Tallinn, AS Cybernetika V. Praust. Digitaalallkiri -- tee paberivabasse maailma. Tallinn, ILO Sügis 2006 Tallinna Polütehnikum 3 Andme- või infoturve? Andmeturve (data security) andmebaaside ajastu andmetöötlus; Infoturve (information security) infosüsteemide ajastu infotöötlus; Teadmusturve (knowledge security) teadmussüsteemide ajastu teadmustöötlus. Sügis 2006 Tallinna Polütehnikum 4 Mis on infoturve? Infoturve on infovarade turvalisuse tagamine Infovarad on infosüsteemi osad, millel on väärtus Turvalisus on süsteemi võime kaitsta oma objektide terviklust ja konfidentsiaalsust Sügis 2006 Tallinna Polütehnikum 5 Turvalisus Infovarade kolme omaduse tagamine: käideldavus (availability) varade takistusteta kättesaadavus volitatud kasutajatele (isikud ja alamsüsteemid) varade kasutamiskõlblikkus (õige, aktuaalne)
· dokumendid, rajatised, kommunikatsioonid... saavutamiseks ja säilitamiseks. intervjuud võtmeisikutega ja/või 11. Infovarade väärtus tekib milliste põhiomaduste IT-partneritega, 29. Mis on infovarade inventuur, too näiteid osade kaudu? kohta Infovarade väärtus tekib valdavalt järgmiste · IT süsteemide ülevaatus kohapeal TODO põhiomaduste kaudu: Tervikklikus, Konfidentsiaalsus. Käideldavus, või kaugelt, 30
Informatsioon ja infotöötlus Maailm: mateeria- informatsioon-energia Infornaatika- riistvara-andmevara-tarkvara Inimene: Keha-hing-mõistus Erialase tarkvara eesssmärgid: Töö, äri ja tarbimise varustamine infoga Äri-töö ja tarbimisprotsesside kiirendamine ja parendamine info ja infotöötluse läbi. Konkurentsieelisele loomine uute IT-põhiste äri ja tööprotsesside abil. Organisatsiooni infovarade efektiivne ära kasutamine. Müüsüsteemid POS Üldine riistvara Üldine arvuti tarkvara nt opreatsioonisüsteem Müügitakrvara POS-tarkvara Müügiriistvara POS-riistvara Muu spetsiifiline riistvara. Varane tarkvara 1973 augustis tutvuustas IBM oma tooteid IBM 3650 ja 3660 Store systems, mis oli sisuliselt esimene müügisüsteem, mis koosnes kassas töötamiseks kohandatud arvutitest. Süsteemi oli võimalik ühendada maksimaalselt 128 kassatöökohta.
4. Turvameetmed 5. Volitustõendid 6. Krüptograafia 7. Digitaalallkiri ja selle kasutamine Andme- või infoturve? Andmeturve (data security) · andmebaaside ajastu andmetöötlus; Infoturve (information security) · infosüsteemide ajastu infotöötlus; Teadmusturve (knowledge security) · teadmussüsteemide ajastu teadmustöötlus. Mis on infoturve? · Infoturve on infovarade turvalisuse tagamine. · Infovarad on infosüsteemi osad, millel on väärtus. · turvalisus on süsteemi võime kaitsta oma objektide terviklust ja konfidentsiaalsust. Turvalisus Infovarade kolme omaduse tagamine (parameetrid): 1) Käideldavus (availably) · Varade takistuseta kättesaadavus valitud kasutajatele (isikud ja alamsüsteemid). · varade kasutamiskõlblikkus (õige, aktuaalne). 2) terviklus (integrity)
ETALONTURBE TÄIENDATAVUS Süsteemi ISKE täiendatud kuju ilmub uue versioonina kord aastas, sõltuvalt allikmaterjali uute versioonide avaldamisest. Iga järgmine versioon võib sisaldada uusi tüüpmooduleid koos vastavate turvameetmetega ja/või uusi turvameetmeid senistele tüüpmoodulitele. Süsteemi uue versiooni ilmumisel vaatab infoturbe spetsialist läbi täiendused moodulite loetelus ja moodulite turvaspetsifikatsioonides ning korraldab uutele moodulitele vastavate infovarade turbe ja võimalikud senistele moodulitele vastavate varade turvameetmeetmete täiendused. TURBEASTMED ISKEs on kirjeldatud kolm turbe taset madal (L), keskmine (M) ja kõrge (H). Vastav turbetase määratakse andmetele turvaklasside (turvaosaklasside) määramise kaudu. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe tervik- likkusest, aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede lubatavast kaalukusest.
hoiatusteade · Silumisvahendite teated tarkvara väljatöötamisel Riskihaldusmeetodika olemus Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenöosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse. · Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse · Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud Detailne riskianalüüs 1. Hinnatakse jääkrisk. Selleks kasutatakse kas kvalitatiivset või kvantitatiivset riskianalüüsi metoodikat 2. Letiakse valdkonnad,kus jääkriski vaja vähendada 3. Rakendatakse nendes valdkondades vajalikke turvameetmeid 4. Leitakse uus jääkrisk ja hinnatakse, kas see on piisaval tasemel (võrrelduna varade väärtuse ja turvameetmete maksumusega) 5
moraalset kahju ettevõttele. 4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega reguleeritavate andmekogude pidamisel kasutatvate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H) ning meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamise teel keskastme omadele.
2. ISKE RAKENDUSJUHENDI ÜLESEHITUS 2.1 Sissejuhatus ja rakendamise protsessi kirjeldus Rakendusjuhendi peatükkides 1 kuni 3 kirjeldatakse ISKE rakendusjuhendi ja etalonturbe kontseptsiooni, kuidas kasutada rakendusjuhendit, määrata andmetele turvaklasse, turbeaste ja kuidas rakendada turvameetmeid. 2.2 Moodulid Rakendusjuhendi peatükk 4 sisaldab tüüpmoodulite kirjeldusi. Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel. Iga tüüpmooduli kirjelduses on toodud ohtude ja rakendatavate turvameetmete loetelu. Tüüpmoodulid on jagatud viide gruppi: · B1 - üldkomponendid · B2 - infrastruktuur · B3 - IT-süsteemid · B4 - võrgud · B5 - IT-rakendused 2.3 Ohtude kataloog Rakendusjuhendi peatükk 5 sisaldab ohtude kataloogi
· Andmete digiallkirjaga varustamine, mis seob ta loojaga matemaatiliste võtete abil. On turvalisim viis ja võimalik teha võltsimiskindlaks. On uudne ja kasutatakse kahjuks veel vähe 22. Digitaalandmete konfidentsiaalsuse tagavad: · nende hoidmine turvalises kohas ja vastav asjaajamiskord · andmete edastamisel ja hoidmisel ebaturvalises kohas nende krüpteerimine, millele peab lisanduma võtmehaldus 23. infovarade turvaohud · Oht (threat) on potentsiaalne (info)turbe rikkumine Oht on seega kas: · potentsiaalne tervikluse rikkumine · potentsiaalne käideldavuse rikkumine · potentsiaalne konfidentsiaalsuse rikkumine 24.Ohtude liigitamine - Ohte on võimalik liigitada: · Turvalisuse komponendi järgi (mida ohustab) · Allika järgi (mis põhjustab) · Kahjustuse olulisuse seisukohalt (kui suure kahju tekitab) 25
Infosüsteemide turvameetmete süsteemi poolt kasutusse võetud standardiks on ISKE. ISKEt kirjeldatakse kui infosüsteemide kolmeastmelist etalonturbe süsteemi, mis kasutab Saksamaa BSI poolt avaldatavat infoturbe standardit IT Baseline Protection Manuali. Selle eesmärgiks on tagada eelkõige riigi ja kohaliku omavalitsuse infosüsteemides töödeldavatele andmete ning nendega seotud infovarade turvalisus ent pole mõeldud riigisaladust käitlevate infosüsteemide turbeks. ISKE on kasutamiseks kättesaadav ka äriettevõtetele. Süsteem ise kirjeldab turvet vajavaid infovarasid tüüpmoodulite abil ja määrab igaühele eraldi turvaklassi. Etalonturve on turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks. Etalonturve on tüpiseeritud minimaalne turvameetmestik, mis tuleb rakendada infovaradele
ISO/IEC 20000 on teenusehaldust käsitlevate standardite pere. Need sisaldavad teenuse nõuetele vastavate ning nii kliendile kui ka teenuseosutajale väärtust pakkuvate teenuste projekteerimist, üleminekut, tarnimist ja täiustamist. ITIL (IT Infrastructure Library) on IT teenuste haldamise parima praktika kogum, mida saab kasutada ISO/IEC 20000-1 nõuete rakendamiseks. Infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE) põhineb infovarade turbeastme määramisel, varade kirjeldamisel tüüpmoodulite abil ning turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele. ISKE rakendamine sisaldab järgmisi tegevusi: 1. Infovarade inventuur 2. Andmekogude kaardistamine ja turvaklasside määramine 3. Muude infovarade turvaklasside määramine 4. Turvaklassiga infovarade turbeastme määramine 5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel 6. Tüüpmoodulite spetsifitseerimine 7
23. Kõrgkooliraamatukogu määratlus/definitsioon. Library of an institution of higher education Raamatukogu, mille põhifunktsiooniks on teenindada üliõpilasi, akadeemilist koosseisu ja spetsialiste ülikoolides ning teistes kõrgharidust andvates õppeasutustes Kõrgkooliraamatukogu võib teenindada ka kogu elanikkonda 24. Nimeta Rahvusraamatukogu peamisi ülesandeid rahvusraamatukoguna. Rahvuslike kultuuriväärtuste ja infovarade kogumine, säilitamine ja kättesaadavaks tegemine Eesti keeles ja Eestis ilmunud teavikute ning Eestit käsitlevate või Eesti kohta informatsiooni sisaldavate teavikute kogumine, alaline säilitamine ja kättesaadavaks tegemine Koostab rahvusbibliograafiat ja koondkatalooge Rahvusvaheline koostöö (Säilitab ja arendab suurt ja esinduslikku väliskirjanduse kogu - ka välismaal ilmunud oma maad käsitlevad teavikud)
Konspekt Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas?
Puhastusvahendid ei tohi arhivaale kahjustada. 14. Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20.12.2007 määrusega nr 252 ,,Infosüsteemide turvameetmete süsteem" sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. Nimistu ja selle koostamine Arhiivi kirjelduste kogum. Nimistu on arhivaalide peamine otsija juurdepääsuvahend avalikus arhiivis. Arhiivi kirjeldus esitatakse üljuhul ühes nimistus.Keerukale ja mahukale arhiivile võib koostada mitu nimistut. Mitme nimistu kasutusele võtmise aluseks on põhjalikud muutused arhiivimoodutaja ülesannetes, organisatsioonis ja arhiivi koosseisus.
Puhastusvahendid ei tohi arhivaale kahjustada. (14) Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteem” sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. § 29. Nõuded arhivaalide kasutamisele (1) Hoidla ja arhivaalide kasutamine ning arhivaalide turvalisuse tagamine sätestatakse avaliku arhiivi sisemist töökorraldust reguleeriva õigusaktiga. (2) Eriti väärtuslikust, tihti kasutatavast või halvas füüsilises seisukorras arhivaalist valmistatakse tagatiskoopiaid ja kasutuskoopiaid. Tagatiskoopia valmistatakse viisil, mis tagab koopia pikaajalise säilimise.
paha omada soovitusi eelmistelt töökohtadelt ning veidi vestelda eelmiste tööandjatega, et inimese usaldatavusele kinnitust saada. Ka kõigi teiste puhul tuleb silmas pidada, et tehnilised ja ametialased oskused ei ole ainukesed kriteeriumid, mille järgi töötajat hinnata; nende kõrval on oluline ka usaldatavus, eetilisus ja asutuse missiooni mõistmine ning soov selle elluviimisele kaasa aidata, muuhulgas ka turvanõudeid järgides. Andmete osas tuleb anda hinnang töös kasutatavate infovarade vajalikele turvalisus- nõuetele. Mõnel juhul osutub otstarbekaks andmete klassifitseerimine näiteks konfident- siaalsusgruppidesse - osa andmetest peab jääma varjatuks, kuid teiste puhul, vastupidi, on oluline, et neid saaks nt. veebi kaudu kasutada kogu maailm või asutuse töötajatest laiem kasutajaskond. Samuti võib juhul, kui andmete puhul on oluline nende terviklus või kättesaadavus, kasutada vastavat jaotust.
Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas?
korraldab infoturbega seotud tegevusi ja käsitleb Eesti arvutivõrkudes toimuvaid turvaintsidente. RIA konsulteerib avalike teenuste osutajaid, kuidas oma infosüsteeme nõuetekohaselt hallata ja teostab nende üle järelevalvet. Lisaks on RIA Euroopa Liidu struktuuritoetuste rakendusüksus. RIA on Majandus- ja Kommunikatsiooniministeeriumi haldusalas. Ameti põhiülesanded on: 1) järelevalve teostamine elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete alalise rakendamise üle; 2) riigi infosüsteemi ja Eesti kriitilise informatsiooni infrastruktuuri infoturbega seotud tegevuste korraldamine; 3) Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemine; 4) järelevalve teostamine riigi infosüsteemi haldamist reguleerivatest õigusaktidest tulenevate nõuete täitmise üle; 5) riigi infosüsteemi haldussüsteemi pidamine; 6) riigi infosüsteemi andmevahetuskihi pidamine (arendamine ja haldamine);
Põhimõisted, eesmärgid, ülevaade, millal ja kuidas kasutada: ISO/IEC 20000 seeria ja ITIL, ISO/IEC 27000 seeria ja ISKE, RUP. ISO/IEC 20000- teenusehaldust käsitlev standard. ITIL- it teenuste haldamise parima praktika kogum, mida saab kasutada ISO 20000 nõuete rakendamiseks. Infotehnoloogia haldamise tavade ja protsesside standardite kogu. ISO/IEC 27000- Sisaldab infoturbe halduse süsteeme. ISKE- infosüsteemide kolmeastmelise etalonturbe süsteem. põhineb infovarade kaardistamisel, nende turbeastmete määramisel, tüüpmoodulite kasutamisel, turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele ning turvameetmete rakendamisel. RUP- iteratiivne tarkvaraarenduse raamistik. Testid põhinevad spetsifikatsioonil. 62. Kvaliteedinäitajate näiteid, väärtuse määramispiirkond, parim väärtus Näited- arvestatakse vaid lõpliku koodi-vahepealseid versioone ei loeta. Arvestatakse
Infoturva-ala korraldamine (infoturva võtmerollid) Üldine infoturvapoliitika paikapanek organisatsioonis: · näitab ettevõtte juhtkonna tuge ja kaasabi · defineerib infoturva-ala olulisuse · defineerib rollid ja ülesanded · määrab kindlaks vastutuse Infosüsteemi turvamise võtmerollid · Infoturvajuht - vastutab infoturva korralduse eest. Info/(andme)turbe spetsialist, kellel on juhtkonda nõustav funktsioon · Infovarade omanik - kas andmete, süsteemide omanik. Vastutus infosüsteemi toimimise eest, peab suutma defineerida nõudeid andmete kättesaadavusele ja määrama kasutusõigused · Infosüsteemi administraator - viib omaniku otsused täide · Kasutaja - vastutab oma tegude eest · Seiraja - vaatab eksperdina asjad üle ja raporteerib tulemustest juhtkonnale. Ta omab tööplaani ja kontrollib infoturvapoliitika rakendamist ISKE
tulenevate sätetega on neis ka tööde tegemiseks piisavalt täpne tehniliste tingimuste kirjeldus. Missugusel juhul käitub IT spetsialist vastavalt üldtunnustatud eetikakoodeksile, kui märkab kolleegide väga hästi tehtud tööd? Tunnustab tehtud tööd avalikult, tutvustab selle tulemusi laiemalt ning seab endale eesmärgi saavutada sarnaseid tulemusi Infoturbe põhieesmärkideks organisatsioonis on tagada: tagada organisatsiooni kõikide infovarade käideldavus, terviklikkus ja konfidentsiaalsus Järjesta infosüsteemid turvariskide suuruse järgi alates kõrgema riskiastmega süsteemist: 2,3,1 CE märgistusega deklareerib elektroonikaseadme tootja, et toode vastab Euroopa Liidus kehtestatud: isikute tervise ja ohutuse kaitse, elektromagnetilise ühilduvuse ja raadiospektri kasutamise nõuetele Missugused terviseriskid on seotud töötamisega arvutiga, kui selle ees veedetakse suurem osa tööpäevast
Info jaguneb: Objektiivne reaalselt meie ümber Subjektiivne objektiivse keskkonna kirjeldus oma nägemuse järgi Sense making liigub objektiivse ja subjektiivse info vahel Nt: väljas sajab, panen kummikud jalga Tegevuse ja dokumendi vaheline seos Dokumendid tekivad asutuse tegevuse tulemusena. Dokumendid luuakse või saadakse asutuse mingisuguse tegevuse vältel või pärast tegevust. Dokumente luuakse tegevuste tõestamiseks ja dokumenteerimiseks. Dokumendi sisu, vorm ja struktuur Dokument on koostatud kindla vormi ja nõuete kohaselt ühe sündmuse või juriidilise fakti kirjalikuks tõenduseks. Dokumendi vorming määrab, kuidas dokumendi elemendid on organiseeritud/paigutatud paberil või esitatud failis. Dokumendi element on informatiivelement, mis kuulub dokumendi vormingu koosseisu. Digitaalne dokument Kõik digitaaldokumendid on baastasandil elektrooniliste impulsside või seisundite jadad. Dokumendi sisu, vormi ja struktuuri kohta käiv i...
Tarkvaratehnika: Loeng 1: Taust: o Tarkvara iseloom o Kõrgenenud nõudmised: Suuremad süsteemid Keerulisemad süsteemid Kiiremini Erinevad näited vigadest mis on tehtud: o Ariane Crash 1996 kosmosesüstiku alla kukkumine, tuli välja et selle alla kukkumise põhjuseks oli tarkvarasüsteemis viga ilmus trajektoori osas. o Therac-25 kiiritusravi andmises tehti viga kasutaja liideses, kus pandi vale täht ühte kohta, mille tulemusena anti 125 kordne doos patsiendile. o MCO marsi satelliidi maandumise ebaõnnestumine, nimelt tarkvara arvutas vale trajektoori, kuna oli kaks eri pikkusühikut ehk meetreid ja naela. Tarkvaratehnika ajalugu: o Esmakordselt kasutati seda NATO-s 1968, oli mõeldud ideena, kuidas to...
Tallinna Ülikool Infoteaduste Instituut Mari Hõbemäe Valitsusasutuste dokumendi- ja arhiivihalduse kriisireguleerimise analüüs Magistritöö Juhendajad: Kädi Riismaa Ingrid Raidme 2 Tallinn 2008 3 SUMMARY The analysis of governmental institutions crisis management methods in handling records and archives management Master's thesis is written in Estonian. The thesis consists of 88 pages including two appendixes in five pages. Thesis contains 25 figures and 12 charts; some of those are from the elaborated literature and some are produced according to the data gathered by the author. Sources used for writing the thesis are mostly those that the author has used durin...