Nimetu (1)

PÄRNUMAA KUTSEHARIDUSKESKUS
ARVUTID JA ARVUTIVÕRGUD
Oliver Kikas
Infosüsteemide turvameetmete süsteem ISKE
Lühiülevaade
Juhendaja : Üllar Tornik
Pärnu 2014

Sissejuhatus 3
1. ISKE Üldpõhimõtted 4
2. ISKE Rakendusjuhendi ülesehitus 5
2.1 Sissejuhatus ja rakendamise protsessi kirjeldus 5
2.2 Moodulid 5
2.3 Ohtude kataloog 5
2.4 Turvameetmete kataloogid 6
2.5 Lisad 6
Kokkuvõte 7
Kasutatud materjal 8

Sissejuhatus
ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI avaldatav infoturbe standard – IT Baseline Protection Manual (saksa k. IT-Grundschutz).
ISKE rakendamise eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003. aasta oktoobrikuus.
ISKEs on kirjeldatud kolm turbe taset – madal (L), keskmine (M) ja kõrge (H). Vastav turbetase määratakse andmetele turvaklasside (turvaosaklasside) määramise kaudu. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe terviklikkusest, aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede lubatavast kaalukusest.
ISKE rakendamine asutuses ei ole ühekordne projekt. See on pidev protsess, sest muutuvad nii IT keskkond, turvaohud ja -meetmed kui ka rakendusjuhend. ISKE rakendusjuhend ilmub täiendatud kujul uue versioonina kord aastas, sõltuvalt allikmaterjali uute versioonide avaldamisest.
1. ISKE Üldpõhimõtted
Turvalisuse tagamiseks tuleb täita kolm osaeesmärki - tagada andmete:

• käideldavus
  
• terviklus
  
• konfidentsiaalsus
  

Andmete käideldavus on kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus eelnevalt kokku lepitud vajalikul või nõutaval tööajal (st vajalikul või nõutaval ajahetkel ja vajaliku või nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).
Andmete terviklus on andmete õigsuse, täielikkuse või ajakohasuse tagatus ning päritolu autentsus ja volitamatute muudatuste puudumine.
Andmete konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud tarbijaile (isikutele või tehnilistele süsteemidele) ning kättesaamatus kõigile ülejäänutele.
Turvameetmeid tuleb rakendada eri tüüpi IT-varadele. ISKE-s jagatakse IT- varad funktsionaalsuse ja omaduste alusel viide gruppi:

• üldkomponendid
  
• infrastruktuur
  
• IT-süsteemid
  
• IT-võrgud
  
• IT-rakendused
  

Gruppide sees kasutatakse tüüpmoodulitepõhist lähenemist. Tüüpmoodulite spetsifikatsioonides kirjeldatakse konkreetse tüüpmooduli kohaseid ohtusid ja turvameetmeid, mida tuleks vajaliku turvalisuse taseme saavutamiseks rakendada. Tüüpmoodulis ohtude loetelu esitamise eesmärk on anda rakendajale ülevaade võimalikest ohtudest. Ohtude loetelu esitamisega tagatakse, et ISKE rakendajad ei pea ise hakkama tegema konkreetse vara jaoks riskianalüüsi just selle varaga seostuvate võimalike ohtude väljaselgitamiseks
2. ISKE Rakendusjuhendi ülesehitus
2.1 Sissejuhatus ja rakendamise protsessi kirjeldus
Rakendusjuhendi peatükkides 1 kuni 3 kirjeldatakse ISKE rakendusjuhendi ja etalonturbe kontseptsiooni , kuidas kasutada rakendusjuhendit, määrata andmetele turvaklasse, turbeaste ja kuidas rakendada turvameetmeid.
2.2 Moodulid
Rakendusjuhendi peatükk 4 sisaldab tüüpmoodulite kirjeldusi. Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel. Iga tüüpmooduli kirjelduses on toodud ohtude ja rakendatavate turvameetmete loetelu.
Tüüpmoodulid on jagatud viide gruppi:

• B1 - üldkomponendid
  
• B2 - infrastruktuur
  
• B3 - IT-süsteemid
  
• B4 - võrgud
  
• B5 - IT-rakendused
  

2.3 Ohtude kataloog
Rakendusjuhendi peatükk 5 sisaldab ohtude kataloogi . Ohud on jagatud kuude gruppi:

• G1 - vääramatu jõud
  
• G2 - organisatsioonilised puudused
  
• G3 - inimvead
  
• G4 - tehnilised rikked ja defektid
  
• G5 - ründed
  
• G6 - andmekaitseohud.
  

2.4 Turvameetmete kataloogid
Rakendusjuhendi peatükk 6 kirjeldab turvameetmete katalooge turbeastmetele L (madal) ja M (keskmine). Peatükk 7 toob aga turvameetmete kataloogid turbeastmele H (kõrge).
Kuuendas peatükis jagatakse turbeastmete turvameetmed seitsmesse gruppi:

• M1 - infrastruktuur
  
• M2 - organisatsioon
  
• M3 - personal
  
• M4 - riistvara ja tarkvara
  
• M5 - side
  
• M6 - avariijärgne taaste
  
• M7 - andmekaitse .
  

Seitsmenda peatüki turbeastme turvameetmed on aga jagatud järgmiselt:

• kohustuslikeks (kataloogi H alamkataloogi HG meetmed)
  
• tingimuslikeks (kataloogi H alamkataloogide HK, HT, HS meetmed)
  

2.5 Lisad
Rakendusjuhendi lisad 1-3 sisaldavad ohtude ja turvameetmete kataloogide selgitusi.
Kokkuvõte
ISKE-t ja etalonturbe kontseptsiooni rakendades on võimalik lihtsalt ja majanduslikult efektiivselt tagada IT-varade turvalisus. Kasutades traditsioonilist riskianalüüsi, tuleb esmalt määrata ohud ja hinnata nende esinemise tõenäosust ning pärast riskianalüüsi rakendada turvameetmeid. Pärast turvameetmete rakendamist tuleb uuesti hinnata jääkriske.
Etalonturbe lähenemisviisi kohaselt, mida ISKE-s kasutatakse, tehakse ainult nõutava ja tegeliku olukorra võrdlus - missugused turvameetmed on juba rakendatud ja missugused mitte. Valdkondades, kus on tegemist spetsiifiliste ja kõrgemat turvataset nõudvate asjaoludega, on soovitatav pärast ISKE turvameetmete rakendamist teha täiendav riskianalüüs ja kaaluda täiendavate turvameetmete rakendamist.
ISKE-s on kirjeldatud kolm turbeastet - madal (L), keskmine (M) ja kõrge (H). Turbeaste määratakse andmetele turvaosaklasside määramise kaudu.
Turvaosaklasside määramisel tuleb arvestada:

• seadustest ja lepingutest tulenevaid nõudeid
  
• põhitegevuse (või äritegevuse) protsessidest tulenevaid nõudeid
  
• tagajärgede kaalukusest tulenevaid nõudeid.
  

Kõrge turbeaste on täielikult välja töötatud Eestis ja seda tuleks rakendada kõrgemat turvalisuse taset nõudvate andmete ja IT-varade kaitsmiseks.
Kasutatud materjal

• https://www.ria.ee/iske/
  
• http://www.e-ope.ee/_download/euni_repository/file/990/riskijuhtimine_3.zip/riskijuhtimine_3/iske.html
  
• http://www.e-ope.ee/_download/euni_repository/file/990/riskijuhtimine_3.zip/riskijuhtimine_3/iske_rakendusjuhendi_struktuur.html
  

8