Andmeteenuse omaniku kontrollküsimused
Turvalisuse kontrollnimekiri
Millega tegu?
Siin on loetletud erinevad kontroll küsimused, millele vastamine aitab sul mõista turvalise X-tee liidestuse jaoks olulisi elemente.
Kontrollküsimus | Mis oht siin peitub? |
---|---|
Kas sul on turvaserveri omanikuga sõlmitud majutusteenuse kokkulepe? | Võib puududa ühtne arusaam näiteks turvaserveri garanteeritud saadavusest, töövälisel ajal intsidentidele reageerimisest ja muust sellisest. Majutusteenuse kokkulepe aitab fikseerida andmeteenuse omaniku ja turvaserveri omaniku vahel olulisemad punktid. Näiteks turvaserveri saadavus ja SLA ning hooldustöödega seonduvast teavitamine. Majutusteenuse kokkulepped ei pruugi olla vajalikud kui andmeteenuse omanik ja turvaserveri omanik on mõlemad samas asutuses. |
Kas Teie rakendus suhtleb turvaserveriga üle HTTPS-i, kasutades mTLS-i? | Kui mTLS ei ole kasutuses, siis turvaserver ei valideeri, et sissetulnud päring on saadetud õige rakenduse poolt, mitte pahatahtliku ründaja poolt. Kui mTLS ei ole kasutuses, siis rakendus ei valideeri, et talle saadetud vastus on edastatud just sinu kasutatud turvaserveri poolt, mitte pahatahtliku ründaja poolt. Kui HTTPS ei ole kasutuses, siis on rakenduse ja turvaserveri vaheline liiklus krüpteerimata ning ebaturvaline. |
Kas sul on enda andmeteenuse klientidega sõlmitud andmeteenuse kasutamise kokkulepe? | Kui andmeteenuse kasutamise tingimused ei ole osapoolte vahel fikseeritud, siis ei pruugi olla rakendatud piisavad turvameetmed, et tagada väljastatud andmete terviklikkus ja konfidentsiaalsus. Selle tulemusena võivad sinu infosüsteemi andmed lekkida või neid kuritarvitada. NB! X-tee määruse §12 nõuab andmeteenuse osutamist ja kasutamist vastavalt liikmete vahelisele andmeteenuse kasutamise kokkuleppele. |
Kas sul on enda andmeteenuse klientide kontaktinfo talletatud? | Andmeteenuse klientide kontaktinfo puudumisel ei pruugi olla võimalik neid teavitada kui andmeteenuses esineb tõrge või toimuvad hooldustööd. Kontaktinfo on oluline, et saaksite kriisihetkel oma klientidega kiiresti ühendust. |
Kas sul on turvaserveri omanikuga kokkulepitud sõnumilogide talletamise kord? | Kokkuleppe puudumisel ei pruugi sõnumilogid olla piisava ajaperioodi raames talletatud. Näiteks võib sul olla vaja viimase 3 aasta sõnumilogisid, aga turvaserveri omanik on talletamise seadistanud ainult 1 aasta peale. Sõnumilogisid saab kasutada, et tõestada andmeteenuse kasutamist ning andmeteenuse poolt jagatud info/andmete edastamist. See võib olla oluline, kui andmeteenuse kasutamise raames tekib juriidiline vaidlus. |
Kas su rakenduse või infosüsteemi tarkvara on regulaarselt uuendatud? | Kui X-teega liidestatud infosüsteem või rakendus sisaldab endas turvahaavatavusi (nt. vananenud teegid või muu tarkvara), siis võidakse selle kaudu infosüsteemi/rakendusse sisse murda. See võib kaasa tuua andmelekke, tervikluse kadumise ja muud probleemid, millel võivad olla väga tõsised tagajärjed andmeteenuse pakkujale ja andmeteenuse klientidele. |
Kas sinu X-tee alamsüsteemid ja nende kontaktid on X-tee iseteeninduskeskkonnas kirjeldatud? | Kui sinu X-tee alamsüsteemidel ei ole kontaktid kirjeldatud, siis ei pruugi sinu andmeteenuse kliendid ega RIA kasutajatugi saada sinuga kiirelt ühendust võtta, kui peaks tõsine probleem esinema. X-tee alamsüsteemide info kirjeldamine aitab anda sulle endale ja ka teistele X-tee liikmetele selge ülevaate, mille jaoks sinu alamsüsteem on loodud. |
Kas sinu pakutud X-tee andmeteenused on X-tee iseteeninduskeskkonnas kirjeldatud? | Kui sinu andmeteenused ei ole X-tee iseteeninduskeskkonnas kirjeldatud, võivad andmeteenuste huvilised pöörduda sinu poole küsimustega, mida saab läbi kirjeldamise ennetada. Lisaks, on X-tee iseteeninduskeskkond hea koht, kuhu andmeteenustele lisada nendega seotud dokumente ja manuseid. Näiteks andmeteenuse kasutamise kokkuleppe dokument. |
Olulist lugemist