1.2 Infosüsteemi varad
Turvaprobleemid tekivad kõikjal, kus kellegi omanduses või käsutuses on varasid -- materiaalseid
või intellektuaalseid ressursse, millel on mingi, enamasti rahas väljendatav väärtus.
Infosüsteem on standardi ISO 2382 määratluses informatsiooni andev ja jaotav infotöötlussüsteem koos juurdekuuluvate organisatsiooniliste ressurssidega, sealhulgas inim-, tehniliste ja rahaliste ressurssidega.
Infosüsteemide peamised varad on · andmed, · infotehniline aparatuur (arvutisüsteemide riistvara , bürootehnika, sideseadmed), · andmesidekanalid, · baas-ja rakendustarkvara.
Süsteemiga seotud ressursside hulka kuuluvad veel · organisatsioon (selle struktuur ja talitlus), · personal, · andmekandjad, · dokumendid , · infrastruktuur ( territoorium , rajatised ja kommunikatsioonid ).
Nende turvalisusega seotud küsimused ei ole ainult infotöötlusspetsiifilised.
Muude kaitstavate varade, näiteks pangaseifi või relvalaoga võrreldes on arvutisüsteemide varadel oma spetsiifika, mida tuleb turvameetmete kavandamisel arvestada.
· Varade väärtus. Arvutis salvestatud andmebaasi väärtus võib sageli ületada pangaseifi sisu väärtuse. Infotehnilisele süsteemile tekitatud kaudne kahju on enamasti suurem kahjustatud komponendi otsesest rahalisest väärtusest.
· Portatiivsus. Riistvara võib portfelli mahutada sadade tuhandete kroonide väärtuses, andmeid veelgi suuremas väärtuses.
· Võimalus vältida füüsilist kontakti. Adekvaatse kaitseta elektronarveldus ning muud võrguteenused võimaldavad vargusi ja muid kahjustusi ilma füüsilise sissetungita kahju-kannataja juurde.
· Kahjustuste varjatus. Informatsioon ei hävi kopeerimisel, vargust saab tuvastada ainult kaudselt . Informatsiooni modifitseerimine (näiteks ründetarkvaraga) toime võidakse avastada liiga hilja .
Turvalisuse mõiste
Traditsiooniliselt on varade turvalisuseks nimetatud varade kolme esmavajaliku omaduse tagamist
teatavas konkreetsetest tingimustest sõltuvas ulatuses.
Käideldavus (availability) tähendab varade takistusteta kättesaadavust volitatud kasutajaile
(isikutele või alamsüsteemidele) ja nende teovõimet. Muuhulgas tähendab see, et ka turvasüsteemid
50 punkti
Autor soovib selle materjali allalaadimise eest saada 50 punkti.
~ 4 lehte
Lehekülgede arv dokumendis
2011-10-18
Kuupäev, millal dokument üles laeti
33 laadimist
Kokku alla laetud
0 arvamust
Teiste kasutajate poolt lisatud kommentaarid
ahhisand
Õppematerjali autor
· Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi (vulnerabilities) · Ohud koos nõrkustega määravad ära riski (risk) · Ohu realiseerumisel tekib turvakadu (security loss) · Riski vähendamiseks tuleb turvaauke lappida turvameetmeid (security measures) kasutades 11.Turbemõistete olemus · Oht (threat) potentsiaalne (info)turbe rikkumine · Nõrkus e turvaauk (vulnebarility) infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt · Risk (risk) tõenäosus, et teatud oht kasutab ära infosüsteemi teatud nõrkuse · Turvakadu e turvarike (security loss) sündmus, mille käigus kahjustus infosüsteemi kuuluvate varade turvalisus (käideldavus, terviklus ja/või konfidentsiaalsus) · Turvameede (security measure) infosüsteemi modifitseering, mis vähendab mingit riski (reeglina mitmeid korraga) 12.Turvakao näiteid
*andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas? *tarkvara legaalsusnõudest peetakse kinni?
*andmebaaside ajastu- andmetöötlus; Infoturve (information security) *infosüsteemide ajastu- infotöötlus; Nende kahe vahe on töötlus viisides. Andmetöötlus on tavaliselt lokaalne, infotöötlus aga on hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas? *tarkvara legaalsusnõudest peetakse kinni?
parool ise võrdub kasutajanimega. tvle võime serveri ette panna võimsa tulemüüri, kuid selle efekt muutub nulliks, kui igaüks võib asutuse uksest sisse astudes serveri kaenlasse võtta ja lihtsalt minema jalutada. Selliseid küsimusi ei saa jätta ainult arvutimeeste lahendada -- andmekaitse on valdkond. kus on oma roll täita nii juhtkonnal, süsteemiadministraatoritel kui ka tavakasutajatel, kes arvutitega oma igapäevatöös kokku puutuvad. Arvutisüsteemi varad Infoühiskond ja sinna suundumine ei ole tänapäeval arvatavasti kellelegi enam uudiseks. Infoühiskonna üheks põhitunnuseks on, et materiaalsete ressursside kõrval (näiteks maa ja kinnisvara) omandavad üha suuremat tähtsust ja väärtust inforessursid - andmed ja informatsioon. Firmade töö muutub sellega seoses märgatavalt, õigemini võib väita, et Eestis ja lääneriikides on muutus suuremas osas juba toimunud - suuremas osas asutustest näeb töö välja üsna ühtemoodi
hädaolukordade lahendamist ning hädaolukorra põhjustatud tagajärgede esmast leevendamist, et taastada elutegevuseks vajalike teenuste kättesaadavus. Kriisireguleerimismeeskond teabevahetuse, ressursside kasutamise ning ametkondade koostöö koordineerimiseks ning olukorra analüüsimiseks moodustatud meeskond, mille koosseis ja töökorraldus ning ettevalmistus võimaldavad ööpäevaringse töö hädaolukorras. Nõrkus e turvaauk infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt. Oht nähtus või sündmus, mis teatud tingimustel võib põhjustada hädaolukorra. 9 Ohuplaan plaan, mille arhiivid, riigi- ja kohaliku omavalitsuse asutused ja avalik- õiguslikud juriidilised isikud ning seaduses või selle alusel sätestatud avalikke ülesandeid täitvad juriidilised ja füüsilised isikud koostavad ja kehtestavad nende
Ross Anderson, Wiley 2001 · Practical UNIX & Internet Security. Simson Garfinkel, Gene Spafford. Second edition. O'Reilly 1996 (tasuta, aga vanavõitu) · Firewalls and Internet Security: Repelling the Wily Hacker. William R. Cheswick and Steven M. Bellovin. Addison-Wesley, 1994 (tasuta), 2011; http://www.wilyhacker.com/ · Secrets and Lies: Digital Security in a Networked World. Bruce Schneier. John Wiley & Sons 2000 1. Turvaeesmärgid · Käideldavus (availability) -- varad peavad olema kasutatavad, kõige raskemini tagatav. · Terviklus (integrity) -- varasid tohivad modifitseerida ainult volitatud asjaosalised · Konfidentsiaalsus (confidentiality) -- varad on kättesaadavad ainult volitatud asjaosalistele, kõige lihtsamini tagatav. Loetelule võiks veel lisada privaatsuse. Turvalisuse rikkumise tasemed Ohud · Ohtude liigid: halvang - ei lase tööd teha infopüük modifitseering võltsing · Ohustatud objektid: andmed tarkvara
IS/IT spetsialiste ja nende vastutusi IS/IT spetsialiste ja nende vastutusi: · Süsteemiadministraator - IS/IT toimimise käigushoidmine organisatsioonis · Süsteemiarhitekt ja disainer - IS/IT arhitektuuri arendamine ja vastavate strateegiate elluviimine · Süsteemiarendaja (analüütik, programmeerija, testija) - IS/IT süsteemide arendamine ja kasutajatele kättesaadavaks tegemine IS/IT juhte ja nende vastutusi IS/IT juhte ja nende põhivastutusi: · Infosüsteemi juht (Chief Information Officer (CIO)) - IS/IT-d puudutava tulevikuvisiooni loomine, IS strateegia koostamine; IS-i valitsuse ülesehituse loomine; IS/IT projektide portfelli kokkupanek; organisatsiooni toimimise muutmise juhtimine · infotehnoloogia juht (Chief Technology Officer (CTO) või IT Manager) - IT strateegia väljatöötamine · IT projektijuht - IS/IT-alaste muudatuse teostuse juhtimine Süsteemina käsitlemine Süsteemina käsitlemine (Systems Thinking)
1. Põhimõisted 1.1 Riist- ja tarkvara, infotehnoloogia Andmed (ingl. data) mittestruktuursed faktid ja numbrid. Info ehk informatsioon (ingl. information) ka teave on struktuursed andmed, mida info valdaja saab kasutada analüüsimisel ja probleemide lahendamisel. Digitaalne (ingl. digital) omane andmetele, mis koosnevad numbritest. Informaatika on teaduse ja tehnika haru, mis tegeleb arvutite abil toimuva infotöötlusega. Infotöötlus on informatsiooniga süstemaatiline operatsioonide sooritamine (võib sisaldada ka andmeside ja bürooautomaatika operatsioone). Infotöötlussüsteem on üks või mitu andmetöötlussüsteemi (arvutid, välisseadmed, tarkvara, ka büroo- ja sideseadmed), mis sooritavad infotöötlust. Infosüsteem infot andev ja jagav infotöötlussüsteem koos oma organisatsiooniliste ressurssidega (tehnoloogiad, inimesed, finantsid, protsessid). Informatsiooni ja kommunikatsioonitehnoloogia (lüh. IKT) on arvutustehnika (arvutid ja
annaabi.ee 
Sisene Facebook'ga
Sisene Google'ga
Sisene LinkedIn'ga
Kõik kommentaarid