.

Nii väärtpaberite keskregister kui kogumispensioni register kuuluvad auditeerimisele kord kolme aasta jooksul. Väärtpaberikeskuse audiitoriks on Ernst & Young.

ISKE jagab infosüsteemide turvatasandid kolmeks: L (madal), M (keskmine) ja H (kõrge). Väärtpaberikeskus on kahe riikliku andmekogu volitatud töötleja: väärtpaberite keskregister (turvatasand M) ja kogumispensioni register (turvatasand M). Turbeastmel H on esmakordse auditeerimise tähtajaks käesoleva aasta 1. märts, turbeastmel M 1. detsember ja turbeastmel L järgmise aasta 1. märts.

Väärtpaberikeskus läbis auditi ilma kriitiliste märkusteta, kuid audiitorite poolt esitati 13 tähelepanekut, mille tulemusena EVK parandas sisereegleid ja tööprotseduure registrites hoitavate andmete turvalisuse tagamiseks veelgi.