Ressursihalduse puudused Dokumenteerimise puudused Turvameetmete valimise puudused Turvasüsteemide halduse puudused Rakendatavad turvemeetmed võivad mõjutada turvaülesande kõiki komponente: *ohte *turvaauke *toimet varadele (võib loobuda kulukatest ja vähetulusatest varadest) *oodatavat kahju (võib riski edasi müüa) *teisi turvameetmeid Kolm põhirühma *profülaktika *turvarikete tuvastamine *taaste Profülaktika Profülaktilised meetmed moodustavad turbearsenali suurima osa: · Tugevndusmeetmed o -Kindel kord, süstemaatilisus, kindlad protseduurid. o -töötajate turvateadlikuse suurendamine ja -motivatsioon. o -normaalsed töötingimused · Peletusmeetmed o -Hoiatava loomuga abinõud kahandavad rünnete üritamise tõenäolsust. o -Sanktsioonid o -Hoiatav märgistus o -Nähtavad turvameetmed · Tõkestus- ja eraldusmeetmed o -Ruumiline isoleerimine
Varade kasutuskõlblikus. Terviklus- varasid ei ole volitamatult muudetud. Varad pärinevad autentsest allikast. Konfidentsiaalsus- varad on kättesaadavad ainult volitatud kasutajatele (isikud ja alamsüsteemid). Turavalisuse täiendavad omadused Töökindlus.-ettenähtud käitumise ja tulemuste järjekindlus. Audentsus- mingi subjekt või ressurss on see, kellena või millena ta esineb. Jälitatavus- mingi olemi toimingud on üheselt jälitatavad selle olemini. VARAD, OHUD, NÕRKUSED. Riskianalüüsi käigus spetsifitseeritakse kõik turvamudeli põhikomponendid (varad, ohud, nõrkused, ohtude toimed, olemasolevad turvameetmed) vaatlusaluse süsteemi kohta; Lähtutakse mingist piisava mahuga süstemaatilisest tüüploetelust (ohtude tüüpiline loetelu sisaldab tavaliselt 100 kuni 300 levinumat ohtu). Varade liigitus Andmevara Riistavara ja tarvikud Sidesüsteemide vara Bürooseadmed ja -tarvikud Tarkvara Inimvara Haldusvara Infrastruktuuri vara
ANDMETURVE I loeng. Oluline info kursuse kohta: • Tasub õppida codecadamy HTML basics, html-basics.com. • Essee tähtaeg 25. märts 23:50, 1800-2500 sõna, v.a viited; ieee reference • Iga loengu jaoks 3 uudist • Meili saatmisel lisada pealkirja ITX0040 ([email protected]) • Infoturbe lekskion – akit.cyber.ee • Protokoll, meie ainekontekstis suhtlemisreeglite kogumik 12.02 • CIA – confidentiality, integrity, availability • SKT – salastatus/konfidentsiaalsus, kättesaadavus, terviklikkus • Interneti rünnakute eest võib saada kuni 5 aastat vangistust • Küberturvalisus ehk IT süsteemida kaitse riist-ja tarkvara süsteemi osadel • Häkker – keegi, kes otsib süsteemi nõrkusi • White-box testing – häkkeril on süsteemist kõik teadmised • Black-box testing – süsteemi kohta eelnevat infot pole • Projektijuht vastutab, et turvatestid oleks läbitud
ESIMENE LOENG Infoturve informatsiooni kaitse, et tagada konfidentsiaalsus, terviklikkus ja käideldavus 1. Konfidentsiaalsus informatsiooni kaitse volitamata avalikustamine eest 2. Terviklus informatsiooni kaitstus võltsimise ja volitamata muutmise eest 3. Käideldavus informatsiooni ja teenuste õigeaegne kättesaadavus volitatud isikutele 4. Infovara informatsioon, andmed ja nende töötlemiseks vajalikud rakendused 5. Organisatsiooniline turve et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis. Organisatsiooni turbe korraldamisel võetakse varade väärtusteks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao korral. Organisatsiooni turvet saab korraldada mitmel meetodil : riskianalüüs; etalonturbe metoodika; segametoodika. 6
Mis on infovarade turvaohud? Oht(threat) on potentsiaalne (info) tube rikkumine. Oht on seega kas: *potentsiaalne tervikluse rikkumine *potentsiaalne käideldavuse rikkumin *Potentsiaalne konfidentsiaalsuse rikkumine Ohtude liigitamine Ohte on võimalik liigitada: Turvalisuse komponendi järgi (mida ohustab) Allika järgi (mis põhjustab) Kahjustuse olulisuse seisukohalt (kui suure kahju tekitab) Reeglina kasutatakse kahte esimest liigitust. Ohtude jagunemine allika järgi 1. Stiihlised ohud: · Keskkonnaohud · Tehnilised rikked ja defektid · Inimohud 2. Ründed (attack) Stiihilised ohud Stiihiised ohud tulenevad vääramatust looduslikust jõust, mis võib olla loomult juhuslik(äike,ujutus) või regulaarne (kulumine,materjalide väsimine,saastumine) Samas võibad stiihilised tuleneda ka inimvigadest, mida võivad põhjustada ebapiisavad oskused, hooletus, juhtimisvead, keskkonnategurid.
· Mitmekasutajasüsteemide turve, DAC & MAC, usaldatavad süsteemid · Autentimismeetodid, paroolid, NIS(+), Kerberos, NT domeenid, LDAP kataloogid, Active Directory, single signon · PKI (avaliku võtme infrastruktuuride) idee, rakendamine autentimisel ja signeerimisel, hierarhiad · Ohud võrgus, tulemüürid, krüpto rakendamine · Rünnakute avastamine: IDS (Intrusion Detection System), logimine; taasteplaanid; turvaprobleemide PR · Viirused, ussid, trooja hobused, tagauksed, ... · Privaatsus ja anonüümsus Internetis · Pöördkodeerimine, seadused, kopeerimiskaitsed, ... Kirjandus · Infosüsteemide turve 1: turvarisk. Vello Hanson, Märt Laur, Monika Oit, Kristjan Alliksoo. Cybernetica AS, Tallinn 2009 · Infosüsteemide turve 2: turbetehnoloogia. Vello Hanson, Ahto Buldas, Tarvi Martens, Helger Lipmaa, Arne Ansper, Viljar Tulit. Küberneetika AS, Tallinn 1998 · Security Engineering. Ross Anderson, Wiley 2001 · Practical UNIX & Internet Security
krüptograafilistest mehhanismidest. Ülevaate krüptograafia põhiterminitest annab M 3.23 Sissejuhatus krüptograafia põhimõistetesse. Ohud Krüptoprotseduure rakendatakse andmete - konfidentsiaalsuse, - tervikluse, - autentsuse ja - mittevaidlustatavuse tagamiseks. Kui rakendatakse krüptoprotseduure, tuleks infosüsteemide etalonturbes tähelepanu pöörata veel alljärgnevatele ohtudele: Organisatsioonilised puudused: - G 2.1 Reeglite puudumine või puudulikkus G 2.1 Reeglite puudumine või puudulikkus Seoses infotöötluse kasvuga, aga ka töödeldava info kaitsevajadusega, suureneb järjest kogu asutust hõlmavate reeglite ja juhendite tähtsus. Selle eesmärgiks on tagada info turvalisus. Reeglid võivad hõlmata erinevaid valdkondi, seda alates pädevuse küsimusest kuni kontrollülesannete jagamiseni. Reeglite puudumise või puudulikkuse mõju käsitletakse
Tallinna Ülikool Infoteaduste Instituut Mari Hõbemäe Valitsusasutuste dokumendi- ja arhiivihalduse kriisireguleerimise analüüs Magistritöö Juhendajad: Kädi Riismaa Ingrid Raidme 2 Tallinn 2008 3 SUMMARY The analysis of governmental institutions crisis management methods in handling records and archives management Master's thesis is written in Estonian. The thesis consists of 88 pages including two appendixes in five pages. Thesis contains 25 figures and 12 charts; some of those are from the elaborated literature and some are produced according to the data gathered by the author. Sources used for writing the thesis are mostly those that the author has
Kõik kommentaarid