PÄRNUMAA KUTSEHARIDUSKESKUS Arvutid ja Arvutivõrgud Allan Pertel ISKE Referaat Juhendaja: Üllar Tornik Pärnu 2012 SISSEJUHATUS Järgnevas referaadis vaatleme etalonturbe süsteemi ISKE. Räägime lühidalt rakendusalast ja kes peavad kasutama. Samuti vaatleme millel ta põhineb ning kui tihti täiendatakse. Saame teada mitmeastmeline ta on. Kuidas on ehitatud meetmestik. Kas aitab tagada riigisaladust ja tuleb juttu astmetest ise. RAKENDUSALA ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k
....Tähendab see, et* Iga toote kohta peab olema 1 komplekt autentsustunnuseid *Toodet tohib korraga olla kasutuses ainult niipalju, kui on litsentse *Igaühel on just talle sobiv litsents (koolide versioonid, suured nimelised litsentsilepingud) 22. Milles tunned legaalset tarkvara - *Jaemüük *Litsentsileping *Originaalkettad *Käsiraamat *Registr.kaart *Spets.autentsustunnistus COA *Mitmed marketingimaterjalid *Karbi spets tähistus...hologramm, kleeps 23. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) avaldatav infoturbe standard – IT Baseline Protection Manual 24. Kellele on ISKE kohustuslik?ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. 25
Jagunevad: infrastruktuuri nõrkused; infotehnilised nõrkused; personali nõrkused, organisatsiooni nõrkused. 3. Infoturbe intsident infosüsteemiga seotud sündmus, mis põhjustas majanduslikku või moraalset kahju ettevõttele. 4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega reguleeritavate andmekogude pidamisel kasutatvate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H) ning meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamise
PÄRNUMAA KUTSEHARIDUSKESKUS ARVUTID JA ARVUTIVÕRGUD Oliver Kikas Infosüsteemide turvameetmete süsteem ISKE Lühiülevaade Juhendaja: Üllar Tornik Pärnu 2014 Sissejuhatus................................................................................................................................ 3 1. ISKE Üldpõhimõtted................................................................................................................. 4 2. ISKE Rakendusjuhendi ülesehitus........................................................................................... 5 2.1 Sissejuhatus ja rakendamise protsessi kirjeldus................................................................. 5 2.2 Moodulid.....................................................................................................
Turvaline andmete hoidmine ja edastamine kõrvaldada, varasid taastada loata juurdepääsu, kasutamise, avaldamise, muutmise või hävitamise eest. · Inimestega seotud turvaprobleeme 15. Kuidas valida turvameetmed? 24. Mis on ISKE? Hajameelsus, unustamine, teadmatus, Hind. Otstarbekus. Efektiivsus. Turvatav objekt. ISKE on kolmeastmeline etalunturbe süsteem. kogenematus Väärkasutus kasu saamise eesmärgil 16. Selgita turvameetmete seos majandusliku 25
ligikaudsed tasemed 2. selgitatakse välja suuremad riskid kvantitatiivne 1. kõik taandatakse ühele skaalale, enamast raha 2. täpne kuid töömahukas eelanalüüs 1. pealiskaudne 2. ettevõtte ja süsteemi eesmärgid 3. süsteemi maksumus 4. süsteemi tähtsus eeskujul baseeruv analüüs(etalonturve) 1. detailse analüüsi valmismoodulid 2. sobitatakse antud keskkonda 3. täiendatakse kohati detailse analüüsiga 4. eestis ISKE kogemustel baseeruv analüüs 1. kiireim ja lihtsaim 2. jätab ohte kahesilmavahele Riskianalüüsi läbiviimine väline riskianalüütik 1. spetsialiseerunud riskianalüüsile 2. näeb ,,kõrvaltvaataja pilguga" 3. väline analüütik on mõnikord ise risk?? sisemine riskihaldur 1. ei pruugi kõike adekvaatselt näha 2. vähene riskianalüüsi kogemus 3. tunneb sisemisi nõrkusi paremini
näiteks Avaliku teabe seadus, Isikuandmete kaitse seadus ja Riigisaladuse seadus. Autentsusega tagatakse teatava subjekti või ressursi identsuse ühtimine väidetavaga. Selle infoga määratakse lubatud info liikumise suunad turvaklasside vahel. Andmete liikumine erinevate turvaklasside siseselt on üldiselt lubatud, kuid seda piiravad määratud omadused. Infosüsteemide turvameetmete süsteemi poolt kasutusse võetud standardiks on ISKE. ISKEt kirjeldatakse kui infosüsteemide kolmeastmelist etalonturbe süsteemi, mis kasutab Saksamaa BSI poolt avaldatavat infoturbe standardit IT Baseline Protection Manuali. Selle eesmärgiks on tagada eelkõige riigi ja kohaliku omavalitsuse infosüsteemides töödeldavatele andmete ning nendega seotud infovarade turvalisus ent pole mõeldud riigisaladust käitlevate infosüsteemide turbeks. ISKE on kasutamiseks kättesaadav ka äriettevõtetele. Süsteem ise
J - püüdja M - maa P - pall S - viskaja Sub lenda() peaprotseduur, juhib kõiki teisi protseduure, viib palli viske tugevuse vastavusse J - juku (püüdja) S - viskaja M - maa P - pall K - korv R - rahvas (pealtvaatajad) Z - post kui tulemus on kirjas estud numbriga töölehelt ab töölehele kirje, et pall on käes alli peale korvi minekut ja kirjutab töölehele "Korv" iske tugevuse vastavusse töölehel sisestatuga J J J J J J J J J J J J 11 J Viske tugevus Püüdja kaugus Tulemus Viskaja peab saama, palli korvi, või kui läheb mööda, peaks selle kinni püüdma püüdja.
Oluline on mõista, et turvalisus ei ole saavutatav vaid turvalist koodi kirjutades, see on laiem teema. Praktikas on enim just selliseid vigu, mis on põhjustatud inimtegevusest, mitte tehnilistest probleemidest. Inimvead kipuvad peegeldama halba süsteemi disaini. Vead süsteemiarenduses viivad turvaaukudeni. N: 1989 ja 2001 ja interneti ussid kasutasid seda, et C# ei kontrollinud massiivi piire. Eestis on laialt levinud infosüsteemide turvameetmete süsteem ISKE. ISKE on komplekssete turvameetmete kogum, mille eesmärk on aidata kaitsta ja säilitada: andmeid ja andmekogusid; IT-seadmeid; andmevahetuskeskkondi; tarkvara. Turvakriitiline süsteem on näiteks haigla infosüsteem. Kirjeldus: Peronal logib IS -i nime ja parooliga. Parool peab olema vähemalt 8 märki pikk kuid süsteem lubab iga sellise parooli seadmist. Häkker saab teada, et haiglas on VIP ja tahab saada ligi infole, et selle alusel raha küsida
Serveriruumis ei tohiks võimaluse korral olla veetorusid, sest lekked võivad tekitada suuri kahjusid, mis võivad viia kuni kõigi ITseadmete väljalangemiseni. Kui käideldavusele esitatakse suuremaid nõudmisi, peab serveriruum tagama piisava varu, mis planeeritakse juba tehnilise infrastruktuuri käigus, et võimaldada ületada üksikuid rikkeid. ___________________________________________________________________________ _____________ ISKE rakendusjuhendi kataloog: november 2011 81 B: Tüüpmoodulid ___________________________________________________________________________ _____________ Rakendamine Ainult need inimesed, kes vajavad oma ülesannete täitmiseks otsest ühendust serveriga ja muid serveriruumis installeeritud seadmeid, nagu sidejaotus, tulemüür jne, peaksid omama sissepääsu sellesse ruumi ja suitsetamiskeeld peaks olema seal iseenesestmõistetav. Kasutamine
Kanalikiht (lülikiht), 1. füüsiline kiht. • OWASP – open web application security project e vabas kasutuses olevad veebiturvalisuse eest vastutavad asjad • ASVS – application security verification standard – rakenduse tasemel turva kontroll • DDOS – distributed denial of service attack – eesmärk on arvuti või võrk teha kasutajatele kättesaamatuks, tihti ühe rünnaku all tuhanded erinevad IP aadressid (arvutite zombiarmee) • ISKE – infosüsteemide turvameetmete süsteem. Eesmärk aidata kaitsta ja säilitada andmeid ja andmekogusid, IT seadmeid, andmevahetuskeskkondi, tarkvara. 3 taset, millest 3 turvalisim. • Botnet – robot network, häkkerite hallatav haavatavate võrku ühendatud arvutite võrgustik, kuhu paigaldatud pahavara (bot). (zombie võrgustik) • Port-scanner – app, mis otsib serverist või hostist avatud porte. Turvalisuse kontrolliks.
13. Saavutatav töökindluse tase seniste meetoditega, selle oluline suurendamine. Verifitseerimine. Töökindluse parendamise vahendeid on palju. Mõningaid neist vaadatakse allpool: Nversiooniline programmeerimine (N-version programming); veapuu analüüs; formaalsed meetodid, sealhulgas programmide tõestamine; teatud kvaliteediomadustele, nt töökindlusele või turvalisusele orienteeritud arenduse ja halduse meetodid (sh Cleanroom development, Common Criteria, ka ISKE mõned moodulid). N-versioonilise programmeerimise (N-version programming) idee on, et paralleelselt arendatakse ja kasutatakse mitut programmi versiooni. Kasutamisel võrreldakse tulemusi, enam levinud vastused loetakse õigeks (hääletamine). Meetod, millelt palju loodeti ja mis õigustab ennast hästi riistvara puhul, on kasutatav, kuid ei anna sama häid tulemusi tarkvara korral. Üks põhjus on selles, et inimlik loogika jälgib tihti
käsitsemiseks vajalik ning see ei tohi kokkupuutel arhivaalidega neid kahjustada. 13. Hoidlat, selle õhuvahetussüsteeme ja säilikuid peab regulaarselt puhastama. Puhastusvahendid ei tohi arhivaale kahjustada. 14. Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20.12.2007 määrusega nr 252 ,,Infosüsteemide turvameetmete süsteem" sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. Nimistu ja selle koostamine Arhiivi kirjelduste kogum. Nimistu on arhivaalide peamine otsija juurdepääsuvahend avalikus arhiivis. Arhiivi kirjeldus esitatakse üljuhul ühes nimistus.Keerukale ja mahukale arhiivile võib koostada mitu nimistut
Andmeturbe mõisted Andmekaitse ehk andmeturve on kõik aspektid, mis on seotud definitsiooni, saavutamise ja konfidentsiaalsuse, terviklikkuse, kättesaadavuse, mitteäraütlemise, aruandluse, autentsuse ja usaldusväärsuse pidamisega andmete või töötlusvahendite kohta. Ajatempel - Ajatempel on digitaalne tõend, mis võimaldab objektiivselt kindlaks teha mingi digitaalse andmekogumi loomise aja. Andmekogu - Andmekogu (ka register, andmebaas) on infosüsteemis töödeldavate korrastatud andmete kogum. Autentimine on kellegi või millegi autentsuse kontroll. Näiteks kontrollitakse, kas nime taga on õige isik, kas pakendi sees on õige kaup või kas arvutiprogramm on usaldusväärne. Autoriseerimine on REACH-määruse protsess, mille eesmärk vastavalt artiklile 55 on tagada siseturu hea toimimine, tagades seejuures väga ohtlikest ainetest tulenevate riskide asjakohase ohj...
saavutamiseks ja säilitamiseks. Tõenäosus mõõdetavate kriteeriumide põhjal eeldatav või subjektiivselt hinnatav hädaolukorra esinemise sagedus teatud aja jooksul. 11 LÜHENDITE LOETELU a aasta ArhE "Arhiivieeskiri" ArhS arhiiviseadus DNS nimeserver HO hädaolukord HOVS hädaolukorraks valmisoleku seadus ISKE infosüsteemide kolmeastmelise etalonturbe süsteem jne ja nii edasi jt ja teised lk lehekülg n.ö nii öelda NATO Põhja-Atlandi Lepingu Organisatsioon nn nii öelda OCHA ÜRO humanitaarasjade koordinatsioonibüroo OSCE Euroopa Julgeoleku- ja Koostöökonverents PRIA Põllumajanduse Registrite ja Informatsiooni Amet sh sealhulgas st see tähendab UNDAC kriiside ja katastroofide hindamise ja koordineerimisega tegelev meeskond UPS katkematu toiteallikas
minna, et oma ettevõtet reklaamida. 60. Millest alustada tarkvaraprotsessi kvaliteedihalduse kavandamist? Juhtkonna toe kindlustamine Kvaliteedihalduse eesmärkide planeerimine lähtudes ettevõtte strateegiast Eesmärkide ja poliitika tutvustamine töötajatele Kvaliteedihalduse meetodi valimine 61. Põhimõisted, eesmärgid, ülevaade, millal ja kuidas kasutada: ISO/IEC 20000 seeria ja ITIL, ISO/IEC 27000 seeria ja ISKE, RUP. ISO/IEC 20000- teenusehaldust käsitlev standard. ITIL- it teenuste haldamise parima praktika kogum, mida saab kasutada ISO 20000 nõuete rakendamiseks. Infotehnoloogia haldamise tavade ja protsesside standardite kogu. ISO/IEC 27000- Sisaldab infoturbe halduse süsteeme. ISKE- infosüsteemide kolmeastmelise etalonturbe süsteem. põhineb infovarade kaardistamisel, nende turbeastmete määramisel, tüüpmoodulite kasutamisel,
käsitsemiseks vajalik ning see ei tohi kokkupuutel arhivaalidega neid kahjustada. (13) Hoidlat, selle õhuvahetussüsteeme, sisustust ja säilikuid peab regulaarselt puhastama. Puhastusvahendid ei tohi arhivaale kahjustada. (14) Digitaalarhivaalide säilitamisel tuleb juhinduda Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteem” sätestatud infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi tüüpmoodulite turvameetmetest vastavalt digitaalarhivaalide säilitamisel kasutatavatele infrastruktuuri, IT-süsteemide, võrkude ja rakenduste komponentidele ning infovarade turbeastmele. § 29. Nõuded arhivaalide kasutamisele (1) Hoidla ja arhivaalide kasutamine ning arhivaalide turvalisuse tagamine sätestatakse avaliku arhiivi sisemist töökorraldust reguleeriva õigusaktiga.
on võimalik kogu arvuti rivist välja viia. ____________________________________________________________________ - G 4.33 Autentimise puudumine või puudulikkus - G 4.34 Krüptomooduli tõrge - G 4.35 Ebaturvalised krüptoalgoritmid - G 4.36 Vead kodeeritud andmetes Ründed: - G 5.27 Sõnumi salgamine ___________________________________________________________________________ _____________ ISKE rakendusjuhendi kataloog: november 2011 37 B: Tüüpmoodulid ___________________________________________________________________________ _____________ - G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu Konfidentsiaalsus on nõue, et info tohib olla kättesaadavaks tehtud ainult õigustatud isikutele. Integreerituse ja kättesaadavuse kõrval on salajasus üks infoturbe põhiväärtusi.
Eesmärk on, et aadressandmeid mõistetakse ühtmoodi ning aadressandmete kiire ja veatu töötlus andmekogudes. ADS tagab aadressiobjektide asukoha ühese mõistmise; - ühtsed standardid aadressidele ja aadressiandmete töötlemiseks (ühesugune kirjapilt, ühtne suur-väiketähtede, tühikute ja lühendite kasutamine. Aadressiandmeid saab pärida üle X-tee teenuse. 65. Milleks on vaja infosüsteemide etalonturbe süsteemi (ISKE)? See on komplekssete turvameetmete kogum, mis aitab kaitsta ja säilitada andmeid ja andmekogusid, IT-seadmeid, andmevahetuskeskkondi, tarkvara. Infosüsteemide andmeid liigitatakse turvaklassidesse. Liigitamise aluseks on teabe konfidentsiaalsus, terviklus, käideldavus. ISKE on kohustuslik riigi ja KOV andmekogude infosüsteemides. 66. Mis on klassifikaatorite süsteemi eesmärk? Eesmärk on, et erinevad infosüsteemid mõistavad andmeid ühtmoodi ja suudavad andmeid töödelda
metoodikaid turvameetmete ja nende rakendamise juhiseid Riskide juhtimise metoodikad Andmeturbekesksed - lähtumine vajalikest andmeturbe meetmetest/tegevustest, mida on vaja teha, et oleks tagatud infosüsteemi andmete turvalisus. Põhineb hetkel parimale teadmisele/praktikale, vajab pidevat ajakohastamist. Annab info(andme)turbe spetsialistile arusaadava ja üheselt mõistetava tegevuste loetelu. N: ISKE Kontrolli-/auditikesksed - põhinevad äriprotsesside ja nende turvariskide käsitlusel. Määratletakse ohtude/riskide loetelu, kontrollitakse, kas kõigi nende jaoks on turvameetmed rakendatud ja piisavad. N: COBIT, ITIL Infosüsteemi turvalisuse (riskide) juhtimise standardid ISO270xx standardite kogum Üldised organisatsioonilised turvameetmed rollide ja ülesannete kindlaksmääramine süsteemidele ja andmetele omanike kindlaksmääramine
andmebaasidest, endaga seotud info kontrollimine. Ettevõtjateenused - haigekassale kindlustusandmete edastamine, tegevusloa otsing majandustegevuse registrist jne. Ametnikuteenused - detailplaneeringu algatamise taotlus, avaliku ürituse taotlus, teetööde tehnilised kirjeldused jne. 64. Mis on aadressiandmete süsteemi (ADS) eesmärk? - Aadressandmete ühtmoodi mõistmine, aadressandmete kiire ja veatu töötlus andmekogudes. 65. Milleks on vaja infosüsteemide etalonturbe süsteemi (ISKE)? - Komplekssete turvameetmete kogum. Aitab kaitsta ja säilitada: andmeid ja andmekogusid, IT-seadmeid, andmevahetuskeskkondi, tarkvara. 66. Mis on klassifikaatorite süsteemi eesmärk? - Eesmärkerinevad infosüsteemid mõistavad andmeid ühtmoodi ja suudavad andmeid töödelda. 67. Mis on geodeetilise süsteemi eesmärk? - Lihtsustab infosüsteemide vahelist suhtlus. Tagab, et asukoha-andmed on geograafilises ruumis üheselt mõistetavad. 68
selle kaudu liikuva info sisu ei suuda isegi tulemüür näha Let's go production with it now and we can secure it later - kiiresti turule tulemise vajadus (juba alpha-versiooniga live'i), hiljem turvaaukude parandamine sisuliselt võimatu · Reaalses elus on vaja teha kompromiss turvalisuse ja kasutatavuse vahel 2. Riskianalüüs, turvastandardid · Riskianalüüs · Turvapoliitika · TCSEC turvaklassid · EAL turvaklassid · ISO 27000 pere · ISKE turvaklassid Riskianalüüs · Potentsiaalsete ohtude tõenäosused on erinevad · Erinevate ohtude poolt tekitatav kahju on erinev · Riskianalüüs -- hindame reaalseid ohte ning kulutusi ning püüame leida aktsepteeritava riski, kus turbekulud on ligikaudu võrdsed tõenäoliste kahjudega Riskianalüüsi sammud · Objekti piiritlemine, varade liigitamine - teha inventuur (eelnevalt piiritleda (scope))
• Kesksüsteemide tugisüsteemid: serveriruumid ja nende eriseadmed (UPS, jahutus jne) • Serverid • IT turvaseadmed, rakendused, teenused • Muud infrastruktuursed rakendused ja teenused • Terminalseadmed (PC, printer, monitor, mobiilne seade) Käideldavus – millise osa ajast on terviklahendus või komponent kasutatav Veakindlus – omadus, mis võimaldab süsteemil jätkata toimimist hoolimata mõne komponendi tõrkest Turvalisus – vastavus nõuetele, riskide maandamine (ISKE) 2) Teenustaseme haldamise protsess /ITIL/ Service Level Management – SLM Eesmärk: Kaitsta ja parandada IT teenuse kvaliteeti läbi pideva läbirääkimiste, monitoorimise ja raporteerimise tsükli. Vajaduse ja võimaluse haldamine. Ärisuhte haldamine äripoole, IT ja teenusepakkujate vahel 3) Seleta lahti mõisted/lühendid: PIR, SPOF, SCSI, AMDB, CSF, SAAS PIR – Post-implementation review - Läbivaatus, mis tehakse pärast projekti või muudatuste juurutamist. Määrab,
nõustav funktsioon · Infovarade omanik - kas andmete, süsteemide omanik. Vastutus infosüsteemi toimimise eest, peab suutma defineerida nõudeid andmete kättesaadavusele ja määrama kasutusõigused · Infosüsteemi administraator - viib omaniku otsused täide · Kasutaja - vastutab oma tegude eest · Seiraja - vaatab eksperdina asjad üle ja raporteerib tulemustest juhtkonnale. Ta omab tööplaani ja kontrollib infoturvapoliitika rakendamist ISKE Infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on infosüsteemides töödeldavatele andmetele piisava tasemega turvalisuse tagamine. Vastav turbetase määratakse andmetele turvaosaklasside määramise kaudu Turvaklassid (-tasemed) on ,,kõrge" (H), ,,keskmine" (M) ja ,,madal" (L) Konkreetsetele andmetele omistatakse nii konfidentsiaalsus-, käideldavus- (aegkriitilisus ja hilinemise tagajärgede kaalukus) kui ka terviklusnõuded
34. Millest koosneb tarkvara nõuded? ! Nõuded tuleks esitada mõõdetaval kujul. Nõuetel on klassifikatsioon soft ja hard. Pehmed nõuded on halvad. Nt: Me tahame midagi paremat. Me tahame et ettevõtte kasum kasvaks. Me tahame, et me tarkvara oleks kiire. Süsteem peab olema turvaline. Pehmed nõuded ei ole mõõdetavad. Hard nõue ja mõõdetav: Tarkvara peab vastama 2 sekundiga. Turvalisus peab vastama ISKE standardi mingile konkreetsele levelile. EE näide analüüsi ja nõuete kohta: ● Protsessi analüüs –ASIS kaardistus ja TOBE kirjeldamine (ei nimeta IT süsteeme) ● Ärilised funktsionaalsed nõuded –Süsteem peab tegema … ● Ärilised mittefunktsionaalsed nõuded –Peab teenindama 1000 üheaegset kasutajat –Peab olema kättesaadav välisvõrgus
annaabi.ee 
