Infotehnoloogia on muutnud infotöö nii avalikus kui ka erasektoris oluliselt efektiivsemaks. Infoturve on muutunud väga oluliseks kogu maailmas. Võrreldes olukorraga mõned aastad tagasi on infovarad veelgi kasvanud, ohud ja ründed läinud massilisemaks, meetmed maksavad järjest rohkem ja riskid on suuremad. Infoturvet ei saa enam tagada üks ametkond, ettevõte, töögrupp või riik - vaja on kõigi osaliste koostööd igas organisatsioonis, riigis ja rahvusvaheliselt.

Euroopa Liidu üldine poliitika näeb ette avaliku sektori poolt ettevõtetele ja kodanikele pakutavate teenuste turvalisust ja kodanike turvateadlikkuse kasvu. Vajadus riikide tasemel infoturbega aktiivselt tegeleda on sätestatud ka rahvusvaheliselt. Eriti oluline on seejuures avaliku ja erasektori vaheline koostöö elutähtsate valdkondade kaitsel.

Avaliku sektori infosüsteemide turvalisuse laiemas tähenduses peaks tagama Infoturbe koosvõime raamistik (http://www.riso.ee/wiki/Versioon_2011), mis määrab kindlaks Eesti infoturbe toimimise üldised põhimõtted ning on aluseks riigiasutustele ja erasektorile infoturbe tagamisel. Selles dokumendis antakse organisatsiooniline struktuur ja tegevuste põhimõtted infosüsteemide ja elektroonilise side turvalisuse tagamiseks.

Nii nagu iga tehniline süsteem on ka IT süsteemid iseloomustatavad töökindluse parameetritega. Peale selle võivad mõjutada nende tööd väga paljud välised tegurid. Infosüsteemide projekteerimisel, loomisel ja haldamisel on oluline arvestada ohte, mis võivad mõjutada andmete terviklikkust, käideldavust ja konfidentsiaalsust.

Ohuallikateks võivad olla:

• loodusõnnetused, milleks võivad olla üleujutused, äike, tulekahju ja mitte küll Eestis aga siiski - vulkaaniline tegevus, maavärinad, maalihked, mis võivad kahjustada arvutisüsteemide riistvara;
• kõrvalekalded tavapärastest töötingimustest välistingimuste mõjul, milleks võivad olla energiavarustuse häired ja võrguühenduste kadumine;
• loogikavead tarkvaras ja infosüsteemi ülesehituses, mis avalduvad vaid väga erilistes olukordades ning ei avaldu ka kõige rangemate testide korral;
• inimlikud vead infosüsteemi haldamisel ja kasutamisel, näiteks mittetahtlikud eksimused hooldepersonali poolt;
• kuritahtlikud ründed, milleks on ründed süsteemi turvalisuse vastu ning sellega süsteemi mitteasjakohase reaktsiooni tekitamine kasutajatele. Kuritahtliku käitumise taga võivad olla inimesed siseringist või väljapoolt organisatsiooni. Nendeks võivad olla ärikonkurendid, tööstusspioonid, vargad, vandaalid ja ka terroristid. Nende tegevus on igal juhul karistatav kriminaalkorras.

Allikas: The All-Round IT Professional. Plan Knowledge Area. Irish Computer Society, 2006)

Infoturbe üldiste poliitikate väljatöötamine ja elluviimine hõlmab paljusid osapooli. Teave infoturbe probleemide ja lahenduste kohta tuleb viia võimalikult paljude asjaosalisteni ning selles on viis põhilist valdkonda: koostöö ja koordineerimine, teadvustamine ja koolitus, regulatsioonide väljatöötamine, informatsioonilise infrastruktuuri kaitse.

Koostöö ja koordineerimine

Infoturbega tegelevad erinevad asjaosalised, seega on selle töö planeerimine ja koordineerimine väga oluline, sest protsessis osalevad siseriiklikud ja rahvusvahelised organisatsioonid ning era-, avalik- ja kolmas sektor.

Siia kuulub:

• IT keskkonna riskianalüüsi teostamise koordineerimine.
• Turvaintsidentide käsitlemise võimekuse arendamine Eestis.
• Infoturbe alase kontaktvõrgustiku haldamine sise- ja rahvusvahelise koostöö korraldamiseks ENISAga (European Network and Information Security Agency).
• Piiriüleste e-teenuste arenduse infoturbe lahenduste koordineerimine.

Koostöö vajalikkust näitab juba erinevad seaduste ja määruste hulk, mis otseselt või kaudselt puudutavad infoturbe valdkonda Eestis:

• Isikuandmete kaitse seadus
• Andmekogude seadus
• Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273 "Infosüsteemide turvameetmete süsteemi kehtestamine"
• Vabariigi Valitsuse 19. detsembri 2003. a määrus nr 331 "Infosüsteemide andmevahetuskihi rakendamine"
• Kriminaalmenetluse koodeks
• Infoühiskonna teenuse seadus
• Isikut tõendavate dokumentide seadus
• Digitaalallkirja seadus
• Avaliku teabe seadus
• Autoriõiguse seadus
• Elektroonilise side seadus.

Teadvustamine ja koolitus

Infoturbe tagamiseks peavad kõik osapooled olema teadlikud ohtudest, riskidest, rünnetest, meetmetest ja teistest infoturbega seotud asjaoludest. Kõik organisatsioonid peaksid kaitsma oma süsteeme ja teadvustama infoturvet kui strateegilist edufaktorit, mitte vaid kui kuluartiklit. Inimesed peaksid aru saama, et nende koduarvutite asjakohane turvamine on kriitilise tähtsusega üldises infoturbe ahelas. Selleks tuleb läbi viia pidevat turva-alast teadvustamist ja koolitust.

Regulatsioonide väljatöötamine

Infoturbe tegevuste aluseks on vastavad regulatsioonid. On vaja spetsifitseerida, välja töötada, evitada ja uuendada infotehnoloogilise ja elektroonilise kommunikatsiooni infrastruktuuri ning elektroonilise side valdkondade infoturbe tagamiseks vajalikud protseduurid, dokumentatsioon ja vahendid. See tegevus hõlmab infoturvete ja elektroonilist sidet, kriitilise informatsioonilise infrastruktuuri kaitset, andmekogude pidamist, turvalisi e-teenuseid, turvastandardeid, riskianalüüsi mõõdikute väljatöötamist.

Informatsioonilise infrastruktuuri kaitse

Informatsiooniline infrastruktuur on kaasaegse riigi ja majanduse üks aluseid, ohud sellele on aga muutumas üha suuremaks. On vaja kaitsta informatsioonilist infrastruktuuri, arvestada infoturbe aspekte muudes infrastruktuuri kaitse valdkondades, korraldada küberkuritegevuse vastaseid toiminguid, koordineerida mainitud tegevusi rahvusvaheliselt. See tegevus hõlmab infoturbe aspektide arvestamist muudes infrastruktuuri kaitse valdkondades. küberkuritegevuse vastaseid toiminguid, küberrünnakute, sealhulgas välismaalt lähtuvate rünnete vastast tegevust, rämpsposti levitamise vastaseid õiguslikke, organisatsioonilisi ja tehnilisi meetmeid, sellealast riikidevahelist koostööd.

Inimeste ja varade kaitse

Oluline on inimeste kaitse vastavalt põhiõigustele ning asutuste ja ettevõtete kaitse-meetmete rakendamine. Selleks peab rakendama kõige rangemad meetmed isikuandmete kaitseks, turvalised e‑identiteedi vahendid (näiteks ID-kaart ja mobiil‑ID ja viimaste piiriülese kasutamise võimalused). Inimesi tuleb kaitsta illegaalse või ebasoovitava sisuga tülitamise eest (ahistamine, laste pornograafia, vägivalla õhutamine jne).