Tartu Kutsehariduskeskus IKT Koostas EESTI TURVAKLASSID Referaat Juhendaja Tartu 2012 Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmselisel skaalal ning kolmekomponendilisena, st kolme turvaklassi ühendina. Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal.1 Eesti turvaklassidele on ette nähtud võimatus muuda andmeid selleks volitamata inimeste poolt, lisaks on tähtis ka see, et oleks võimalik leida andmete allikaid ning et andmed oleks tõestatavad. Terviklusnõudetele on kindlaks määratud erinevad nõuete tasemed, mis on paika pandud arvestades olulisuse järjekorda. Nendeks on: andmeallika tõestatavus andmeallika tuvastatavus
Samuti vaatleme millel ta põhineb ning kui tihti täiendatakse. Saame teada mitmeastmeline ta on. Kuidas on ehitatud meetmestik. Kas aitab tagada riigisaladust ja tuleb juttu astmetest ise. RAKENDUSALA ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) avaldatav infoturbe standard IT Baseline Protection Manual (saksa k. IT- Grundschutz). ISKE rakendamise eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003
organisatoorsete kui ka füüsiliste turvameetmete kasutuselevõtmises ja ajakohastamises. Eesti eesmärgiks on olla kõrge infoturbealase kompetentsuse ja teadlikkusega riik. Kaitseliit kui riigikaitset toetav vabatahtlik üleriigiline organisatsioon pakub sobiva raamistiku küberkaitse ekspertide kompetentsuse ja teadlikkuse organiseeritud tõstmiseks. Eesti küberkaitse edu alus on akadeemik Ülo Jaaksoo poolt alustatud infoturbe alaste teadmiste arendustegevus ja infoturbe spetsialistide koostöö alates 2000. aastast. Valikuline kronoloogia koostöö arengust: Eesti Vabariigi sünniga alustas Küberneetika Instituut infoturbe alaseid töid. · 1998 telepanganduse levik võimaldas pankede küberkaitsealase koostöö tekke. · 2000 jõustub poliitiline kokkulepe rahvusliku elektroonilise isikute identifitseerimise infrastruuri väljaehitamiseks (digiallkirja seaduse näol) ja alustatakse töödega.
Paroolide lahti murdmine 17. Mis on jääkrisk? 26. Mis on ISKE mõistes turbeaste, too näiteid. Arvutite või dokumendimappide vargus Jääkrisk on risk, mida ei ole mõtet/võimalik Lukkude muukimine vähendada. Turbeaste on infoturbe näitaja, mis 9. Millal on/ei ole mõistlik turvameetmeid 18. Mis on riskimaatriks + joonista näide määratakse turvaklassi põhjal vastavalt ISKE rakendusjuhendis antud juhistele. ISKEs on rakendada
Andmeturve Üldosa Millest räägime? Infoturbe põhimõisted Riskianalüüs, riskianalüüsi meetodid Turvameetmed Volitustõendid Krüptograafia Digitaalallkiri ja selle kasutamine Sügis 2006 Tallinna Polütehnikum 2 Kirjandus V. Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetika V. Hanson, A. Buldas, H. Lipmaa Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika V. Praust. Digitaalallkiri -- tee paberivabasse maailma. Tallinn, ILO
Andmeturve ja viirusekaitse. Üldosa Millest räägime?? 1. Infoturbe põhimõisted 2. Riskianalüüs, riskianalüüsi meetodid 3. Viirused ja viirusekaitse 4. Turvameetmed 5. Volitustõendid 6. Krüptograafia 7. Digitaalallkiri ja selle kasutamine Andme- või infoturve? Andmeturve (data security) · andmebaaside ajastu andmetöötlus; Infoturve (information security) · infosüsteemide ajastu infotöötlus; Teadmusturve (knowledge security)
teatavas kontekstis eritähendus 1.1.Andmed (data) informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks 1.2.Andmed on informatsiooni esitus, st tema kirjapanek mingis eelnevalt kokkulepitud kujul (mis võimaldab andmetele vastavat teavet edasi anda subjektilt subjektile) 2.Infoturve ehk andmeturve tegeleb andmete (informatsiooni) omaduste ja seeläbi ka väärtuste tagamisega 3.Infoturbe (information security) ehk andmeturbe (data security) all mõeldakse sümbioosi järgmisest kolmest omadusest: · käideldavus · terviklus · Konfidentsiaalsus 4.Andmete käideldavus (availability) on teabe õigeaegne ning mugav kättesaadavus ning kasutatavus selleks volitatud isikutele ning subjektidele 5.Andmete terviklus (integrity) on andmete pärinemine autentsest allikast ning veendumine, et need pole hiljem muutunud ja/või neid
Infosüsteemid Riskianalüüs Mõisted: Varad 1. omavad mingit väärtust ettevõtte/klientide jaoks 2. füüsilised 3. mittemateriaalsed 4. rahas hinnatavad 5. rahas mitte hinnatavad turvameetmed 1. füüsilised 2. tehnoloogilised 3. organisatsioonilised 4. ennetavad 5. avastavad 6. taastavad/leevendavad Riskianalüüs 1. mitteformaalsed 2. formaalsed 3. standarditest: ISO/IEC 1335, ISO/IEC 1799 detailine analüüs 1. väga põhjalik kvaliteetne 1. ligikaudsed tasemed 2. selgitatakse välja suuremad riskid kvantitatiivne 1. kõik taandatakse ühele skaalale, enamast raha 2. täpne kuid töömahukas eelanalüüs 1. pealiskaudne 2. ettevõtte ja süsteemi eesmärgid 3. süsteemi maksumus 4. süsteemi tähtsus eeskujul baseeruv analüüs(etalonturve)...
kasutavad samuti HTTPS-i, sellepärast on ka aadressiribal https, mitte http. 1.3 HTTP ja HTTPS erinevused HTTP-aadressid algavad aadressiribal „http://“ ja kasutavad default porti 80 HTTPS-aadressid algavad aadressiribal „https://“ ja kasutavad default porti 443. 1.4 SSL SSL (Secure Sockets Layer ehk turvasoklite kiht) SSL edasiarendus on TLS (Transport Layer Security ehk transpordikihi turbeportokoll) Infoturbe protokoll üle Interneti edastatavate andmete turvalisuse tagamiseks. Sõna "sokkel" viitab sellele, et andmete edasi-tagasi saatmine klient- ja serverprogrammi vahel toimub läbi soklikihi programmi ja meenutab elektripirni pesasse sisse- ja väljakeeramist. SSL kasutab RSA kahe võtmega (avalik ja privaatvõti) krüpteerimissüsteemi. RSA süsteemi juurde kuulub ka digitaalne sertifikaat e. isikutunnistus. SSL protokolli töötas
Andmeturbe alused Mida õpitakse? Infoturbe põhimõisted Infoturbe komponendid Varad, ohud ja nõrkused Turvameetmed, volitustõendid ja krüptograafia Infoturbe standardid Infoturbe audit Riskianalüüs, riskianalüüsi meetodid Infoturve Eestis, turbe majanduslik pool Kirjandus Vello Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetika. Antud väljaantud uuesti aastal 2009. Vello Hanson. Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika. V Praust. Digitaalallkiri- tee paberivabasse maailma. Tallinn, ILO. Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus; Infoturve (information security)
suurõnnetuse lahendamiseks. 3. Normal muutused: kõik ülejäänud muutused, mis ei ole standard ega emergency. L2. Riski hindamise printsiibid ● Teha kindlaks kõik riskiallikad ● Otsustada, millele see risk ohtlik on ● Hinnata riske ja nende tõenäosust ● Teha kindlaks kontrollmeetmed L3. CAB koosseis ● Service Desk analüütik ● Operatsioonijuhid ● Rakenduste haldur ● Infoturbe Ametnik ● Seenior võrguinsener ● Ärisuhete juht ● Kasutajad L4. Muudatuse memo template *Muudatuse nimi: *Muudatuse eesmärk: *Otsus jõustunud: *Jõustaja: *Mõjutatud teenused: *Tehniline sisu: *Ärimõju: *Risk: *Roll-back: *Testimised: *Teavitused: Näidis *Muudatuse nimi: WiFi ruuterite vahetus kontoris *Muudatuse eesmärk: kiirema interneti tagamine *Otsus jõustunud: 05.03.2021 *Jõustaja: Raimondo
Pilvetehnoloogia puhul toimub hinnastamine tavaliselt mahupõhiselt, kus perioodi lõpus esitatakse arve tarbitud teenuste kohta. Seega ei ole reaalsed kulud teada enne kui perioodi lõpus. Lisaks võivad teenusepakkujad nõuda lepingu lõpetamise puhul lisatasusid, mis teevad lepingu lõpetamise väga kulukaks. · Infoturberisk - Pilvetehnoloogia puhul ei oma organisatsioon kontrolli andmete üle ega saa rakendada ka infoturbe meetmeid. Ebaturvaliselt hoitud andmete lekkimine või ka andmete kättesaadamatus võivad kaasa tuua maineriske või vähendada tulu. Lisaks hoitakse organisatsiooni andmeid samal riistvaral teiste organisatsioonide andmetega, mis tähendab, et andmete n-ö lekkimise tõenäosus on suurem. Piisab eksimusest konfiguratsioonis ja teie organisatsiooni andmed võivadki olla kättesaadavad võõrastele osapooltele
digitaalse tuvastamist võimaldaval sertifikaadil [1]. E-identimise usaldusväärtust reguleerib omakorda "E-identimise ja e-tehingute usaldusteenuste seadus", mis võeti vastu 12.10.2016. Antud seadus täpsustab kõiki e-identimist ja e-tehinguteks vajalikke usaldusteenuseid ning riikliku järelevalve korralduse, mis pole reguleeritud Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 [2]. Lähtuvalt hetkel kehtivast seadusest peab usalduse tagama seaduses määratud asutus. Infoturbe pädevasutus võib korraldada usaldusteenuse infrastruktuuri loomise, haldamise ja ajakohastamise vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) nr 910/2014. See tähendab, et seaduse poolt on usaldatud ühte vabariigi asutust tagamaks kogu identimisahela turvalisust. Näiteks otsustab see asutus kuidas ühte või teist protseduuri läbi viiakse, kuidas kontrollitakse isikusamasust või kuidas ja kui kaua säilitatakse andmeid.
Hooletus üldiste turvameetme suhtes; 5 Andmete konfidentsiaalsuse kadu infotehnoloogia kasutaja hooletuse tõttu; Infotehnoloogilise süsteemi turvatehniliselt väär kasutamine; Väär PC kasutajate vahetumine; Infotehnoloogilise süsteemi väär haldus; Väär pääsuõiguste haldus; Arhiivi andmekandja volitamata ülekirjutus või kustutus; Infoturbe puudulik aktsepteerimine; Meiliteenuste väärkasutus; Töötava haldusserveri blokeerimine; Puudulik infoturve väljasttellimise teostusjärgus; Arhiivide andmekandjate puudulik hävitamine; Andmete konfidentsiaalsuse või tervikluse kadu kasutaja vea tõttu; Õigusaktide ja lepingute sätete rikkumine; Mehaaniliste koodlukkude võtmete väär kasutamine, eriti koodi muutmisel; Registreerimata komponentide kasutamine;
krediitkaardi numbrite varastamisest kuni külastatud veebiaadresside alusel kasutaja profiili koostamiseni, mille järgi saab kasutajale spetsiaalselt talle suunatud reklaami näidata. 2. Nõrkused (turvaaugud) ning nende jaotus on kaitsva objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvardavad ohud. Jagunevad: infrastruktuuri nõrkused; infotehnilised nõrkused; personali nõrkused, organisatsiooni nõrkused. 3. Infoturbe intsident infosüsteemiga seotud sündmus, mis põhjustas majanduslikku või moraalset kahju ettevõttele. 4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega reguleeritavate andmekogude pidamisel kasutatvate infosüsteemide ja nendega seotud
ANDMETURVE I loeng. Oluline info kursuse kohta: • Tasub õppida codecadamy HTML basics, html-basics.com. • Essee tähtaeg 25. märts 23:50, 1800-2500 sõna, v.a viited; ieee reference • Iga loengu jaoks 3 uudist • Meili saatmisel lisada pealkirja ITX0040 ([email protected]) • Infoturbe lekskion – akit.cyber.ee • Protokoll, meie ainekontekstis suhtlemisreeglite kogumik 12.02 • CIA – confidentiality, integrity, availability • SKT – salastatus/konfidentsiaalsus, kättesaadavus, terviklikkus • Interneti rünnakute eest võib saada kuni 5 aastat vangistust • Küberturvalisus ehk IT süsteemida kaitse riist-ja tarkvara süsteemi osadel • Häkker – keegi, kes otsib süsteemi nõrkusi
.................................................... 7 Kasutatud materjal....................................................................................................................... 8 2 SISSEJUHATUS ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI avaldatav infoturbe standard IT Baseline Protection Manual (saksa k. IT-Grundschutz). ISKE rakendamise eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003
Kvaliteedihalduse meetodi valimine 61. Põhimõisted, eesmärgid, ülevaade, millal ja kuidas kasutada: ISO/IEC 20000 seeria ja ITIL, ISO/IEC 27000 seeria ja ISKE, RUP. ISO/IEC 20000- teenusehaldust käsitlev standard. ITIL- it teenuste haldamise parima praktika kogum, mida saab kasutada ISO 20000 nõuete rakendamiseks. Infotehnoloogia haldamise tavade ja protsesside standardite kogu. ISO/IEC 27000- Sisaldab infoturbe halduse süsteeme. ISKE- infosüsteemide kolmeastmelise etalonturbe süsteem. põhineb infovarade kaardistamisel, nende turbeastmete määramisel, tüüpmoodulite kasutamisel, turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele ning turvameetmete rakendamisel. RUP- iteratiivne tarkvaraarenduse raamistik. Testid põhinevad spetsifikatsioonil. 62. Kvaliteedinäitajate näiteid, väärtuse määramispiirkond, parim väärtus
3. See sisaldab eeldatavaid sooritustasemeid ja edukriteeriume, samuti infosüsteemide arenduse eesmärke, vajalikke ressursse ja teenuseid koos nende teostuse põhimõtetega. 4. juhtkonna selgelt väljendatud vastutus turvapoliitika väljaarendamise eest; - IT-strateegiaga kooskõlas olevad turvaarhitektuuri põhimõtted; - turvaprogrammi kõikehõlmava ja tõhusa teostuse aluseks olevad standardid; - igapäevase äritegevuse ja muude toimingute aluseks olevad protseduurid. 5. infoturbe keskne haldus; - mitmetasandiline viirusetõrje (tööjaamades ja serverites, pääsupunktides); - Internetist tuleva andmevoo filtreerimine; - võrgus ja süsteemipäevikutes olevate ebaharilike operatsioonide korrapärane automaatanalüüs; - avalikult teatatud turvaaukude jälgimine ja kohene eemaldamine; - võrgu välispiiri ja sisesüsteemide regulaarne tehnoloogiline turvaaudit. 6. ( tugevused, nõrkused, võimalused ja ohud)
ressursside tuvastatud riskitasemele ja riskide piiramist aktsepteeritavale tasemele. 7.2.4 1. Mida tähendab riskihalduse metoodika? Riskihalduse metoodika tähendab iga riski jaoks mingi valiku tegemist. 2. Mida tähendab riski aktsepteerimine? Aktsepteerida riski - klient võib otsustada lubada riski kui selle vastumeetmed osutuvad liialt kulukaks. 3. Milline näeb välja üldine riskihindamise definitsioon infoturbe alal? P = f (V, T) , kus V on haavatavus, T on oht, P on tõenäosus 4. Mis on Avariijärgne taasteplaan? Avariijärgne taasteplaan (Disaster Recovery Plan) on dokument, mis on sageli kaasatudIT teenuse talitluspidevusplaani (Service Continuity Plan). 5. Mida defineerib avariijärgne taasteplaan? See defineerib protsessid, poliitikad ja protseduurid normaalolukorra taastamiseks piiratud ajaraamides, kriitilised operatsioonid, äritegevuse
ohtu kaotada kontroll teenuse üle (43%) ning teenuse kvaliteedi langust (35%). Paljudele ettevõtetele osutub suurimaks riskiks konfidentsiaalsus, mis väljendub nii brändi, kliendiandmete kui muude ärisaladuste kaitses. EY uuringu kohaselt on teenusepakkujad konfidentsiaalsuse olulisusest teadlikud ning rakendavad erinevaid privaatsust ja andmeturvalisust tõstvaid turvameetmeid. Kuigi andmete varastamisega seotud riski on võimatu täielikult elimineerida, on võimalik viia riskid infoturbe juhtimissüsteemi parimaid praktikaid kasutades aktsepteeritava miinimumini. Kasutatud Allikad: http://majandus24.postimees.ee/2768198/kas-teha-ise-voi-osta-sisse
Intsidendihaldus Finantshaldus Teenustasemete haldus Teenindussoovi täitmine Teenuseportfelli haldus Mahuhaldus Probleemihaldus Nõudluse juhtimine Käideldavuse haldus Juurdepääsude haldus IT teenuste talitluspidevuse haldus Infoturbe haldus Tarnijate haldus Funktsioonid: Kasutajatugi (Service Desk) Rakenduste haldus Teenuse üleminek Infrastruktuuri haldus Ülemineku planeerimine ja tugi IT halduse juhtimine Muudatusehaldus Teenuse vara- ja konfiguratsioonih. Reliisi ja paigaldamise haldus
1. Organisatsiooni IT-strateegia, olemasolevate turvaprobleemide ja tulevikunõuete hindamist. 2. Organisatsiooni turvapolititika ja -standardite ärivajaduste nõuetele vastavuse analüüsi ja ülevaatust individuaalselt kohandatud dokumentatsiooni turvastandardite kohta. TURVALISUSE TEHNOLOOGILISED ASPEKTID Äriteegvusele vastava turvapoliitilise ja -standardid tagatakse tehnoloogilise reguleerimise abil. Selle põhiaspektid on järgmised: 1. Infoturbe keskne haldus. 2. Mitmetasandiline viirusetõrje (tööjaamades ja serverites, pääsupunktides). 3. Internetist tuleva andmevoo filtreerimine. 4. Võrgus ja süsteemipäevikutes olevate ebaharilike operatsioonide korrapärane automaatanalüüs. 5. Võrgu välispiiri ja sisesüsteemide regulaarne tehnoloogiline turvaaudit. HOOLDUSPROTSESSI ASPEKTID IT-hoolduse protseduurid kaasaegses ettevõttes peaksid tuginema ITIL'il (Information Technologies
igaüks juurde pääseda ning need peaksid olema füüsiliselt kaitstud ka sabotaazi vastu. Täiendavad kontrollküsimused: - Millistes IT-ruumides võivad esineda kõrgenenud temperatuurid? - Kas toimub kasutuses olevate kliimaseadmete regulaarne hooldus? - Millised on IT-ruumis lubatud temperatuuri ja õhuniiskuse piirväärtused? - M 1.28 (M) Puhvertoiteallikas (UPS) M 1.28 Puhvertoiteallikas Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht, infoturbe osakond Vastutav elluviimise eest: administraator, tehnikaosakond Puhvertoiteallikas sildab lühiajalisest voolukatkestusest või säilitab vooluga varustatust nii kauaks, et on võimalik ühendatud arvutite ettenähtud korras mahalaadimine. See on eriti otstarbekas alljärgnevatel juhtudel: - kui arvuti vahemällu salvestatakse suurel hulgal andmeid (nt Cache võrguserveris), enne kui need mittekaduvatele mäluseadmetele salvestatakse.
KOKKUVÕTE Arvutiviirustest soovivad hoiduda kõik arvutikasutajad. Arvutiviiruseid on väga erinevaid ja neid on tohutult palju ning paraku on nad arvutimaailmas laialdaselt levinud. Seetõttu võib internetis arvutiviirusetõrjest rohkesti materjale leida. Andmeturbega on teema väga lähedalt seotud, sest kui kasutatakse arvuteid, milles on mingisugune arvutiviirus, siis võib esineda andmete terviklus-, käideldavus- ning konfidentsiaalsuskadu. Kuid andmeturbe ehk infoturbe all mõeldaksegi komplekti kolmest eelnevalt nimetatud omadusest. Arvutiviirused ohustavad andmeturbe kõiki kolme eelnevalt nimetatud omadusi. Andmeturbe seisukohalt oleks esimene eeldus see, et arvuti, milles olevaid andmeid turvatakse, oleks arvutiviirustest puhas. Vastasel korral on andmete turve praktiliselt võimatu, sest puudub täielik kontroll andmete puutumatuse üle. Seega arvutiviirustest hoidumine on andmeturbes äärmiselt tähtsal kohal.
etalonturbe süsteem ISKE rakendusjuhend". Tähelepanu tuleb pöörata ISKE poolt pakutud hindamisjuhistele, mille kohaselt erineb hindamine üldise hädaolukorra riskianalüüsist. Mitmesuguste analüüsimeetodite aluseks võivad olla erinevad mudelid ning ISKE poolt pakutud turvamudel põhinebki andmete kolme omaduse - käideldavuse, tervikluse ja konfidentsiaalsuse - tagamisel. ISKE analüüs sisaldab turvaklassi, turbeastmeid ja tüüpmooduli tähiste lahtreid. Ka infoturbe poliitikas on kasutusel erinevaid riskianalüüsi meetoteid (etalonturbe metoodika, mitteformaalne metoodika, detailne riskianalüüs ja segametoodika). Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 "Infosüsteemide turvameetmete süsteemiga" on riigi ja kohaliku omavalitsuse andmekogudele ettenähtud rakendada etalonturbe metoodikat, mida on kirjeldatud ISKE rakendusjuhises. Joonis 3.7 Turvaosaklassid ja turvaosaklasside määramise nõuded (ISKE
litsentsilepingud) 22. Milles tunned legaalset tarkvara - *Jaemüük *Litsentsileping *Originaalkettad *Käsiraamat *Registr.kaart *Spets.autentsustunnistus COA *Mitmed marketingimaterjalid *Karbi spets tähistus...hologramm, kleeps 23. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) avaldatav infoturbe standard – IT Baseline Protection Manual 24. Kellele on ISKE kohustuslik?ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. 25. ISKEs on kolm turbeastet: L (Low) – madal turbeaste *M (Medium) - keskmine turbeaste *H (High) – kõrge turbeaste 26. Riigi Infosüsteemi Amet (RIA) koordineerib riigi infosüsteemi arendamist ja haldamist,
Selline grupp inimestest koosneb inimestest, kes ei ole teadlikud riskidest ja seetõttu eiravad turbemeetmeid, mida ühe Wifi võrgu loomisel peab arvestama. Selleks võivad olla ka inimesed, kes on niivõrd pimestatud juhtmeta võrgu võlust, et on nõus enda ettevõtte piiratud poliitikaga võrgu turvalisuse ohverdama, lisades sinna näiteks enda Wifi saatja. Sellised tegevused võivad ühele firmale osutuda väga kulukaks. Seetõttu on iga ettevõtte kohustus koolitada enda töötajad infoturbe kohta. Neil tuleb luua enda ettevõttesisene infoturbepoliitika ja ka töötajad sellega kurssi viia ja järgimist jälgida. Lisaks tuleb neil tutvustada ka poliitika rikkumisest tulenevaid tagajärgi. Kahtlased pöörduspunktid Nendeks võivad olla Wifi võrgud, mis on üles seatud tundlike andmete kogumise eesmärgiga. Need võivad olla seatud kuhugi piirkonda, kus leviala ulatub näiteks mõne ettevõtte arvutikasutajateni, või miks mitte ka kodukasutajateni ja on jäetud
ohtu kaotada kontroll teenuse üle (43%) ning teenuse kvaliteedi langust (35%). Paljudele ettevõtetele osutub suurimaks riskiks konfidentsiaalsus, mis väljendub nii brändi, kliendiandmete kui muude ärisaladuste kaitses. EY uuringu kohaselt on teenusepakkujad konfidentsiaalsuse olulisusest teadlikud ning rakendavad erinevaid privaatsust ja andmeturvalisust tõstvaid turvameetmeid. Kuigi andmete varastamisega seotud riski on võimatu täielikult elimineerida, on võimalik viia riskid infoturbe juhtimissüsteemi parimaid praktikaid kasutades aktsepteeritava miinimumini. Kasutatud Allikad: http://majandus24.postimees.ee/2768198/kas-teha-ise-voi-osta-sisse Kas Teha ise või osta sisse? Tiheneva konkurentsi keskkonnas on ettevõtted üha enam avatud outsourcing’ule ehk teenuste sisseostule, nähes selles eelkõige head võimalust kulude kärpimiseks. EY uuring kinnitab, et Euroopas on väliste teenusepakkujate kasutamine jätkuvalt tõusev trend
_____________ ISKE rakendusjuhendi kataloog: november 2011 37 B: Tüüpmoodulid ___________________________________________________________________________ _____________ - G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu Konfidentsiaalsus on nõue, et info tohib olla kättesaadavaks tehtud ainult õigustatud isikutele. Integreerituse ja kättesaadavuse kõrval on salajasus üks infoturbe põhiväärtusi. Infot, mida on vaja konfidentsiaalsust silmas pidades kaitsta (nagu nt paroolid, isikuandmed, firmade ja ametiasutuste salajane info, arenguandmed), ähvardab loomupäraselt oht, et tehniliste rikete, hoolimatuse või tahtliku tegevuse tulemusel võib selle konfidentsiaalsus kaduda. Konfidentsiaalsele infole võib juurde pääseda erinevaid teid pidi, näiteks:
Nõrkus on vara või vararühma nõrk koht, mida saab vaadeldav oht ära kasutada. Risk on võimalus, et oht kasutab ära mingi vara või vararühma nõrkuse ja põhjustab varale kahju. Turvamudel Turvaülesande skeemielemendid Turvameede- (safeguard, security control) on riski kahandava tegevus, protsedur, protsess või mehhanism. Jääkrisk- risk, mis säilib pärast turvameetmete rakendamist. Infoturbe komponendid Turvalisus on infovarade kolme omaduse tagamine: Käideldavus- varade takistusteta kättesaadavus volitatud kasutajatele (isikud ja alamsüsteemid). Varade kasutuskõlblikus. Terviklus- varasid ei ole volitamatult muudetud. Varad pärinevad autentsest allikast. Konfidentsiaalsus- varad on kättesaadavad ainult volitatud kasutajatele (isikud ja alamsüsteemid). Turavalisuse täiendavad omadused Töökindlus.-ettenähtud käitumise ja tulemuste järjekindlus.
arvuti ja serveri vahel. Seanss on harilikult üks võrguprotokolli kihtidest (näit. Telnet, FTP) Kolme kätlemise reegel. Protsess, millega kaks seadet alustavad andmevahetust. Kätlus algab sellega, et üks seade saadab teisele sõnumi, millega teatab soovist avada ühenduskanal. Seejärel vahetavad seadmed omavahel talitlusandmeid, et kooskõlastada kasutatav andmevahetusprotokoll. Kätluse järel algab tegelik andmevahetus ESITLUSKIHT SSL Infoturbe protokoll üle Interneti edastatavate andmete turvalisuse tagamiseks. Sõna "sokkel" viitab sellele, et andmete edasi-tagasi saatmine klient- ja serverprogrammivahel toimub läbi soklikihi programmi ja meenutab elektripirni pesasse sisse- ja väljakeeramist. SSL kasutab RSA kahe võtmega (avalik ja privaatvõti) krüpteerimissüsteemi. RSA süsteemi juurde kuulub ka digitaalne sertifikaat e. isikutunnistus. SSL protokolli töötas välja Netscape ja seda
rahvusvaheline tunnustamise metoodika ja infrastruktuur. Esimene on protsesside juhtimisele orienteeritud, näiteks ekspluatatsioon ja hooldus on paremini kajastatud. Teine on orienteeritud kvaliteedihaldusele, näiteks käsitletakse kvaliteedipoliitikat, kontrolli- ja testimisvahendite ohjet. · tarkvaraga seotud tööprotsesside kujundamiseks, juhtimiseks ja korrastamiseks (ISO/IEC 12207, ISO/IEC 15288) · kvaliteedihalduseks (ISO/IEC 9126, ISO/IEC 90003) · infoturbe haldamiseks (ISO/IEC 27000 seeria) · teenuste loomiseks ja haldamiseks (ISO/IEC 20000 seeria) · eestikeelse tarkvara loomisel (EVS 8) · IT terminoloogia korrastamiseks (ISO/IEC 2382 seeria) · dokumenteerimiseks (ISO/IEC 6592, ISO/IEC 9294 jt) 28. Infosüsteemi audit, selle eesmärgid, auditeeritavad objektid, maht, audiitor, riskid, korraldus, infrastruktuur, COBIT Infosüsteemi audit on mitmekülgne ülevaade ja hinnang auditeeritava ettevõtte, asutuse või
tuleb reguleerida nende kasutamise, tekkimise ja säilitamise kord ning volitatud isikute juurdepääsuõigused ja kohustused. Konfidentsiaalsete andmete puhul on tihti küsimus selles, et juurdepääsu neile omab volitatud isikute kõrval ka süsteemiadministraator, kes neid oma töös otseselt ei kasuta, kuid kellel on tehnilistel kaalutlustel juurdepääs kõigile süsteemi ressurssidele. Alljärgnevad alapeatükid käsitlevadki mitmesuguseid andmekaitse ja infoturbe praktilisi aspekte. Tasub toonitada, et siintoodut ei saa kindlasti pidada ammendavaks materjaliks, millest igapäevatöös lähtuda, niisiis tasub asjast huvitatutel tutvuda lisamaterjalidega. Mõned viited on toodud lõpus. Kohtvõrgu turve ja klient-server mudel Tihti räägitakse eraldi füüsilistest, organisatsioonilistest ja infotehnoloogilistest turvamehhanismidest, kuid kohtvõrgu projekteerimisel ja arendamisel on otstarbekas arvesse
Selleks ongi vaja usaldusväärset võtmejaotuskeskust nende vahele. Vaatleme juhtu: A ja B vajavad sümmeetrilist jagatud võtit. VJK server jagab iga registreerinud kasutajaga erinevat võtit. A ja B teavad ainult sümmeetrilisi võtmeid: KA , KB . Kui A soovib B-ga ühendust, kontakteerub ta VJK-ga ning saab sealt sessioonivõtme R1 ja KB (A,R1). A saadab viimase B-le. B eraldab R1 ning nüüd omavad nad mõlemad sessioonivõtit R1. //// ==> Näiteks protokoll: Kerberos - Infoturbe protokoll kasutajate turvaliseks autentimiseks mitteturvalistes võrkudes. Kerberos on ette nähtud kasutamiseks peamiselt klient-server arhitektuuriga võrkudes ning tagab vastastikuse autentimise - nii kasutaja kui teenus veenduvad teineteise autentsuses. Kerberos kaitseb pealtkuulamis- ja kordusrünnete eest. Kerberos ei tegele juurdepääsu volitamisega teenustele ja andmebaasidele, vaid teeb ainult sisselogimisel kindlaks kasutaja identiteedi ja kasutab seda siis kogu seansi vältel
Selleks ongi vaja usaldusväärset võtmejaotuskeskust nende vahele. Vaatleme juhtu: A ja B vajavad sümmeetrilist jagatud võtit. VJK server jagab iga registreerinud kasutajaga erinevat võtit. A ja B teavad ainult sümmeetrilisi võtmeid: KA , KB . Kui A soovib B-ga ühendust, kontakteerub ta VJK-ga ning saab sealt sessioonivõtme R1 ja KB (A,R1). A saadab viimase B-le. B eraldab R1 ning nüüd omavad nad mõlemad sessioonivõtit R1. //// ==> Näiteks protokoll: Kerberos - Infoturbe protokoll kasutajate turvaliseks autentimiseks mitteturvalistes võrkudes. Kerberos on ette nähtud kasutamiseks peamiselt klient-server arhitektuuriga võrkudes ning tagab vastastikuse autentimise - nii kasutaja kui teenus veenduvad teineteise autentsuses. Kerberos kaitseb pealtkuulamis- ja kordusrünnete eest. Kerberos ei tegele juurdepääsu volitamisega teenustele ja andmebaasidele, vaid teeb ainult sisselogimisel kindlaks kasutaja identiteedi ja kasutab seda siis kogu seansi vältel
IT lepingud võivad erinevad muudest lepingutest, selle poolest, et: lisaks üldisest lepinguõigusest tulenevate sätetega on neis ka tööde tegemiseks piisavalt täpne tehniliste tingimuste kirjeldus. Missugusel juhul käitub IT spetsialist vastavalt üldtunnustatud eetikakoodeksile, kui märkab kolleegide väga hästi tehtud tööd? Tunnustab tehtud tööd avalikult, tutvustab selle tulemusi laiemalt ning seab endale eesmärgi saavutada sarnaseid tulemusi Infoturbe põhieesmärkideks organisatsioonis on tagada: tagada organisatsiooni kõikide infovarade käideldavus, terviklikkus ja konfidentsiaalsus Järjesta infosüsteemid turvariskide suuruse järgi alates kõrgema riskiastmega süsteemist: 2,3,1 CE märgistusega deklareerib elektroonikaseadme tootja, et toode vastab Euroopa Liidus kehtestatud: isikute tervise ja ohutuse kaitse, elektromagnetilise ühilduvuse ja raadiospektri kasutamise nõuetele
Koostatakse mõjude maatriks (IT teenused ühel küljel ja teisel CI-d) -> kriitiliste CI-de ja haprate IT teenuste tuvastamiseks CI – Configuration Item Komponent, mida on vaja hallata IT teenuse osutamiseks. Tavaliselt IT teenused, riistvara, tarkvara, ehitused, inimesed ja ametlik dokumentatsioon. Neid haldab konfiguratsioonihaldus. CIA – Confidentiality, Integrity, Availability Konfidentsiaalsus, terviklikkus ja käideldavus. Mudel, mille eesmärk on suunata organisatsiooni infoturbe poliitika korraldamist. Cluster Klaster on serveritest ja muudest ressurssidest koosnev rühm, mis funktsioneerib ühe tervikliku süsteemina ja võimaldab hõlpsat juurdepääsu, mõnel juhul ka koormuse tasakaalustamist ja paralleeltöötlust. CMDB – Configuration Management Database Andmebaas, kus hoitakse konfiguratsiooni kirjeid läbi kogu nende elutsükli. Konfiguratsioonihalduse süsteem peab üleval ühte või mitut.
rajada jagatud salajast võtit üle võrgu. Selleks ongi vaja usaldusväärset võtmejaotuskeskust nende vahele. Vaatleme juhtu: A ja B vajavad sümmeetrilist jagatud võtit. VJK server jagab iga registreerinud kasutajaga erinevat võtit. A ja B teavad ainult sümmeetrilisi võtmeid: KA , KB . Kui A soovib B-ga ühendust, kontakteerub ta VJK-ga ning saab sealt sessioonivõtme R1 ja KB (A,R1). A saadab viimase B-le. B eraldab R1 ning nüüd omavad nad mõlemad sessioonivõtit R1. 63. Kerberos Infoturbe protokoll kasutajate turvaliseks autentimiseks mitteturvalistes võrkudes. Kerberos on ette nähtud kasutamiseks peamiselt klient-server arhitektuuriga võrkudes ning tagab vastastikuse autentimise - nii kasutaja kui teenus veenduvad teineteise autentsuses. Kerberos kaitseb pealtkuulamis- ja kordusrünnete eest. Kerberos ei tegele juurdepääsu volitamisega teenustele ja andmebaasidele, vaid teeb ainult sisselogimisel kindlaks kasutaja identiteedi ja kasutab seda siis kogu seansi vältel
dokumentide eelnõude erinevate versioonide haldamine; dokumendiplankide ja -põhjade kasutamise võimaldamine; dokumentide kirjeldamine; dokumentide täitmise kontrollimine; dokumentide säilitustähtaegade haldamine; arhiveerimine jms. EDHS tagab teabe kiirema kättesaadavuse; kokkuhoiu ajas, mida kulutatakse dokumentide loomiseks või teabe otsimiseks; juurdepääsu suuremale hulgale teabele; parema tööprotsesside sujuvuse; parema infoturbe; dokumentide juurdepääsu kontrolli (kontrolljälg); kiirema teabevahetuse. Dokumendihaldussüsteeme Eestis Postipoiss Amphora Alfresco/Delta Webdesktop OpenText SP põhised lahendused Väljatöötamise ja juurutamise metoodika EVS ISO 15489-1:2004 näitel A. Lähteuuring Liigitusskeemi koostamisel Määratletakse dokumentidega seotud probleemid. Antakse hinnang asutuse dokumendihalduse nõrkadele ja tugevatele külgedele. Hinnatakse probleemide lahendamise teostatavust ja riske. B
· IT arendusprojektide juhtimine · IT personali juhtimine (vajadus, oskused, motivatsioon) · IT infrastruktuuri haldamine - IT teenuste juhtimine · Kasutajatoe ja koolitusvajaduste juhtimine · Infosüsteemide monitooring (audit) - vajaduste ja mõõdikute määratlemine infosüsteemidele ja antud nõuetele vastava monitooringusüsteemi valimine ning juurutamine · Infoturbe juhtimine Infotehnoloogia juhi V taseme kutsestandardi järgi on IT juhi töö eesmärgiks on ettevõtte infotehnoloogilise ja sidekontseptsiooni loomine ning konkurentsivõimet tagavate ja toetavate IT- ja sidealaste lahenduste väljatöötamise ning juurutamise juhtimine pidevalt muutuvas ja kõrge konkurentsiga keskkonnas [16]. Ta vastutab ettevõtte IT strateegia ja äristrateegia kooskõlla viimise, infosüsteemi talitluspidevuse, informatsiooni
dokumentide kirjeldamine; dokumentide täitmise kontrollimine; dokumentide säilitustähtaegade haldamine; arhiveerimine jms. EDHSi kasutamise läbi saavutab asutus: teabe kiirema kättesaadavuse; kokkuhoiu ajas, mida kulutatakse dokumentide loomiseks või teabe otsimiseks; juurdepääsu suuremale hulgale teabele; parema tööprotsesside sujuvuse; parema infoturbe; dokumentide juurdepääsu kontrolli (kontrolljälg); kiirema teabevahetuse. EDHSi kasutuselevõtmine seab suuri nõudmisi dokumendisüsteemi kasutajate oskustele. 11 „Model Requirements for the Management of Electronic Records”, 2008, http://www.DM-Network.org/moreq2 või http://ec.europa.eu/transparency/archival_policy. 12 http://www.riik.ee/dhp/publ/FNoue_rk1.PDF ja http://www.riik.ee/dhp/publ/Juhend_rk1.PDF.
olles kaitstud pealtkuulamise või sõnumite rikkumise ja võltsimise eest. TLSi kasutamisel toimub nii otspunktide autentimine kui ka andmeedastus krüpteeritult. Harilikult autenditakse ainult serverit ja klient jääb autentimata. Kui soovitakse autentida ka klienti, tuleb kliendile tagada PKI (Public Key Infrastructure) kasutusvõimalus. Andmeedastusel kasutatakse sümmeetrilist krüptograafiat. SSL (Secure Sockets Layer) - (Eesti k. -turvasoklite kiht) Infoturbe protokoll üle Interneti edastatavate andmete turvalisuse tagamiseks. Andmete edasi-tagasi saatmine klient- ja serverprogrammi vahel toimub läbi soklikihi programmi. SSL kasutab RSA kahe võtmega (avalik ja 38 privaatvõti) krüpteerimissüsteemi. SSL protokolli kasutatakse laialdaselt näiteks krediitkaardiinfo edastamiseks elektrooniliste äritehingute puhul Protokoll tomib järgnevalt:
Vaatleme juhtu: A ja B vajavad sümmeetrilist jagatud võ tit. Võtmejaotussüsteemi server jagab iga registreerinud kasutajaga erinevat võtit. A ja B teavad ainult sümmeetrilisi võ tmeid: KA , KB . Kui A soovib B-ga ühendust, kontakteerub ta võtmejaotussüsteemiga ning saab sealt sessioonivõtme R1 ja KB (A, R1). A saadab viimase B-le. B eraldab R1 ning nüüd omavad nad mõlemad sessioonivõtit R1. Näiteks protokoll Kerberos - Infoturbe protokoll kasutajate turvaliseks autentimiseks mitteturvalistes võrkudes. Kerberos on ette nähtud kasutamiseks peamiselt klient-server arhitektuuriga võrkudes ning tagab vastastikuse autentimise - nii kasutaja kui teenus veenduvad teineteise autentsuses. Kerberos kaitseb pealtkuulamis- ja kordusrünnete eest. Kerberos ei tegele juurdepääsu volitamisega teenustele ja andmebaasidele, vaid teeb ainult sisselogimisel
annaabi.ee 
