PÄRNUMAA KUTSEHARIDUSKESKUS Arvutid ja Arvutivõrgud Allan Pertel ISKE Referaat Juhendaja: Üllar Tornik Pärnu 2012 SISSEJUHATUS Järgnevas referaadis vaatleme etalonturbe süsteemi ISKE. Räägime lühidalt rakendusalast ja kes peavad kasutama. Samuti vaatleme millel ta põhineb ning kui tihti täiendatakse. Saame teada mitmeastmeline ta on. Kuidas on ehitatud meetmestik. Kas aitab tagada riigisaladust ja tuleb juttu astmetest ise. RAKENDUSALA ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k
.......... 6 Kokkuvõte.................................................................................................................................... 7 Kasutatud materjal....................................................................................................................... 8 2 SISSEJUHATUS ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI avaldatav infoturbe standard IT Baseline Protection Manual (saksa k. IT-Grundschutz). ISKE rakendamise eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks
5. Organisatsiooniline turve et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis. Organisatsiooni turbe korraldamisel võetakse varade väärtusteks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao korral. Organisatsiooni turvet saab korraldada mitmel meetodil : riskianalüüs; etalonturbe metoodika; segametoodika. 6. Infotehnoloogiline turve kaitse häkkerirünnakute vastu aga mitte ainult. Ka lihtsalt org töö häireteta tagamine. 7. Füüsiline turve kõik varad, mitte ainult infovarad. Org suhted väliste osapooltega. Turvafirma, kliendid. Ruumide kaitse. TEINE LOENG 1. Viirus Arvutiviirus ehk viirus on programm, mis suudab ennast kopeerida ja arvuti nakatada
Autentsusega tagatakse teatava subjekti või ressursi identsuse ühtimine väidetavaga. Selle infoga määratakse lubatud info liikumise suunad turvaklasside vahel. Andmete liikumine erinevate turvaklasside siseselt on üldiselt lubatud, kuid seda piiravad määratud omadused. Infosüsteemide turvameetmete süsteemi poolt kasutusse võetud standardiks on ISKE. ISKEt kirjeldatakse kui infosüsteemide kolmeastmelist etalonturbe süsteemi, mis kasutab Saksamaa BSI poolt avaldatavat infoturbe standardit IT Baseline Protection Manuali. Selle eesmärgiks on tagada eelkõige riigi ja kohaliku omavalitsuse infosüsteemides töödeldavatele andmete ning nendega seotud infovarade turvalisus ent pole mõeldud riigisaladust käitlevate infosüsteemide turbeks. ISKE on kasutamiseks kättesaadav ka äriettevõtetele. Süsteem ise
käideldavusest või värskusest? Milline töödeldav konfidentsiaalne info vajab kaitset? Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile? Riskianalüüs. Millised on süsteemi ähvardavad ohud? Millised on süsteemi nõrkused? Millised on võimalikud kahjud ohtude realiseerimisel? Riskianalüüsi meetodid · Jäme riskianalüüs · Detailne riskianalüüs · Etalonturbe meetod (baseline security) Infoturbe protsess. Üldine jäme riskianalüüs Infoturbe eesmärgid, strateegia ja poliitika IT süsteemi jäme riskianalüüs Detailne riskianalüüs Etalonturbemetoodika Turvaseadmete valimine Riski aktsepteerimine
Etalontube metoodika olemus Etalontube metoodika korral on ette antud komplekt kohustulikke turvameetmeid, millest kõikide realiseerimine peaks tagama teatud etalontaseme turbe (jääkriski) kõikide süsteemide kaitseks mingil etteantud (etalon) tasemel On peamine alternatiiv detailsele riskianalüüsile juhul, kui rahalised või ajalised ressursid ei võimalda seda realiseerida Etalonturbe metoodika põhiidee 1.võetakseette tüüpiline infosüsteem oma kompontidega ( hoone, tööruumid, serverid,riistvara, tarkvara,sideliinid, kasutajad, organisatsioon, pääsu reguleerimine jm) Võetakse ette mingi etteantud turvatase Rakendatakse riskianalüüsi (ühe korra!), nii et see turvatase saavutatakse Fikseeritatakse kõik kasutatud turvameetmed ühtse paketina ja loetakse etalonmeetmeteks
on tagada siseturu hea toimimine, tagades seejuures väga ohtlikest ainetest tulenevate riskide asjakohase ohjamise ja nende ainete järkjärgulise asendamise sobivate alternatiivsete ainete või tehnoloogiatega, kui need on majanduslikult sobivad ja tehniliselt rakendatavad. Selleks peavad kõik autoriseeringut taotlevad tootjad, importijad ja allkasutajad analüüsima alternatiivide kättesaadavust ja kaaluma nendega kaasnevaid riske ning asendamise tehnilist ja majanduslikku teostatavust. Etalonturbe meetmed Etalonturbe meetmed on tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest. Infoallika autentsus on dokument, mille puhul saab kindlaks teha, et: dokument on just see, mis ta on mõeldud olema; dokumendi loojaks või saatjaks on isik, kes pidi selle looma või saatma; dokument on loodud või saadetud ajal, mil see pidi loodama või saadetama.
või värskusest? Milline töödeldav konfidentsiaalne info vajab kaitset? Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile? Sügis 2006 Tallinna Polütehnikum 16 Riskianalüüs Millised on süsteemi ähvardavad ohud? Millised on süsteemi nõrkused? Millised on võimalikud kahjud ohtude realiseerumisel? Sügis 2006 Tallinna Polütehnikum 17 Riskianalüüsi meetodid Jäme riskianalüüs Detailne riskianalüüs Etalonturbe meetod (baseline security) Sügis 2006 Tallinna Polütehnikum 18 Infoturbe protsess Sügis 2006 Tallinna Polütehnikum 19
kiiremini, mida olulisem on objekt: varundamine; ennistamine; Turvameetmete teostus Turbefunktsioone saab luau: organisatsiooniliste, füüsiliste, infotehniliste turvameetmetega või nendekombinatsioonidega. Turvameetmete valimine Üldprintsiipe: Valitakse lähtudes ohtudest, nõrkustest ja kahjustatavatest turvalisuse aspektidest; Etalonturbe rakendamisel valitakse tüüpmoodulite alusel kataloogist; Turvameetmete valimine (järg) Individuaallahenduse korral tuleb lähtuda: Turvameetmete funktsioon; toime turvaaspektidele (käideldavus, terviklus, konfidentsiaalsus), meetme suhteline tugevus; läbipaistvus kasutajale; meetme kasutamise hõlpsus. Turvameetmete tugevus ja toime Tugevuse hindamiseks mitmeastmelise turve tüüplahendused
käsitsemiseks vajalik ning see ei tohi kokkupuutel arhivaalidega neid kahjustada. 13. Hoidlat, selle õhuvahetussüsteeme ja säilikuid peab regulaarselt puhastama. Puhastusvahendid ei tohi arhivaale kahjustada. 14. Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20.12.2007 määrusega nr 252 ,,Infosüsteemide turvameetmete süsteem" sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. Nimistu ja selle koostamine Arhiivi kirjelduste kogum. Nimistu on arhivaalide peamine otsija juurdepääsuvahend avalikus arhiivis. Arhiivi kirjeldus esitatakse üljuhul ühes nimistus.Keerukale ja mahukale arhiivile võib koostada mitu nimistut
käsitsemiseks vajalik ning see ei tohi kokkupuutel arhivaalidega neid kahjustada. (13) Hoidlat, selle õhuvahetussüsteeme, sisustust ja säilikuid peab regulaarselt puhastama. Puhastusvahendid ei tohi arhivaale kahjustada. (14) Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteem” sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. § 29. Nõuded arhivaalide kasutamisele (1) Hoidla ja arhivaalide kasutamine ning arhivaalide turvalisuse tagamine sätestatakse avaliku arhiivi sisemist töökorraldust reguleeriva õigusaktiga.
*järeltuvastus *tõendtuvastus Taastemeetmed Turvalisust kahjustanud intsidendi järel tuleb taastada objekti normaalne talitus seda kiiremini, mida olulisem on objekt. *varundamine *ennistamine *asendamine Turvameetmete teostus Turbefunktsioone saab luua: *organisatsiooniliste *füüsiliste *infotehniliste *turvameetmetega või nende kombinatsioonidega Turvameetmete valimine Üldprintsiipe: *valitakse lähtudes ohtudest, nõrkustest ja kahtjustavatest turvalisuse aspektidest. *etalonturbe rakendamisel valitakse tüüpmoodulite alusel kataloogist *individuaallahenduse korral tuleb lähtuda: -turvameetme funktsioon -toime turvaaspektidele -meetme suhteline tugevus -läbipaistvus kasutajale Turvameetmete tugevus ja toime Tugevuse hindamiseks mitmeastmelise turbe tüüplahendused Kitsendused: *ajalised *rahalised *tehnilised *sotsiaalsed ja kuluutrilised *keskkondlikud *õiguslikud Pääsumehhanism Pääsu reguleerimine on loogilise eraldamise protsess tagamaks, et:
*järeltuvastus *tõendtuvastus Taastemeetmed Turvalisust kahjustanud intsidendi järel tuleb taastada objekti normaalne talitus seda kiiremini, mida olulisem on objekt. *varundamine *ennistamine *asendamine Turvameetmete teostus Turbefunktsioone saab luua: *organisatsiooniliste *füüsiliste *infotehniliste *turvameetmetega või nende kombinatsioonidega Turvameetmete valimine Üldprintsiipe: *valitakse lähtudes ohtudest, nõrkustest ja kahtjustavatest turvalisuse aspektidest. *etalonturbe rakendamisel valitakse tüüpmoodulite alusel kataloogist *individuaallahenduse korral tuleb lähtuda: -turvameetme funktsioon -toime turvaaspektidele -meetme suhteline tugevus -läbipaistvus kasutajale Turvameetmete tugevus ja toime Tugevuse hindamiseks mitmeastmelise turbe tüüplahendused Kitsendused: *ajalised *rahalised *tehnilised *sotsiaalsed ja kuluutrilised *keskkondlikud *õiguslikud Pääsumehhanism Pääsu reguleerimine on loogilise eraldamise protsess tagamaks, et:
saavutamiseks ja säilitamiseks. Tõenäosus mõõdetavate kriteeriumide põhjal eeldatav või subjektiivselt hinnatav hädaolukorra esinemise sagedus teatud aja jooksul. 11 LÜHENDITE LOETELU a aasta ArhE "Arhiivieeskiri" ArhS arhiiviseadus DNS nimeserver HO hädaolukord HOVS hädaolukorraks valmisoleku seadus ISKE infosüsteemide kolmeastmelise etalonturbe süsteem jne ja nii edasi jt ja teised lk lehekülg n.ö nii öelda NATO Põhja-Atlandi Lepingu Organisatsioon nn nii öelda OCHA ÜRO humanitaarasjade koordinatsioonibüroo OSCE Euroopa Julgeoleku- ja Koostöökonverents PRIA Põllumajanduse Registrite ja Informatsiooni Amet sh sealhulgas st see tähendab UNDAC kriiside ja katastroofide hindamise ja koordineerimisega tegelev meeskond UPS katkematu toiteallikas VPN virtuaalsed privaatvõrgud
Tähendab see, et* Iga toote kohta peab olema 1 komplekt autentsustunnuseid *Toodet tohib korraga olla kasutuses ainult niipalju, kui on litsentse *Igaühel on just talle sobiv litsents (koolide versioonid, suured nimelised litsentsilepingud) 22. Milles tunned legaalset tarkvara - *Jaemüük *Litsentsileping *Originaalkettad *Käsiraamat *Registr.kaart *Spets.autentsustunnistus COA *Mitmed marketingimaterjalid *Karbi spets tähistus...hologramm, kleeps 23. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) avaldatav infoturbe standard – IT Baseline Protection Manual 24. Kellele on ISKE kohustuslik?ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. 25
· Võib kasutada nii sertifitseerimise, täiendamise kui ka enesehindamise vahendina ISO/IEC 20000 on teenusehaldust käsitlevate standardite pere. Need sisaldavad teenuse nõuetele vastavate ning nii kliendile kui ka teenuseosutajale väärtust pakkuvate teenuste projekteerimist, üleminekut, tarnimist ja täiustamist. ITIL (IT Infrastructure Library) on IT teenuste haldamise parima praktika kogum, mida saab kasutada ISO/IEC 20000-1 nõuete rakendamiseks. Infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE) põhineb infovarade turbeastme määramisel, varade kirjeldamisel tüüpmoodulite abil ning turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele. ISKE rakendamine sisaldab järgmisi tegevusi: 1. Infovarade inventuur 2. Andmekogude kaardistamine ja turvaklasside määramine 3. Muude infovarade turvaklasside määramine 4. Turvaklassiga infovarade turbeastme määramine 5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel 6
andmebaasidest, endaga seotud info kontrollimine. Ettevõtjateenused - haigekassale kindlustusandmete edastamine, tegevusloa otsing majandustegevuse registrist jne. Ametnikuteenused - detailplaneeringu algatamise taotlus, avaliku ürituse taotlus, teetööde tehnilised kirjeldused jne. 64. Mis on aadressiandmete süsteemi (ADS) eesmärk? - Aadressandmete ühtmoodi mõistmine, aadressandmete kiire ja veatu töötlus andmekogudes. 65. Milleks on vaja infosüsteemide etalonturbe süsteemi (ISKE)? - Komplekssete turvameetmete kogum. Aitab kaitsta ja säilitada: andmeid ja andmekogusid, IT-seadmeid, andmevahetuskeskkondi, tarkvara. 66. Mis on klassifikaatorite süsteemi eesmärk? - Eesmärkerinevad infosüsteemid mõistavad andmeid ühtmoodi ja suudavad andmeid töödelda. 67. Mis on geodeetilise süsteemi eesmärk? - Lihtsustab infosüsteemide vahelist suhtlus. Tagab, et asukoha-andmed on geograafilises ruumis üheselt mõistetavad. 68
61. Põhimõisted, eesmärgid, ülevaade, millal ja kuidas kasutada: ISO/IEC 20000 seeria ja ITIL, ISO/IEC 27000 seeria ja ISKE, RUP. ISO/IEC 20000- teenusehaldust käsitlev standard. ITIL- it teenuste haldamise parima praktika kogum, mida saab kasutada ISO 20000 nõuete rakendamiseks. Infotehnoloogia haldamise tavade ja protsesside standardite kogu. ISO/IEC 27000- Sisaldab infoturbe halduse süsteeme. ISKE- infosüsteemide kolmeastmelise etalonturbe süsteem. põhineb infovarade kaardistamisel, nende turbeastmete määramisel, tüüpmoodulite kasutamisel, turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele ning turvameetmete rakendamisel. RUP- iteratiivne tarkvaraarenduse raamistik. Testid põhinevad spetsifikatsioonil. 62. Kvaliteedinäitajate näiteid, väärtuse määramispiirkond, parim väärtus Näited- arvestatakse vaid lõpliku koodi-vahepealseid versioone ei loeta. Arvestatakse
Infosüsteemid salvestavad ja kasutavad aadressandmeid erineval kujul. Eesmärk on, et aadressandmeid mõistetakse ühtmoodi ning aadressandmete kiire ja veatu töötlus andmekogudes. ADS tagab aadressiobjektide asukoha ühese mõistmise; - ühtsed standardid aadressidele ja aadressiandmete töötlemiseks (ühesugune kirjapilt, ühtne suur-väiketähtede, tühikute ja lühendite kasutamine. Aadressiandmeid saab pärida üle X-tee teenuse. 65. Milleks on vaja infosüsteemide etalonturbe süsteemi (ISKE)? See on komplekssete turvameetmete kogum, mis aitab kaitsta ja säilitada andmeid ja andmekogusid, IT-seadmeid, andmevahetuskeskkondi, tarkvara. Infosüsteemide andmeid liigitatakse turvaklassidesse. Liigitamise aluseks on teabe konfidentsiaalsus, terviklus, käideldavus. ISKE on kohustuslik riigi ja KOV andmekogude infosüsteemides. 66. Mis on klassifikaatorite süsteemi eesmärk?
infole ning sellega kahju tekitanud. ____________________________________________________________________ - G 5.81 Volitamatu krüptomooduli kasutamine - G 5.82 Krüptomooduli manipulatsioon - G 5.83 Krüptovõtmete paljastamine - G 5.84 Sertifikaadipettus - G 5.85 Tundliku informatsiooni tervikluse kadu Soovitatavad meetmed Vaadeldava IT-süsteemi turvalisuse tagamiseks tuleb lisaks käesolevale moodulile rakendada veel teisigi mooduleid vastavalt infosüsteemide etalonturbe rakendusjuhendi modelleerimise tulemustele. Lisaks sellele tuleb krüptoprotseduuride valdkonnas läbida alljärgnevad põhietapid: 1. Krüptokontseptsiooni väljatöötamine (vt M 2.161 Krüptokontseptsiooni väljatöötamine) Krüptoprotseduuride kasutamine sõltub paljudest teguritest. Nimetatud tegurite hulka kuuluvad muu hulgas ka IT-süsteem, vajalik turvalisuse tase ning nõuded andmete käideldavusele. Seepärast tuleb
· Infovarade omanik - kas andmete, süsteemide omanik. Vastutus infosüsteemi toimimise eest, peab suutma defineerida nõudeid andmete kättesaadavusele ja määrama kasutusõigused · Infosüsteemi administraator - viib omaniku otsused täide · Kasutaja - vastutab oma tegude eest · Seiraja - vaatab eksperdina asjad üle ja raporteerib tulemustest juhtkonnale. Ta omab tööplaani ja kontrollib infoturvapoliitika rakendamist ISKE Infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on infosüsteemides töödeldavatele andmetele piisava tasemega turvalisuse tagamine. Vastav turbetase määratakse andmetele turvaosaklasside määramise kaudu Turvaklassid (-tasemed) on ,,kõrge" (H), ,,keskmine" (M) ja ,,madal" (L) Konkreetsetele andmetele omistatakse nii konfidentsiaalsus-, käideldavus- (aegkriitilisus ja hilinemise tagajärgede kaalukus) kui ka terviklusnõuded
- ei saa õigeks ajaks valmis; tuleb maandada riske (töömahtude eelnev hindamine ja ajakasutuse planeerimine) - projekti jooksul klient muudab nõudmisi - täpsustuvad, muutuvad, tekivad plaanid jätkuarenduseks; lahenduseks eelnev põhjalik analüüs ning kliendipoolse allkirjaga kinnitus tellitavale tööle, lisatöö eest lisakulud - partnerite usaldusväärsus - kontakti saamise kiirus, kui on vaja infot vahendada - kliendil puudub haldussuutlikkus loodava tarkvara kasutamiseks Eesti etalonturbe süsteem -- ISKE (Infosüsteemide kolmeastmeline etalonturve) · https://iske.ria.ee/ · Kohustuslik riiklike andmekogude, riigi ja kohalike omavalitsuste sisemiste infosüsteemide jaoks · Etalonturve -- valmis turvameetmete komplekt vastavalt turvaklassile · Põhineb esialgselt Saksa BSI etalonturbel, hiljem omasoodu edasi arenenud · Riskianalüüs on suures osas varem valmis tehtud (ohtude ja meetmete kataloogid) -
annaabi.ee 
