IT juhtimise käsiraamat

Käsiraamatu uuendus

Küberrünnaku vahendid võivad olla pahatahtlikud koodid, viirused ja muud pisiprogrammid, mida levitatakse või mis ise paljunedes levivad arvutites, ning kui vaja, häirivad süsteemide või teenuste toimimist.

Küberrünnak ehk küberrünne on pahatahtlik tegevus, mis seisneb suunatud sissetungimises võõrasse arvutivõrku, et varastada või muuta andmeid või kahjustada süsteemi.

Levinumad ründeliigid on:

  • ummistusrünne;
  • pahavara;
  • õngitsemine;
  • lunavara;
  • veebipõhised ründed.

Viimastel aastatel esikolmikusse kuulunud veebiründed on järgmised:

  • A1 – süstimine (ingl injection)

Süstimine on tarkvara nõrku kohti, eeskätt sisendandmete kontrolli puudulikkust, ära kasutav rünne veebipõhise liidesega rakendusele. Ründaja annab veebibrauseri käsureal sobivalt koostatud päringu kaudu edasi lubamatut tegevust esilekutsuvaid käske. Kõige levinum on andmebaasis SQL-päringuidesile kutsuv SQL-süstimine.

  • A2 – vigane autentimine ja sessioonihaldus (ingl broken authentication and session management)

Kui ründajal õnnestub kompromiteerida veebirakenduse autentimismehhanisme, nt saada enda valdusesse kasutaja sisestatud salasõna, või võtta üle õige kasutaja algatatud veebisessioon, võivad sellel olla väga tõsised tagajärjed.

  • A3 – murdskriptimine (ingl cross-site scripting – XSS)

Murdskriptimine kasutab ära veebilehtede sisestusvälja sisukontrolli puudusi, võimaldades niimoodi suunata veebilehe kasutajat käivitama pahavara sisaldavaid skripte või suunata kasutaja pahatahtlikele veebilinkidele.

Kaitset veebipõhiste rünnete vastu aitab oluliselt parendada täiendavate sisseehitatud turvakontrollide lisamine toote lähtekoodi. Võimalikke nõrku kohti koodis aitavad välja tuua spetsiaalsete, nõrkuste avastamiseks välja töötatud skannerite perioodiline kasutamine ja sõltumatud ründetestid.

Veebitestimise peaks korraldama pärast iga suuremat muudatust veebilehel. Vabatekstilisi sisestusvälju ei tohiks lubada kasutada kui võimalike SQL-käskluste käivitamiskohta. Kõike veebikasutaja sisestatut tuleb käsitleda võimaliku ohuallikana ja võimaluse korral tuleks kasutaja võimalusi piirata, rakendades väljadele kontrollireegleid.

Õigusuudis

Teemad:

  • Uus rahapesu ja terrorismi rahastamise tõkestamise seadus laiendab kohustusi 
  • Riigikohus selgitas, kas äriühingu koosoleku kokkukutsumise korda on rikutud, kui osanik, kelle suhtes rikkumine on toimunud, tuleb ise koosolekule kohale
  • Riigikohtu hinnangul on ettevõtja klientide kohta käiva teabe konfidentsiaalseks pidamise eelduseks asjaolu, et teabel on kaubanduslik väärtus

 

Õigusuudised valmivad Äripäeva teabekirjastuse ja advokaadibüroo TARK koostöös, juuni Õigusuudised koostas advokaadibüroo TARK partner ja vandeadvokaat Lada Riisna.

Õigusuudiseid saavad lugeda kõik käsiraamatu tellijad allolevalt lingilt.

Käsiraamatu uuendus

Euroopa Liidu isikuandmete kaitse üldmäärus (ingl General Data Protection Regulation – GDPR; eestikeelne kogutekst asub aadressil http://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32016R0679&from=ET) toob seni kehtiva isikuandmete kaitse seadusega võrreldes kaasa palju muudatusi, millega kõik isikuandmeid töötlevad organisatsioonid peavad arvestama. Üks uuendus on andmekaitseametniku määramise kohustus. Eelkõige peaksid andmekaitseametniku määramist kaaluma vastutavad töötlejad, kellele isikuandmete töötlemine on vähemal või suuremal määral osa igapäevasest äritegevusest.

Vastutav või volitatud andmetöötleja peavad teatud juhtudel looma andmekaitseametniku ametikoha. Vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

Vastutav töötleja võib töödelda andmeid ise või usaldab selle volitatud töötlejale, kes on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.

Näiteks patsientide isikuandmete töötlemist regionaalses tervisekeskuses võib pidada ulatuslikuks andmetöötluseks erinevalt väikest praksist pidava perearsti patsientide andmete töötlemisest. Seega tuleb niisuguses asutuses kindlasti kaaluda andmekaitseametniku määramist.

Kontsern, millel on rohkem kui üks tegevuskoht, võib määrata ühe andmekaitseametniku tingimusel, et ametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme sellise asutuse või organi jaoks määrata ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

Määruse artikli 37 lõike 6 kohaselt võib andmekaitseametnik olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel. See tähendab, et andmekaitseametniku rolli täitja võib olla ka väline teenuseosutaja. Tulenevalt andmekaitseametniku teadmistele ja kogemustele esitatud nõuetest võib organisatsioonis olla keeruline leida andmekaitseametnikku rolli sobivat töötajat organisatsioonist.

Artikli 38 lõikest 3 tulenevalt peavad vastutav ja volitatud töötleja tagama, et andmekaitseametnik ei saa oma ülesannete täitmiseks juhiseid. Vastutav või volitatud töötleja ei saa andmekaitseametnikku tema ülesannete täitmise eest ametist vabastada ega karistada.

Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

Artikli 38 lõike 6 kohaselt võib andmekaitseametnik täita muid ülesandeid ja kohustusi, kuid vastutav töötleja või volitatud töötleja tagab, et kõnealused ülesanded ja kohustused ei põhjusta huvide konflikti. Huvide konflikti vältimiseks ei saa andmekaitseametnik olla samal ajal määratud ettevõtte juhtkonda, näiteks olla ettevõtte tegevjuht või personalidirektor, ega ka madalamatel ametipositsioonidel, mis on seotud isikuandmete töötlemisega.

Organisatsioonid peaksid analüüsima, millised on nende isikuandmete töötlemise eesmärgid ja kui suures ulatuses nad isikuandmeid omavad ning töötlevad. Vastavalt sellele tuleb otsustada, kas ettevõttel tuleb määrata andmekaitseametnik.

Kui selgub, et andmekaitseametnikku on vaja, tuleb kaaluda, kas keegi töötajatest sobib seda ülesannet täitma. Kui sellist inimest ei ole, siis on organisatsiooni võimalik palgata uus inimene või osta andmekaitseametniku teenus sisse. Olenemata sellest, kas ametniku ülesandeid hakkab täitma olemasolev töötaja või võetakse tööle uus inimene, lisandub tema koolitusvajadus, sest turul ei ole kvalifitseeritud tööjõudu.

Õigusuudis
Õigusuudise teade

Teemad:

  • Töölepingu seaduse muudatused võimaldavad luua paindlikumaid töösuhteid alaealistega 
  • Ostja ei saa samadele puudustele tuginedes pärast hinna alandamist enam lepingust taganeda
  • Riigikohus selgitas, millal võib juhatuse liikme ja tema poolt kontrollitava isiku vaheline tehing olla tühine

 

Õigusuudised valmivad Äripäeva teabekirjastuse ja advokaadibüroo TARK koostöös, mai Õigusuudised koostas advokaadibüroo TARK partner ja vandeadvokaat Marit Savi.

Õigusuudiseid saavad lugeda kõik käsiraamatu tellijad allolevalt lingilt.

Õigusuudis
Õigusuudise teade

Aprilli Õigusuudiste teemad:

  • Äriühingu pankrotiavalduse esitamise kohustuse rikkumine võib juhatuse liikmele kalliks maksma minna
  • Võlgniku maksejõulisuse hindamine
  • Enammakstud tulumaksu tagastusnõue kui töötasunõudega sarnane sissetulek

Õigusuudised valmivad Äripäeva teabekirjastuse ja advokaadibüroo TARK koostöös, aprilli Õigusuudised koostas advokaadibüroo TARK advokaat Rahel Behrsin.

Õigusuudiseid saavad lugeda kõik käsiraamatu tellijad allolevalt lingilt.

Käsiraamatu uuendus

Infotehnoloogia rakendamise tulemuslikkuse mõõtmine on IT‑juhtimise oluline osa. Näitajate mõistmine ja arendamine on ettevõtte kasvu ning eesmärkide saavutamise alus. Põhjusega öeldakse, et saad seda, mida mõõdad.

IT‑valdkonnas võib esmapilgul tähtsusetuna näiv detail põhjustada olulisi muutusi ettevõtte infosüsteemi sooritusvõimes ja seega mõjutada äritulemusi. Probleemide juurpõhjuste paremaks mõistmiseks tuleb IT‑süsteemide sooritusvõimet mõõta. Samuti tuleb mõõta, kuidas IT sobitub ettevõtte põhitegevusega, milline on kasutajate rahulolu ja IT‑investeeringute tasuvus. Olulisi näitajaid ei kasutata ainult hetke sooritustulemuse teadasaamiseks.

Näitajaid seatud eesmärkidega võrreldes, ajaloolistel andmetel põhinevaid suundumusi ja andmete seoseid analüüsides saab langetada paremaid juhtimisotsuseid.

Mõõtes protsessi erinevaid näitajaid, saab teha kindlaks, kas teenus töötab optimaalselt ja klientide ootuste kohane. Protsessi diagnostika näitajad aitavad aru saada, miks tulemused ei ole ootuste kohased. Kulude mõõtmine aitab hinnata, kas tulemus on saavutatud optimaalse kuluga ja kas teenuseid osutatakse kuluefektiivselt. Rahulolunäitajate alusel saab hinnata, kuidas osalised tajuvad IT pakutavat funktsionaalsust, hõlmates nii teenust ennast kui ka viisi, kuidas see on edastatud.

IT‑spetsialistidele on esmatähtis ülevaade IT‑näitajatest, mis võimaldavad IT‑osakonnal mõista IT‑keskkonda, teha vajalikke muudatusi ja hinnata uuenduste ning täienduste vajadust. Probleemide korral saab näitajaid rakendada rikkeotsingul. Mõistmata, milline on normaalne IT‑keskkond, on raske tuvastada ebanormaalseid ilminguid.

Valdkonna uudis

Raamatupidamise käsiraamatu peatoimetaja ning BDO Eesti raamatupidamisteenuste juht Egle Vainula selgitab videoloengus, mida tõi raamatupidamise seaduse muudatus mikro- ja väikeettevõtjatele ning kuidas majandusaasta aruannete lühendatud vormi kasutada.

Kuigi võimalus väiksemas mahus majandusaasta aruandeid esitada on juba väike- ja mikroettevõtjatele teada, on siin mitmeid nüansse, mis võivad tekitada segadust ja niigi pingelist protsessi aeglustada.

Vaadake videoloengut siit.

Õigusuudis

Märtsi Õigusuudiste teemad

  • 2018. aastast on kindlustusandjatel täiendav kohustus kaitsta jaeinvestorit
  • Muudatused kalapüügiseaduses ja keskkonnatasude seaduses
  • Riigikohus muutis oma varasemat praktikat - abikaasade ühisomandisse kuuluvat kinnisasja saab kohtumenetluses koormata keelumärkega ka siis, kui võlgnik on vaid üks abikaasadest

Õigusuudised valmivad Äripäeva teabekirjastuse ja advokaadibüroo TARK koostöös, märtsi Õigusuudised koostas advokaadibüroo TARK partner, vandeadvokaat Hannes Küün.

Õigusuudiseid saavad lugeda kõik käsiraamatu tellijad allolevalt lingilt.

Õigusuudis
Õigusuudise teade

Veebruari Õigusuudiste teemad

  • 1. jaanuaril jõustusid sotsiaalmaksuseaduse muudatused
  • 17. detsembril jõustusid Eestisse lähetatud töötajate töötingimuste seaduse muudatused
  • Juhatuse liikme hoolsuskohustuse rikkumine ja äriühingule tekitatud kahju

Õigusuudised valmivad Äripäeva teabekirjastuse ja advokaadibüroo TARK koostöös, veebruari Õigusuudised koostas advokaadibüroo TARK partner, vandeadvokaat Tanel Küün.

Õigusuudiseid saavad lugeda kõik käsiraamatu tellijad allolevalt lingilt.

Veebiuudis

Nüüdsest saate peatükke, mille lugemine teil ehk pooleli jäi või mida sagedamini vaja läheb, lemmikuks märkida. Seda saab teha, klõpsates avatud peatüki kohal oleval ribal Lemmikute ikoonil:

Lemmikuid saab kätte Lemmikute kaustast, mille saate avada vasakult menüüst, klõpsates tähekesel:

Lemmikute kaustas saate peatükke endale sobivasse järjekorda seada, lohistades neid hiirega peatüki ees asuvast ristikesest. Samuti saab lemmikuid kaustast kustutada. Pärast muudatuste tegemist klõpsake nupul Salvesta.