Kahe Tallinna lasteaia andmeturbe korraldamise uuring

Käesoleva lõputöö teema valiti eesmärgiga välja selgitada kahe Tallinna lasteaia andmeturbe korraldamist ja kaardistada andmeturbe alaseid tegureid, lisaks töötajate teadlikkust andmeturbest. Lõputöö oli vajalik, kuna direktoritel puudus selge ülevaade Küberturvalisuse seadusest, Avaliku Teabe Seadusest ja Tallinna linna andmekaitsetingimustest tulenevatest nõudetest andmeturbe korraldamisest oma hallatavas asutuses. Autori hinnangul said lõputöö kõik ülesanded ja eesmärk täidetud. Tehti ettepanekuid andmeturbe korraldamiseks. Eesmärgi saavutamiseks anti ülevaade andmeturbe korraldamise teoreetilisest raamistikust, kus vaadati üle andmeturbe kriteeriumid ja õigusaktidest tulenevad nõuded ning uuriti asutuste enamlevinud puudujääke andmeturbe korraldamises. Seejärel leiti sobiv metoodika empiirilise uuringu läbiviimiseks. Lõputöö autor viis läbi lasteaia direktoritega intervjuud, koostas küsitlused ja teostas dokumendivaatluse. Saadud tulemused analüüsiti, tehti järeldusi ja viis ettepanekut. Uuringus selgus, et Küberturvalisuse seaduse alusel rakendatakse Tallinna linna hallatavates asutustes E-ITS (varasemalt ISKE) standardit. Uuritavad lasteaiad ise infosüsteeme ei arenda ega halda. Infosüsteemide haldajaks on Tallinna Haridusamet, kes peab tagama turbemeetmete rakendamise. Lasteaedade direktorid on peakasutaja rollis. Avaliku teabe seadusest ja Tallinna linna andmekaitsetingimustest tulenevate nõuetega direktorid arvestavad ja nõuete täitmisega tegeletakse, kuid puudub andmeturbe alane vaade, mis tähendab, et nõuete täitmist ei seostata Küberturvalisuse seadusega ega E-ITS raamistikuga. Direktorid saavad eelkõige mõjutada töötajate teadlikkust läbi organisatsioonikultuuri, tõstes andmeturbe organisatsioonikultuuri osaks. Andmeturbe teadlikkuse tõstmine on vajalik kõikidel töötajatel. Uuringust selgus, et oht asutusele võib tulla nii väljastpoolt kui asutuse seest. Kõiki ohte ei ole võimalik likvideerida ja kõikide ohtude likvideerimine ei ole majanduslikult põhjendatavad ja otstarbekad. Oluline on teada, kus andmed tekivad ja neid töödeldakse, vaid sel juhul saab riske hinnata. Ohtude kaitseks on vaja teha, kas detailne riskianalüüs või rakendada etalonturbe raamistikku. Parima kaitse tagamiseks peab lisaks juhenditele panustama inimeste koolitamisele. Andmeturve peab olema organisatsioonikultuuri osa, vaid sellisel juhul on võimalik viia riske võimalikult väikeseks

The title of the thesis is Data Security Organization Study of Two Kindergartens in Tallinn. This thesis is written in Estonian and consists of 51 pages, which includes 3 chapters, 12 figures, 2 tables, 78 sources, an English summary and 2 annexes. The first chapter consists of a theoretical part, which deals with the theoretical framework of data security and reviews the basic concepts and objectives of data security. The second chapter describes the methodology used to conduct the study. The third chapter analyses the results of the empirical study. Conclusions and recommendations are drawn from the analysis. The aim of the thesis was to analyse the data security organisation of two kindergartens in Tallinn, to map data security factors and to draw conclusions and suggestions for better data protection. Every institution has data that needs to be protected and there are no longer areas that have not been affected by data security incidents. The information carried by the data always has some value for the institution. The data must be secured in the volume and in the manner that the agency needs. The results of the study show that the number of phishing attacks and incidents has been on the rise. The RIA's Incident Handling Unit received 22,896 requests in 2020, or 63 requests per day. Of these, 2,722 were high-impact incidents where there was a disruption to information, confidentiality, integrity or availability. The Microsoft Security Signal 2021 survey showed that the number of phishing attacks has increased by 667% since 2020. To achieve the objective of the thesis, the following tasks have been set. • Provide an overview of the theoretical framework for organizing data security. • Identify the most common shortcomings in the organisation of data security in organisations and the measures to address and prevent them. • To select a suitable methodology for conducting an empirical study. • To map the data security activities of the kindergartens under study. • Based on the results of the study, draw conclusions and make suggestions for better organisation of data security. The author conducted interviews with the directors of two kindergartens, sent questionnaires to the staff of both kindergartens and carried out a desk review. The results of the analysis concluded that kindergartens themselves do not develop and manage information systems themselves but are the users. The kindergartens do not know exactly where all the data originates and there is no separate 39 data security policy. In both kindergartens, the protection of personal data was actively addressed, and physical access controls were well in place. Within the framework of the thesis, the author made 5 suggestions. • Map all the places where data is generated and stored. • Include points on data security in the initial briefing for staff. • Raise data security awareness among all employees. • Supplementing the development plan of the nursery with activities on data security. • Updating of procedural rules. All the tasks set for the thesis were completed.