4. Profülaktilised turvameetmed profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: nt sulgeda turvaauke; ära hoida ründeid, hõlbsustada objekti taastet jne. VIIES LOENG 1. ISKE infosüsteemide kolmeastmeline etalonturbe süsteem loodud seadusega reguleeritavate andmekogude pidamisel kasutatvate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H) ning meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamise teel keskastme omadele.
Etalonturbe lähenemisviisi kohaselt, mida ISKE-s kasutatakse, tehakse ainult nõutava ja tegeliku olukorra võrdlus - missugused turvameetmed on juba rakendatud ja missugused mitte. Valdkondades, kus on tegemist spetsiifiliste ja kõrgemat turvataset nõudvate asjaoludega, on soovitatav pärast ISKE turvameetmete rakendamist teha täiendav riskianalüüs ja kaaluda täiendavate turvameetmete rakendamist. ISKE-s on kirjeldatud kolm turbeastet - madal (L), keskmine (M) ja kõrge (H). Turbeaste määratakse andmetele turvaosaklasside määramise kaudu. Turvaosaklasside määramisel tuleb arvestada: · seadustest ja lepingutest tulenevaid nõudeid · põhitegevuse (või äritegevuse) protsessidest tulenevaid nõudeid · tagajärgede kaalukusest tulenevaid nõudeid. Kõrge turbeaste on täielikult välja töötatud Eestis ja seda tuleks rakendada kõrgemat turvalisuse taset nõudvate andmete ja IT-varade kaitsmiseks.
määratakse turvaklassi põhjal vastavalt ISKE rakendusjuhendis antud juhistele. ISKEs on rakendada? Riskimaatriks on maatriks, mille üks telg kolm turbeastet L madal, M keskmine ja H Mõistlik on rakendada siis, kui risk ületab näitab riski tõenäosust, teine riski mõju kõrge. mingit teatud piiri või siis, kui turvameetmete rakendamise kulud on võimalikust kahjust ettevõtte tegevusele. 27
ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) avaldatav infoturbe standard – IT Baseline Protection Manual 24. Kellele on ISKE kohustuslik?ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. 25. ISKEs on kolm turbeastet: L (Low) – madal turbeaste *M (Medium) - keskmine turbeaste *H (High) – kõrge turbeaste 26. Riigi Infosüsteemi Amet (RIA) koordineerib riigi infosüsteemi arendamist ja haldamist, korraldab infoturbega seotud tegevusi ja käsitleb Eesti arvutivõrkudes toimuvaid turvaintsidente. RIA konsulteerib avalike teenuste osutajaid, kuidas oma infosüsteeme nõuetekohaselt hallata ja teostab nende üle järelevalvet. Lisaks on RIA Euroopa Liidu struktuuritoetuste rakendusüksus.
Mitmekesiste tegurite väljaselgitamiseks võib küsitleda üksikute IT-süsteemide ja IT-rakenduste eest vastutavaid töötajaid. Küsitluse tulemused tuleb kõigile arusaadaval kujul kirja panna. Kõikide meetmes M 2.162 Krüptoprotseduuride ja -toodete vajaduse määramine kirjeldatud salvestuskohtade ja edastusteekondade kohta tuleb välja selgitada järgmised mõjufaktorid: Turbeaspektid - Milline on kaitsevajadus, st millist turbeastet on tarvis saavutada? - Millised krüptograafilised funktsioonid on vajalikud soovitud turbeastme saavutamiseks (krüpteerimine, tervikluse kaitse, autentsus ja/või ümberlükkamatus)? - Võimalikud ründajad: milliste potentsiaalsete ründajatega tuleb arvestada (ründajate ajalised ja finantsressursid, tehnilised oskused)? Vastuste saamiseks äsjaloetletud küsimustele tuleb läbi töötada meede M 2.162
annaabi.ee 
