mise mehhanismid ja krüptosüsteemid. Sügis 2006 Tallinna Polütehnikum 15 Ründetarkvara Legaalsed tüüptooted opsüsteemide faili ja kettafunktsioonid, paljud utiliidid Parasiittarkvara loogikapomm Trooja hobune uss (worm) viirus makroviirus ründeaplett pipett (dropper) Turvamehhanismide ründe programmid Sügis 2006 Tallinna Polütehnikum 16 Nõrkused Infrastruktuuri nõrkused Infotehnilised nõrkused Personali nõrkused Organisatsioonilised nõrkused Sügis 2006 Tallinna Polütehnikum 17 Infrastruktuuri nõrkused Kaitstava objekti ebasoodne asukoht Primitiivne või amortiseerunud infrastruktuur Sügis 2006 Tallinna Polütehnikum 18 Infotehnilised nõrkused Piiratud ressursid Aparatuuri või sideliinide väär paigaldus Vead, defektid või dokumenteerimata omadused programmides Protokollide ja sideprotseduuride puudused
Info Tehnilistest mehhanismidest on põhilised ründeobjetktid pääsu reguleerimise mehhanismid ja krüptosüsteemid. Ründetarkvara Legaalsed tüüptooted opsüsteemide faili- ja kettafunktsioonid, paljud utiliidid. Parasiittarkvara loogikapomm Trooja hobune uss (worm) virus makroviirus Turvamehhanismide ründe programmid Nõrkused Infrastruktuuri nõrkused Infotehnilised nõrkused Organisastioonilised nõrkused Infrastruktuuri nõrkused Kaitstava objekti ebasoodne asukoht Turvanõuete eiramine Infotehnilised nõrkused Piiratud ressursid Aparatuuri või sideliinide väär paigaldus Vead, defektid või dokumenteerimata omadused programmides Protokollide ja sideprotseduuride puudused Andmehalduse puudused Vahendit ja meetmete tülikus Personali nõrkused
Ründetarkvara · Legaalsed tüüptooted o opsüsteemide faili-ja kettafunktsioonid, paljud utiliidid · Parasiittarkvara o loogikapomm o Trooja hobune o uss (worm) o viirus 8 o makroviirus o ründeaplett o pipett (dropper) · Turvamehhanismide ründe programmid Nõrkused · infrastruktuuride nõrkused · Infotehnilised nõrkused · personali nõrkused · organisatsioonilised nõrkused Infrastruktuuri nõrkused · Kaitsva objekti ebasoodne asukoht · Primitiivne või amortiseerunud infrastruktuur Infotehnilised nõrkused · Piiratud ressursid · Aparatuuri või sideliinide väär paigaldus · Vead, defektid või dokumenteerimata omadused programmides · Protokollide ja sideprotseduuride puudused · Andmehalduse puudused · Vahendite ja meetmete tülikus
Realiseerida mitmeid organisatsioonilisi ja infotehnilisi turvameetmeid, näiteks sissepääsu reguleerimisega seotuid. Sidesüsteemi või infrastruktuuri puudused Eravõrk tagab andmete turvalisuse kindlamalt kui avalik võrk. Kaabelvõrke peetakse kindlamaks kui traadita võrke. Traadita võrgud sõltuvad rohkem keskkonnast ja on avatumad pealtkuulamisele. 2 Infotehnilised nõrkused Piiratud ressursid Ohustavad ammendumisel eeskätt käideldavust, aga ka andmeterviklust. Ketta täitumise tõttu võivad kaotsi minna näiteks sisenev meil või revisjoniandmed. Infokadu tekib ka automaatvastaja salvestuskandja täitumisel. Sisemise toiteallika tühjenemisega tuleb arvestada peamiselt sülearvutite jm mobiilseadmete, aga ka näiteks automaatvastaja puhul. Aparatuuri või sideliinide väär paigaldus
levitamise eesmärgid võivad samuti olla üsna erinevad: alates kasutaja paroolide ja krediitkaardi numbrite varastamisest kuni külastatud veebiaadresside alusel kasutaja profiili koostamiseni, mille järgi saab kasutajale spetsiaalselt talle suunatud reklaami näidata. 2. Nõrkused (turvaaugud) ning nende jaotus on kaitsva objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvardavad ohud. Jagunevad: infrastruktuuri nõrkused; infotehnilised nõrkused; personali nõrkused, organisatsiooni nõrkused. 3. Infoturbe intsident infosüsteemiga seotud sündmus, mis põhjustas majanduslikku või moraalset kahju ettevõttele. 4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega
ka mehaanilisi komponente. Risk näitab, kui vajalik on probleemile lahendust otsida. · riski üle kanda (nt kindlustusega) · Infotehnoloogilised meetmed 7. Infotehnilised turvameetmed on · Riski valem + selgitus Risk on võrdeline ohu tõenäosuse- ja selle kahju tekkimise tõenäosust infotehnoloogiliste vahendite toel ja põhjustatud võimaliku kahjuga kahandada keskkonnas realiseeritavad meetmed
töödeldavate isikuandmete põhjal ei muudeta tema kohustuste mahtu ega kahjustata muul viisil ülemääraselt andmesubjekti õigusi. Teadusuuringu või riikliku statistika vajadusteks isikuandmete töötlemine andmesubjekti nõusolekuta on lubatud, kui isikuandmete töötleja on isikuandmete kaitseks võtnud kasutusele piisavad organisatsioonilised, füüsilised ja infotehnilised turvameetmed, delikaatsete isikuandmete puhul on registreerinud nende töötlemise ning AKI on enne isikuandmete töötlemise algust kontrollinud käesolevas paragrahvis sätestatud tingimuste täitmist, kuulates vastavas valdkonnas seaduse alusel loodud eetikakomitee olemasolu korral eelnevalt ära ka nimetatud eetikakomitee seisukoha. Kogutud isikuandmeid on lubatud töödelda teadusuuringu või riikliku statistika vajadusteks,
· uss (worm) · viirus (virus) · makroviirus (macro virus) · hüpermeediumi aktiivsisu · pipett (dropper): programm, mis installeerib viiruse või trooja hobuse) 42. Nõrkused e turvaaugud . Nõrkused (vulnerabilities) on kaitstava objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvaradavad ohud. Jagunevad: · infrastruktuuri nõrkused · infotehnilised nõrkused · personali nõrkused · organisatsiooni nõrkused 43. Infrastruktuuri nõrkused Kaitstava objekti ebasoodne asukoht · Reeglina suurendab mitmesuguste ohtude realiseerumistõenäosust Primitiivne või amortiseerunud infrastruktuur · Ei võimalda nt realiseerida turvameetmeid (füüsilisi ja infotehnilisi) 44. Personali nõrkused
töötleja on kohustatud vähemalt kolm kuud enne registreeringu tähtaja möödumist esitama uue registreerimistaotluse. Andmekaitse Inspektsioon keeldub delikaatsete isikuandmete töötlemise registreerimisest, kui: 1) töötlemiseks puudub seaduslik alus; 2) töötlemise tingimus ei vasta käesolevas seaduses, muus seaduses või selle alusel kehtestatud õigusaktis sätestatud nõudele; 3) rakendatud isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed ei taga käesoleva seaduse §-s 25 sätestatud nõuete täitmist. Registreerimistaotlus esitatakse Andmekaitse Inspektsioonile isikuandmete töötlejate registrisse kandmiseks vähemalt üks kuu enne delikaatsete isikuandmete töötlemise algust. Delikaatsete isikuandmete töötlemise registreerimiskohustuse ja isikuandmete välisriiki edastamise nõuete ning andmesubjekti teavitamise kohustuse rikkumine:
kahjustada: 11 · teiste isikute õigusi ja vabadusi · lapse põlvnemise saladuse kaitset · kuriteo tõkestamist või kurjategija tabamist · kriminaalmenetluses tõe väljaselgitamist Andmesubjekti tuleb tema õigusi piiravat otsusest viitega alusele teavitada Turvanõuded töötluskeskkonnale Isikuandmete töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks: · andmete tervikluse osas juhusliku või tahtliku volitamata muutmise eest · andmete käideldavuse osas juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest · andmete konfidentsiaalsuse osas volitamata töötlemise eest. Olulisemad tehnilised nõuded Isikuandmete kaitse seadus nõuab, et isikuandmete töötleja:
meielihõlvetarkvara ja opsüsteemi tüüp-puudused Nõrkused e turvaaugud Nõrkused (vulnerabilities) on katstava objekti suvalsed nõrgad kohad, mille kaudu saavad realiseerida objeki ähvardavad küljed. Infrastruktruuri nõrkused 1. Kaitstava objekti ebasoodne asukoht Reeglina suurendab mitmesuguste ohtude realiseerumistõenäosust 2. Primitiivne või amortiseerunud infrastruktuur ei võimalda nt realiseerida turvameetmeid (füüsilisi ja infotehnilisi). Infotehnilised nõrkused · Piiratud ressursid · Aparatuuri või sideliinide väär paigaldus · Vead,defektid või dokumenteerimata omadused programmides · Protokollide ja sideprotseduuride puudused · Andmehalduse puudused · Vahendite ja meetmete tülikus (NB! Ka turvamehhanism ise võib kahjustada käideldavust) Personali nõrkused · Väärad menetlused (tulenevad tihti teadmatusest või mugavusest ja on sageli süstemaatilised)
oletatavatest turvaaukudest. Infotehnilistest mehhanismidest on põhilised ründeobjektid pääsu reguleerimise mehhanismid ja krüptosüsteemid. Ründetarkvara Legaalsed tüüptooted Opsüsteemide faili- ja kettafunktsioonid, paljud utiilid. Parasiittarkvara loogikapomm trooja hobune uss makroviirus Nõrkused Infrastruktuuride nõrkused Kaitstava objekti ebasoodne asukoht Primitiivne või amortiseerunud infrastruktuur. Infotehnilised nõrkused Piiratud ressursid Aparatuuri või sideliinide väär paigaldus Vead, defektid või dokumenteerimata omadused programmides. Protokollide ja sideprotseduuride puudused. Andmehalduse puudused Vahendite ja meetmete tülikus Personali nõrkused Väärad menetlused (teadmatusest või mugavusest tulenevad süstemaatilised toimisvead) Teadmatus ja motivatsioonitus Turvanõuete eiramine Organisatsioonilised nõrkused Töökorralduse puudused Ressursihalduse puudused
turvaaukudest. Infotehnilistest mehhanismidest on põhilised ründeobjektid pääsu reguleerimise mehhanismid ja krüptosüsteemid. Ründetarkvara Legaalsed tüüptooted Opsüsteemide faili- ja kettafunktsioonid, paljud utiilid. Parasiittarkvara loogikapomm trooja hobune uss makroviirus Nõrkused Infrastruktuuride nõrkused Kaitstava objekti ebasoodne asukoht Primitiivne või amortiseerunud infrastruktuur. Infotehnilised nõrkused Piiratud ressursid Aparatuuri või sideliinide väär paigaldus Vead, defektid või dokumenteerimata omadused programmides. Protokollide ja sideprotseduuride puudused. Andmehalduse puudused Vahendite ja meetmete tülikus Personali nõrkused Väärad menetlused (teadmatusest või mugavusest tulenevad süstemaatilised toimisvead) Teadmatus ja motivatsioonitus Turvanõuete eiramine Organisatsioonilised nõrkused Töökorralduse puudused Ressursihalduse puudused
seisus. Mittetäielikud ja ebaõiged isikuandmed sulgema. Viivitamata võtma kasutusele abinõud täiendamiseks ja parandamiseks. Isikuandmete töötleja on kohustatud Säilitama ebaõigeid andmeid märkusega nende kasutamise kohta. Vaidlustatud õigsusega isikuandmed sulgema. Isikuandmete parandamisel teavitama sellest kolmandaid isikuid. OFIT Isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed. 99 5.05.2016 Tagatud peab olema: Andmete terviklikus: Kaitse juhusliku või volitamata muutmise eest. Tagatud peab olema: Andmete käideldavus: Kaitse juhusliku hävimise, tahtliku hävitamise ja/või kättesaadavuse takistamise eest. Tagatud peab olema: Andmete konfidentsiaalsus: Kaitse volitamata töötlemise eest.
tuvastada ei ole võimalik. ANDMEKAITSE INSPEKTSIOONI POHJENDUSED ja SELGITUSED: Isikuandmete kaitse seaduse § 16 lõige 3 sätestab nõude, et isikustatud andmetega ja isiku nõusolekuta uuringu läbiviimiseks peab olema Andmekaitse Inspektsiooni eelnev luba. Loamenetluse käigus on taotluse esitaja mulle kinnitanud, et isikuandmete tootlemisel võetakse isikuandmete kaitseks kasutusele piisavad organisatsioonilised, fuusilised ja infotehnilised turvameetmed. Olen nõus, et pärast isikute tuvastamist võimaldatavate andmete eemaldamist oleks andmetootluse eesmärkide saavutamine ebamõistlikult raske. Taotluse esitaja on hinnanud ja välja toonud ulekaaluka avaliku huvi ning kinnitanud, et toodeldavate isikuandmete põhjal ei muudeta isikute kohustuste mahtu ega kahjustata muul viisil ulemääraselt andmesubjektide õigusi. Olen arvestanud Tallinna Meditsiiniuuringute Eetikakomitee otsusega.
5) isikuandmed, mille õigsus on vaidlustatud, sulgema kuni andmete õigsuse kindlakstegemiseni või õigete andmete väljaselgitamiseni; 6) isikuandmete parandamise korral viivitamata teavitama sellest kolmandaid isikuid, kellelt isikuandmed saadi või kellele isikuandmeid edastati, kui see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi. Isikuandmete töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks:, sh 1) vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele; 2) ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist; 3) ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati,
annaabi.ee 
