Eesti turvaklassid (0)

Tartu Kutsehariduskeskus
IKT
Koostas
EESTI TURVAKLASSID
Referaat
Juhendaja
Tartu 2012
Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmselisel skaalal ning kolmekomponendilisena, st kolme turvaklassi ühendina.
Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal.1
Eesti turvaklassidele on ette nähtud võimatus muuda andmeid selleks volitamata inimeste poolt, lisaks on tähtis ka see, et oleks võimalik leida andmete allikaid ning et andmed oleks tõestatavad. Terviklusnõudetele on kindlaks määratud erinevad nõuete tasemed, mis on paika pandud arvestades olulisuse järjekorda. Nendeks on:

• andmeallika tõestatavus
  
• andmeallika tuvastatavus
  
• volitamatu muutmise tuvastatavus
  

Eesti turvaklasside süsteemi klassifikatsioon tervikluse põhjal:

• Klass T3. Andmed, mille allikat peab saama tõestada kolmandale osapoolele. (Siia alla kuuluvad andmed on niivõrd olulised, et võib olla vajalik tõestada kohtus nende sisestajat või andmete juures viimaste muudatuste tegijat.)
  
• Klass T2. Andmed, mille allikas peab olema tuvastatav. (Siia alla kuuluvad andmed on piisavalt tähtsad, et vastutav töötleja peab olema võimeline tuvastama andmete sisestajat või viimaste muutuste tegijat.)
  
• Klass T1. Andmed, mille volitamatud muutmised peavad olema tuvastatavad (ka puhul, kui muutused on tehtud süsteemiülema poolt töö käigus).
  
• Klass T0. Andmete terviklusomadused pole olulised.
  

Käideldavuse all peetakse silmas seda, et andmed oleksid volitatud inimeste õigel ajal ja lihtsasti kättesaadavad. Käideldavust kirjeldatakse teabe aegkriitilisusega, mis on aeg, mille jooksul peavad andmed peale vajaduse tekkimist olema kättesaadavad, st. nende hilisemal kättesaadavusel pole mõtet ning teabe hilinemise tagajärgede kaalukusega, mille puhul hinnatakse potentsiaalset kahju, mis andmete hilinemisel tekkida võib. Need kaks suurused on üksteisest sõltumatud, mis tähendab seda, et teatava teabe kättesaamise hilinemisest tekkiv tagajärg ei pruugi olla tõsine, ent teave võib siiski olla aegkriitiline.
Eesti turvaklasside süsteemi klassifikatsioon aegkriitilisuse põhjal:

• Klass K3. Andmed, mis tuleb saada sekundite jooksul.
  
• Klass K2. Andmed, mis peavad olema kättesaadavad mõne või mõnekümne minuti jooksul.
  
• Klass K1. Andmed, mis peavad olema kättesaadavad mõne päevaga.
  
• Klass K0. Andmed, mille hilinemine mitme päeva jooksul ei põhjusta komplikatsioone.
  

Klassifikatsioon hilinemise tagajärgede kaalukuse põhjal on järgmine:

• Klass R3.Andmete õigeaegne mittesaamine võib põhjustada kas riigi suveräänsuse kadu või ettevõtte pankrotti : kahjusid, ms on võrreldavad riigieelarve või ettevõtte aastakäibega; mitmeid hukkunuid või ulatuslikku keskonnasaastet.
  
• Klass R2. Andmed, mille õigeaegne mittesaamine põhjustab kas olulist kahju riigi suveräänsusele või ettevõtte mainele; miljonitesse kroonidesse ulatuvaid kahjusid; ohtu inimelule või keskkonnasaastet.
  
• Klass R1. Andmete õigeaegne mittesaamine põhjustab kas häireid riigikorralduses või ettevõtte tegevuses; sadadesse tuhandetesse kroonidesse ulatuvaid kahjusid; ohtu inimeste tervisele või keskkonnasaaste ohtu.
  
• Klass R0. Andmete õigeaegne mittesaamine ei too kaasa mainimisväärseid tagajärgi.
  

Konfidentsaalsus on näitaja selle kohta, kas informatsioon saavad käsitleda ainult selleks volitatud isikud, olemid või protsessid. Konfidentsiaalsusskaala koosneb viiest tasemest, milleks on:

• Avalik
  
• Piiratud kasutamisega -asutuse või firmasiseseks kasutamiseks
  
• Konfidentsiaalne
  
• Salajane
  
• Ülisalajane
  

Eesti turvaklasside süsteem on jagatud konfidentsiaalsuse neljaks tasemeks:

• S3. Teave on seaduses või seaduse alusel salastatud.
  
• S2. Teabele on juurdepääs lubatud vaid eraldi subjekti või omaniku nõusolekul.
  
• S1. Teabele on juurdepääs lubatud ainult teatud tingimuste täitmisel.
  
• S0. Teabele ei ole seatud mingeid juurdepääsupiiranguid.
  

Konfidentsiaalsus on eelnimetatuist ainus, mille kohta kehtivad ka riiklikud regulatsioonid, näiteks Avaliku teabe seadus, Isikuandmete kaitse seadus ja Riigisaladuse seadus.
Autentsusega tagatakse teatava subjekti või ressursi identsuse ühtimine väidetavaga.
Selle infoga määratakse lubatud info liikumise suunad turvaklasside vahel. Andmete liikumine erinevate turvaklasside siseselt on üldiselt lubatud, kuid seda piiravad määratud omadused.
Infosüsteemide turvameetmete süsteemi poolt kasutusse võetud standardiks on ISKE .
ISKEt kirjeldatakse kui infosüsteemide kolmeastmelist etalonturbe süsteemi, mis kasutab Saksamaa BSI poolt avaldatavat infoturbe standardit IT Baseline Protection Manual i. Selle eesmärgiks on tagada eelkõige riigi ja kohaliku omavalitsuse infosüsteemides töödeldavatele andmete ning nendega seotud infovarade turvalisus ent pole mõeldud riigisaladust käitlevate infosüsteemide turbeks. ISKE on kasutamiseks kättesaadav ka äriettevõtetele. Süsteem ise kirjeldab turvet vajavaid infovarasid tüüpmoodulite abil ja määrab igaühele eraldi turvaklassi. Etalonturve on turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks.
Etalonturve on tüpiseeritud minimaalne turvameetmestik, mis tuleb rakendada infovaradele nende vajaliku ettemääratud turvataseme saavutamiseks ja säilitamiseks.2
Minimaalse all peetakse siinkohal silmas seda, et selleks, et turvatase vastaks soovitule, on tarvis rakendada kõik meetmed, mida nõuavad vastav infovara tüüp ja turvatase.
ISKEs on kolm erinevat turveastet - madal (L - low), keskmine (M - medium) ning kõrge (H - high).
Selleks, et andmed saaksid ISKEs sobiliku turbetaseme, on tarvis neid hinnata. Siinkohal määratleb süsteem neid nelja punkti järgi, mis on järgmised:

• 0 - eesmärgi saavutamata jäämine ei too kaasa mingeid kahjusid;
  
• 1 - eesmärgi saavutamata jäämisel tekkida võivad kahjud ei ole olulised;
  
• 2 - eesmärgi saavutamata jäämisel võivad tekkida olulised kahjud;
  
• 3 - eesmärgi saavutamata jäämisel võib olla võimatu täitsa andmekogu funktsiooni.
  

Seda skaalat rakendatakse nelja erineva turvaeesmärgi kaalumise teel, millest sõltub turvaosaklassi määramine. Nendeks on: Teabe hilinemese tagajärgede lubatav kaalukus, aegkriitlise teabe käideldavus, teabe terviklikkus ning teabe konfidentsiaalsus.
Pärast andmete turvaklasside määramist võetakse ette muud infovarad, prioriteedina kõrgeimate turvaklassidega andmeid käitlevad infosüsteemid, millele määratakse kõige kõrgem turvaklass.
Turvaklassid on vajalikud selleks, et turvanõuete püstitamine oleks üheselt mõistetav ning süsteemide turvalisuse omadusi - konfidentsiaalsust, käideldavust, terviklikkust - saaks tagada vajalikul määral.
Siinjuures tähendab terviklikkus seda, et andmeid on on võimalik muuta ja hävitada ainult selleks volitatud isikute poolt. Süsteem peab suutma täita ettenähtud otstarvet korrektsel viisil nii, et ta on vaba nii sihilikust kui ka juhuslikust manipuleerimisest, kui seda pole ette nähtud.
Kasutatud kirjandus

http://www.ria.ee/28416

https://docs.google.com/viewer?a=v&q=cache:ryTcAttc5YYJ:www.cs.ut.ee/~varmo/seminar/sem09S/final/ristioja.pdf+&hl=en&pid=bl&srcid=ADGEESjW7Rb9HA-JSj2opgQ02ZSS5oLjWbh1Iujm7hfvvhWLrvKNsbfX8FRMMB-Yf0n94CRwPfy_N-ltH6h7r4OH7wNnIRONf-B7lWY65hp7BMYP2r-uh0IDMT_w-sqi-MC8X25Jmmtl&sig=AHIEtbQ4XT1Rl7ScJQbkAYpV0Zks7P8O4w

https://docs.google.com/viewer?a=v&q=cache:zd80vyJyiO4J:www.riso.ee/et/failid/ISKEjuhend.doc+&hl=en&pid=bl&srcid=ADGEESiRPTeZ02sydNS50pks880fpyn7CeHh7YJzk0lL1qpvahXoSTO2K1FGaD5xINaLqmfLcfUeb_zjnwRmsTk8NPzKoA4sxBfpWuvD1y3Qsg35wREWWpYfr9y1ZuWUy2CQ1Y_xQRKP&sig=AHIEtbQUuCnAMeq3QCa87jpVyNEZypW5gg

https://docs.google.com/viewer?a=v&q=cache:RR6XmDxZyocJ:www.cs.tlu.ee/osakond/opilaste_tood/magistri_tood/2003_sugis/Anne_Parts/Anne_Parts_Mag_Too_Lubatud.pdf+eesti+turvaklassid&hl=et&gl=ee&pid=bl&srcid=ADGEESh98mHf9yvff0uAf7WxzKOqFeTsMBKDePAZ1rQwHD3iVvNvtL0weVpsSt27sKYP1LBLB9sysyzDimEpxQR3eoOH--8u6UwIajysOhHo6FiUX65XCh8cvj1qdtIdcrj0RoqhAQ-m&sig=AHIEtbRJ4F1z9CINARhGGSOjAeCpQSgRNw

http://et.wikipedia.org/wiki/Digitaalne_dokumendihaldus

https://www.riigiteataja.ee/akt/12901110
1 http://www.ria.ee/28416 Jaanuar 2012
2INFOSÜSTEEMIDE KOLMEASTMELIES ETALONTURBE SÜSTEEM Jaanuar 2012