Lühiülevaade Juhendaja: Üllar Tornik Pärnu 2014 Sissejuhatus................................................................................................................................ 3 1. ISKE Üldpõhimõtted................................................................................................................. 4 2. ISKE Rakendusjuhendi ülesehitus........................................................................................... 5 2.1 Sissejuhatus ja rakendamise protsessi kirjeldus................................................................. 5 2.2 Moodulid............................................................................................................................. 5 2.3 Ohtude kataloog...........................................................................................................
Federal Office for Information Security) avaldatav infoturbe standard IT Baseline Protection Manual (saksa k. IT- Grundschutz). ISKE rakendamise eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003. aasta oktoobrikuus. ETALONTURBE TÄIENDATAVUS Süsteemi ISKE täiendatud kuju ilmub uue versioonina kord aastas, sõltuvalt allikmaterjali uute versioonide avaldamisest. Iga järgmine versioon võib sisaldada uusi tüüpmooduleid koos vastavate turvameetmetega ja/või uusi turvameetmeid senistele tüüpmoodulitele. Süsteemi uue versiooni ilmumisel vaatab infoturbe spetsialist läbi täiendused moodulite loetelus ja moodulite turvaspetsifikatsioonides
Serveriruumis ei tohiks võimaluse korral olla veetorusid, sest lekked võivad tekitada suuri kahjusid, mis võivad viia kuni kõigi ITseadmete väljalangemiseni. Kui käideldavusele esitatakse suuremaid nõudmisi, peab serveriruum tagama piisava varu, mis planeeritakse juba tehnilise infrastruktuuri käigus, et võimaldada ületada üksikuid rikkeid. ___________________________________________________________________________ _____________ ISKE rakendusjuhendi kataloog: november 2011 81 B: Tüüpmoodulid ___________________________________________________________________________ _____________ Rakendamine Ainult need inimesed, kes vajavad oma ülesannete täitmiseks otsest ühendust serveriga ja muid serveriruumis installeeritud seadmeid, nagu sidejaotus, tulemüür jne, peaksid omama sissepääsu sellesse ruumi ja suitsetamiskeeld peaks olema seal iseenesestmõistetav. Kasutamine
on võimalik kogu arvuti rivist välja viia. ____________________________________________________________________ - G 4.33 Autentimise puudumine või puudulikkus - G 4.34 Krüptomooduli tõrge - G 4.35 Ebaturvalised krüptoalgoritmid - G 4.36 Vead kodeeritud andmetes Ründed: - G 5.27 Sõnumi salgamine ___________________________________________________________________________ _____________ ISKE rakendusjuhendi kataloog: november 2011 37 B: Tüüpmoodulid ___________________________________________________________________________ _____________ - G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu Konfidentsiaalsus on nõue, et info tohib olla kättesaadavaks tehtud ainult õigustatud isikutele. Integreerituse ja kättesaadavuse kõrval on salajasus üks infoturbe põhiväärtusi.
rakendussüsteemide kasutajate töö jälgimine (turvajälgede salvestamine) sisevõrgu turve (tulemüüri kasutamine) ligipääsuõiguste kasutamine krüptoloogia kasutamine viiruste ja õelkoodi tuvastamine ning tõrje andmete varundamine ja taastamine infoturvaintsidentide haldus ... Andmetele ja IT varale püstitatavatest nõuetest; võimalikest ohtudest ja nendele vastavatest turvameetmest saab täpsemalt lugeda ISKE rakendusjuhendi lisast 1 (ISKE kataloogid ver. 6.00.) · IT trendide kasutus ettevõtte/organisatsiooni infosüsteemis
olemust ja tekkepõhjuseid ning nende kaitsmise võimalusi HOVS-ist lähtudes, kuna nimetatud seadus on Eesti kriisireguleerimise süsteemi keskne õigusakt, milles on sätestatud võimalikeks hädaolukordadeks valmistumise ja nende lahendamise põhimõtted. Tähelepanu on magistritöös pööratud ka asjaolule, et andmeturbe ja serveriruumi ohtude hindamiseks on Riigi Infosüsteemide Arenduskeskus välja töötanud "Infosüsteemide kolmeastmelise etalonturbe süsteem ISKE rakendusjuhendi", kuid selles juhises pakutavad hindamisjuhised ja hindamine erinevad üldise hädaolukorra riskianalüüsi tegemisest. Magistritöö põhjal võib väita, et dokumendi- ja arhiivihalduses ohu planeerimist käsitlevad juhendid on kohati üsna pealiskaudsed. Puudub ühtne riskianalüüsimetoodika ja analüüside sidusus. Praegu peavad asutused tegema riskianalüüse erinevates valdkondades erinevatel alustel, kuid samal ajal hinnatakse osaliselt samu aspekte.
annaabi.ee 
