Tallinn, AS Cybernetika V. Praust. Digitaalallkiri -- tee paberivabasse maailma. Tallinn, ILO Sügis 2006 Tallinna Polütehnikum 3 Andme- või infoturve? Andmeturve (data security) andmebaaside ajastu andmetöötlus; Infoturve (information security) infosüsteemide ajastu infotöötlus; Teadmusturve (knowledge security) teadmussüsteemide ajastu teadmustöötlus. Sügis 2006 Tallinna Polütehnikum 4 Mis on infoturve? Infoturve on infovarade turvalisuse tagamine Infovarad on infosüsteemi osad, millel on väärtus Turvalisus on süsteemi võime kaitsta oma objektide terviklust ja konfidentsiaalsust Sügis 2006 Tallinna Polütehnikum 5 Turvalisus Infovarade kolme omaduse tagamine: käideldavus (availability) varade takistusteta kättesaadavus volitatud kasutajatele (isikud ja alamsüsteemid) varade kasutamiskõlblikkus (õige, aktuaalne)
· dokumendid, rajatised, kommunikatsioonid... saavutamiseks ja säilitamiseks. intervjuud võtmeisikutega ja/või 11. Infovarade väärtus tekib milliste põhiomaduste IT-partneritega, 29. Mis on infovarade inventuur, too näiteid osade kaudu? kohta Infovarade väärtus tekib valdavalt järgmiste · IT süsteemide ülevaatus kohapeal TODO põhiomaduste kaudu: Tervikklikus, Konfidentsiaalsus. Käideldavus, või kaugelt, 30
Informatsioon ja infotöötlus Maailm: mateeria- informatsioon-energia Infornaatika- riistvara-andmevara-tarkvara Inimene: Keha-hing-mõistus Erialase tarkvara eesssmärgid: Töö, äri ja tarbimise varustamine infoga Äri-töö ja tarbimisprotsesside kiirendamine ja parendamine info ja infotöötluse läbi. Konkurentsieelisele loomine uute IT-põhiste äri ja tööprotsesside abil. Organisatsiooni infovarade efektiivne ära kasutamine. Müüsüsteemid POS Üldine riistvara Üldine arvuti tarkvara nt opreatsioonisüsteem Müügitakrvara POS-tarkvara Müügiriistvara POS-riistvara Muu spetsiifiline riistvara. Varane tarkvara 1973 augustis tutvuustas IBM oma tooteid IBM 3650 ja 3660 Store systems, mis oli sisuliselt esimene müügisüsteem, mis koosnes kassas töötamiseks kohandatud arvutitest. Süsteemi oli võimalik ühendada maksimaalselt 128 kassatöökohta.
4. Turvameetmed 5. Volitustõendid 6. Krüptograafia 7. Digitaalallkiri ja selle kasutamine Andme- või infoturve? Andmeturve (data security) · andmebaaside ajastu andmetöötlus; Infoturve (information security) · infosüsteemide ajastu infotöötlus; Teadmusturve (knowledge security) · teadmussüsteemide ajastu teadmustöötlus. Mis on infoturve? · Infoturve on infovarade turvalisuse tagamine. · Infovarad on infosüsteemi osad, millel on väärtus. · turvalisus on süsteemi võime kaitsta oma objektide terviklust ja konfidentsiaalsust. Turvalisus Infovarade kolme omaduse tagamine (parameetrid): 1) Käideldavus (availably) · Varade takistuseta kättesaadavus valitud kasutajatele (isikud ja alamsüsteemid). · varade kasutamiskõlblikkus (õige, aktuaalne). 2) terviklus (integrity)
ETALONTURBE TÄIENDATAVUS Süsteemi ISKE täiendatud kuju ilmub uue versioonina kord aastas, sõltuvalt allikmaterjali uute versioonide avaldamisest. Iga järgmine versioon võib sisaldada uusi tüüpmooduleid koos vastavate turvameetmetega ja/või uusi turvameetmeid senistele tüüpmoodulitele. Süsteemi uue versiooni ilmumisel vaatab infoturbe spetsialist läbi täiendused moodulite loetelus ja moodulite turvaspetsifikatsioonides ning korraldab uutele moodulitele vastavate infovarade turbe ja võimalikud senistele moodulitele vastavate varade turvameetmeetmete täiendused. TURBEASTMED ISKEs on kirjeldatud kolm turbe taset madal (L), keskmine (M) ja kõrge (H). Vastav turbetase määratakse andmetele turvaklasside (turvaosaklasside) määramise kaudu. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe tervik- likkusest, aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede lubatavast kaalukusest.
hoiatusteade · Silumisvahendite teated tarkvara väljatöötamisel Riskihaldusmeetodika olemus Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenöosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse. · Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse · Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud Detailne riskianalüüs 1. Hinnatakse jääkrisk. Selleks kasutatakse kas kvalitatiivset või kvantitatiivset riskianalüüsi metoodikat 2. Letiakse valdkonnad,kus jääkriski vaja vähendada 3. Rakendatakse nendes valdkondades vajalikke turvameetmeid 4. Leitakse uus jääkrisk ja hinnatakse, kas see on piisaval tasemel (võrrelduna varade väärtuse ja turvameetmete maksumusega) 5
moraalset kahju ettevõttele. 4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega reguleeritavate andmekogude pidamisel kasutatvate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H) ning meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamise teel keskastme omadele.
2. ISKE RAKENDUSJUHENDI ÜLESEHITUS 2.1 Sissejuhatus ja rakendamise protsessi kirjeldus Rakendusjuhendi peatükkides 1 kuni 3 kirjeldatakse ISKE rakendusjuhendi ja etalonturbe kontseptsiooni, kuidas kasutada rakendusjuhendit, määrata andmetele turvaklasse, turbeaste ja kuidas rakendada turvameetmeid. 2.2 Moodulid Rakendusjuhendi peatükk 4 sisaldab tüüpmoodulite kirjeldusi. Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel. Iga tüüpmooduli kirjelduses on toodud ohtude ja rakendatavate turvameetmete loetelu. Tüüpmoodulid on jagatud viide gruppi: · B1 - üldkomponendid · B2 - infrastruktuur · B3 - IT-süsteemid · B4 - võrgud · B5 - IT-rakendused 2.3 Ohtude kataloog Rakendusjuhendi peatükk 5 sisaldab ohtude kataloogi
pole hiljem volitamatult muudetud 6.Andmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud isikutele (ning kättesaamatus kõikidele ülejäänutele) 7.(Info)varade hulka kuuluvad: · andmed (mingis vormingus olev informatsioon) · IT aparatuur (riistvara, sideseadmed, toiteseadmed jm) · andmesidekanalid · tarkvara (süsteemne ja rakendustarkvara) 8.Infovarade omadused: · Varade suur, kuid kaudne väärtus: seda on tihti raske hinnata · Portatiivsus: väikeste füüsiliste parameetritega ja kergest teisaldatavatel esemetel võib olla väga suur väärtus · Füüsilise kontakti vältimise võimalikkus (eriti kaasaja netiajastul): füüsiline ja loogiline asukoht ja struktuur eralduvad järjest üksteisest · Kahjustuste varjatus: neid on tihti raske ja keeruline avastada 9
Infosüsteemide turvameetmete süsteemi poolt kasutusse võetud standardiks on ISKE. ISKEt kirjeldatakse kui infosüsteemide kolmeastmelist etalonturbe süsteemi, mis kasutab Saksamaa BSI poolt avaldatavat infoturbe standardit IT Baseline Protection Manuali. Selle eesmärgiks on tagada eelkõige riigi ja kohaliku omavalitsuse infosüsteemides töödeldavatele andmete ning nendega seotud infovarade turvalisus ent pole mõeldud riigisaladust käitlevate infosüsteemide turbeks. ISKE on kasutamiseks kättesaadav ka äriettevõtetele. Süsteem ise kirjeldab turvet vajavaid infovarasid tüüpmoodulite abil ja määrab igaühele eraldi turvaklassi. Etalonturve on turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks. Etalonturve on tüpiseeritud minimaalne turvameetmestik, mis tuleb rakendada infovaradele
ISO/IEC 20000 on teenusehaldust käsitlevate standardite pere. Need sisaldavad teenuse nõuetele vastavate ning nii kliendile kui ka teenuseosutajale väärtust pakkuvate teenuste projekteerimist, üleminekut, tarnimist ja täiustamist. ITIL (IT Infrastructure Library) on IT teenuste haldamise parima praktika kogum, mida saab kasutada ISO/IEC 20000-1 nõuete rakendamiseks. Infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE) põhineb infovarade turbeastme määramisel, varade kirjeldamisel tüüpmoodulite abil ning turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele. ISKE rakendamine sisaldab järgmisi tegevusi: 1. Infovarade inventuur 2. Andmekogude kaardistamine ja turvaklasside määramine 3. Muude infovarade turvaklasside määramine 4. Turvaklassiga infovarade turbeastme määramine 5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel 6. Tüüpmoodulite spetsifitseerimine 7
23. Kõrgkooliraamatukogu määratlus/definitsioon. Library of an institution of higher education Raamatukogu, mille põhifunktsiooniks on teenindada üliõpilasi, akadeemilist koosseisu ja spetsialiste ülikoolides ning teistes kõrgharidust andvates õppeasutustes Kõrgkooliraamatukogu võib teenindada ka kogu elanikkonda 24. Nimeta Rahvusraamatukogu peamisi ülesandeid rahvusraamatukoguna. Rahvuslike kultuuriväärtuste ja infovarade kogumine, säilitamine ja kättesaadavaks tegemine Eesti keeles ja Eestis ilmunud teavikute ning Eestit käsitlevate või Eesti kohta informatsiooni sisaldavate teavikute kogumine, alaline säilitamine ja kättesaadavaks tegemine Koostab rahvusbibliograafiat ja koondkatalooge Rahvusvaheline koostöö (Säilitab ja arendab suurt ja esinduslikku väliskirjanduse kogu - ka välismaal ilmunud oma maad käsitlevad teavikud)
Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas?
Puhastusvahendid ei tohi arhivaale kahjustada. 14. Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20.12.2007 määrusega nr 252 ,,Infosüsteemide turvameetmete süsteem" sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. Nimistu ja selle koostamine Arhiivi kirjelduste kogum. Nimistu on arhivaalide peamine otsija juurdepääsuvahend avalikus arhiivis. Arhiivi kirjeldus esitatakse üljuhul ühes nimistus.Keerukale ja mahukale arhiivile võib koostada mitu nimistut. Mitme nimistu kasutusele võtmise aluseks on põhjalikud muutused arhiivimoodutaja ülesannetes, organisatsioonis ja arhiivi koosseisus.
Puhastusvahendid ei tohi arhivaale kahjustada. (14) Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteem” sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. § 29. Nõuded arhivaalide kasutamisele (1) Hoidla ja arhivaalide kasutamine ning arhivaalide turvalisuse tagamine sätestatakse avaliku arhiivi sisemist töökorraldust reguleeriva õigusaktiga. (2) Eriti väärtuslikust, tihti kasutatavast või halvas füüsilises seisukorras arhivaalist valmistatakse tagatiskoopiaid ja kasutuskoopiaid. Tagatiskoopia valmistatakse viisil, mis tagab koopia pikaajalise säilimise.
paha omada soovitusi eelmistelt töökohtadelt ning veidi vestelda eelmiste tööandjatega, et inimese usaldatavusele kinnitust saada. Ka kõigi teiste puhul tuleb silmas pidada, et tehnilised ja ametialased oskused ei ole ainukesed kriteeriumid, mille järgi töötajat hinnata; nende kõrval on oluline ka usaldatavus, eetilisus ja asutuse missiooni mõistmine ning soov selle elluviimisele kaasa aidata, muuhulgas ka turvanõudeid järgides. Andmete osas tuleb anda hinnang töös kasutatavate infovarade vajalikele turvalisus- nõuetele. Mõnel juhul osutub otstarbekaks andmete klassifitseerimine näiteks konfident- siaalsusgruppidesse - osa andmetest peab jääma varjatuks, kuid teiste puhul, vastupidi, on oluline, et neid saaks nt. veebi kaudu kasutada kogu maailm või asutuse töötajatest laiem kasutajaskond. Samuti võib juhul, kui andmete puhul on oluline nende terviklus või kättesaadavus, kasutada vastavat jaotust.
Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas?
korraldab infoturbega seotud tegevusi ja käsitleb Eesti arvutivõrkudes toimuvaid turvaintsidente. RIA konsulteerib avalike teenuste osutajaid, kuidas oma infosüsteeme nõuetekohaselt hallata ja teostab nende üle järelevalvet. Lisaks on RIA Euroopa Liidu struktuuritoetuste rakendusüksus. RIA on Majandus- ja Kommunikatsiooniministeeriumi haldusalas. Ameti põhiülesanded on: 1) järelevalve teostamine elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete alalise rakendamise üle; 2) riigi infosüsteemi ja Eesti kriitilise informatsiooni infrastruktuuri infoturbega seotud tegevuste korraldamine; 3) Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemine; 4) järelevalve teostamine riigi infosüsteemi haldamist reguleerivatest õigusaktidest tulenevate nõuete täitmise üle; 5) riigi infosüsteemi haldussüsteemi pidamine; 6) riigi infosüsteemi andmevahetuskihi pidamine (arendamine ja haldamine);
Põhimõisted, eesmärgid, ülevaade, millal ja kuidas kasutada: ISO/IEC 20000 seeria ja ITIL, ISO/IEC 27000 seeria ja ISKE, RUP. ISO/IEC 20000- teenusehaldust käsitlev standard. ITIL- it teenuste haldamise parima praktika kogum, mida saab kasutada ISO 20000 nõuete rakendamiseks. Infotehnoloogia haldamise tavade ja protsesside standardite kogu. ISO/IEC 27000- Sisaldab infoturbe halduse süsteeme. ISKE- infosüsteemide kolmeastmelise etalonturbe süsteem. põhineb infovarade kaardistamisel, nende turbeastmete määramisel, tüüpmoodulite kasutamisel, turvameetmete valikul vastavalt tüüpmoodulitele ning turbeastmele ning turvameetmete rakendamisel. RUP- iteratiivne tarkvaraarenduse raamistik. Testid põhinevad spetsifikatsioonil. 62. Kvaliteedinäitajate näiteid, väärtuse määramispiirkond, parim väärtus Näited- arvestatakse vaid lõpliku koodi-vahepealseid versioone ei loeta. Arvestatakse
Infoturva-ala korraldamine (infoturva võtmerollid) Üldine infoturvapoliitika paikapanek organisatsioonis: · näitab ettevõtte juhtkonna tuge ja kaasabi · defineerib infoturva-ala olulisuse · defineerib rollid ja ülesanded · määrab kindlaks vastutuse Infosüsteemi turvamise võtmerollid · Infoturvajuht - vastutab infoturva korralduse eest. Info/(andme)turbe spetsialist, kellel on juhtkonda nõustav funktsioon · Infovarade omanik - kas andmete, süsteemide omanik. Vastutus infosüsteemi toimimise eest, peab suutma defineerida nõudeid andmete kättesaadavusele ja määrama kasutusõigused · Infosüsteemi administraator - viib omaniku otsused täide · Kasutaja - vastutab oma tegude eest · Seiraja - vaatab eksperdina asjad üle ja raporteerib tulemustest juhtkonnale. Ta omab tööplaani ja kontrollib infoturvapoliitika rakendamist ISKE
tulenevate sätetega on neis ka tööde tegemiseks piisavalt täpne tehniliste tingimuste kirjeldus. Missugusel juhul käitub IT spetsialist vastavalt üldtunnustatud eetikakoodeksile, kui märkab kolleegide väga hästi tehtud tööd? Tunnustab tehtud tööd avalikult, tutvustab selle tulemusi laiemalt ning seab endale eesmärgi saavutada sarnaseid tulemusi Infoturbe põhieesmärkideks organisatsioonis on tagada: tagada organisatsiooni kõikide infovarade käideldavus, terviklikkus ja konfidentsiaalsus Järjesta infosüsteemid turvariskide suuruse järgi alates kõrgema riskiastmega süsteemist: 2,3,1 CE märgistusega deklareerib elektroonikaseadme tootja, et toode vastab Euroopa Liidus kehtestatud: isikute tervise ja ohutuse kaitse, elektromagnetilise ühilduvuse ja raadiospektri kasutamise nõuetele Missugused terviseriskid on seotud töötamisega arvutiga, kui selle ees veedetakse suurem osa tööpäevast
teostamise korralduse ja vastutuse seaduse rikkumise eest. Euroopa Liidu dokumentide menetlemise kord - sätestab Eesti valitsusasutuste osalemise Euroopa Liidu otsustusprotsessis ning sellega seotud dokumentide menetlemise korra Infosüsteemide turvameetmete süsteem - kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem. Riigisaladuse ja salastatud välisteabe kaitse kord - määrusega kehtestatakse riigisaladuse ja salastatud välisteabe kaitse kord ning riigisaladuseks oleva teabe alaliigid, teabe alaliigi salastamistase ja -tähtaeg. Infosüsteemide andmevahetuskiht - kehtestatakse nõuded infosüsteemide andmevahetuskihile, selle kasutamisele ja haldamisele. Infosüsteemide andmevahetuskiht (edaspidi X-tee) on asutuste ja isikute
Milliseid tehnoloogiaid kasutamine Kuidas toimub logimine Kuidas süsteemi konfigureeritakse o Töövahendid ja meetodid EEs Äriprotsesse modelleerime EPC notatsioonis Äriprotsesside ühtset registrit hoiame ARISes (oracle business process architect) Ärinõuete register Ärimõistete register (infovarade register) o Töövahendid ja meetodid AASAs Äriprotsesse modelleerime BPMN notatsioon Äriprotsesside ühtset registrit hoiame Bizagis´s Ärisüsteemide vahetus o 2006 aastal liitusin Eega eesmärgiga analüüsida CRM´i juurutamise võimalusi. –kliendi suhtlus kanal EE klienditeenindusel ja jaotusvõrgul ( Elektrilevi OÜ) oli
leevendamist, et taastada elutegevuseks vajalike teenuste kättesaadavus. Kriisireguleerimismeeskond teabevahetuse, ressursside kasutamise ning ametkondade koostöö koordineerimiseks ning olukorra analüüsimiseks moodustatud meeskond, mille koosseis ja töökorraldus ning ettevalmistus võimaldavad ööpäevaringse töö hädaolukorras. Nõrkus e turvaauk infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt. Oht nähtus või sündmus, mis teatud tingimustel võib põhjustada hädaolukorra. 9 Ohuplaan plaan, mille arhiivid, riigi- ja kohaliku omavalitsuse asutused ja avalik- õiguslikud juriidilised isikud ning seaduses või selle alusel sätestatud avalikke ülesandeid täitvad juriidilised ja füüsilised isikud koostavad ja kehtestavad nende
annaabi.ee 
