Sügis 2006 Tallinna Polütehnikum 15 Lähteuuring Millised on tegevuse turvalisusele esitatavad nõuded? Milliseid tegevuse tähtsaid või väga tähtsaid tegevusi ei saa teha IT süsteemide toeta? Milliseid tegevusi tehakse ainult IT süsteemidega? Millised olulised otsused olenevad IT süsteemides töödeldava info täpsusest, terviklusest, käideldavusest või värskusest? Milline töödeldav konfidentsiaalne info vajab kaitset? Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile? Sügis 2006 Tallinna Polütehnikum 16 Riskianalüüs Millised on süsteemi ähvardavad ohud? Millised on süsteemi nõrkused? Millised on võimalikud kahjud ohtude realiseerumisel? Sügis 2006 Tallinna Polütehnikum 17 Riskianalüüsi meetodid Jäme riskianalüüs Detailne riskianalüüs Etalonturbe meetod (baseline security) Sügis 2006 Tallinna Polütehnikum 18 Infoturbe protsess
Riskide vähendamine võib tähendada süsteemi muutmist, kasutajate teavitamist, teatud varadeeraldamist süsteemist jne. Riskianalüüsi hinnangud peavad olema võimalikult täpsed jasoovitatavalt rahasummades väljendatud, vastasel juhul ei ole sellele järgnevad samud kuig iefektiivsed.Riskihaldusega seotud terminid ohud, nõrkused, varad, turvameetmed. ( http://math.ut.ee) Riskianalüüs süsteemihalduses Oht on süsteemi kahjustada võiva soovimatu sündmuse (turvaintsidendi)potentsiaalne põhjus. Ohtusid võib jaotada erinevate kriteeriumite alusel. Tahtluse järgi jaotuvad ohud juhuslikeks jatahtlikeks. Aktiivsuse järgi saab ohud jagada passiivseteks ja aktiivseteks. Passiivse ohu põhjustatud juhtum ei muuda süsteemi ja temas paiknevaid varasid, küll aga võib mingil moel nende varade väärtust kahandada, tekitada uusi ohtusid või tuua organisatsioonile muul moel kahjusid. Aktiivse ohu põhjustatud juhtum muudab süsteemi ja/või temas paiknevaid varasid.
põhjustatud võimaliku kahjuga kahandada keskkonnas realiseeritavad meetmed · turvateenuste osutamiseks. 8. Nimeta ja selgita: turvaintsidendi toimet kahandada 23. Mis on infoturve? · Andmetega seotus turvaprobleeme · turvaintsidenti tuvastada, Infoturve on teabe ja infosüsteemide kaitsmine Turvaline andmete hoidmine ja edastamine kõrvaldada, varasid taastada loata juurdepääsu, kasutamise, avaldamise,
Lähteuuring. Millised on tegevuse turvalisusele esitatavad nõuded? Milliseid tegevuse on tähtsaid või väga tähtsaid tegevusi ei saa teha IT süsteemide toeta? Milliseid tegevusi tehakse ainult IT süsteemiga? Millised olulised otsused olenevad IT süsteemides töödeldava info täpsusest, terviklusest, käideldavusest või värskusest? Milline töödeldav konfidentsiaalne info vajab kaitset? Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile? Riskianalüüs. Millised on süsteemi ähvardavad ohud? Millised on süsteemi nõrkused? Millised on võimalikud kahjud ohtude realiseerimisel? Riskianalüüsi meetodid · Jäme riskianalüüs · Detailne riskianalüüs · Etalonturbe meetod (baseline security) Infoturbe protsess. Üldine jäme riskianalüüs
konfidentsiaalsust Näited: · paarsusbitt, kontrollsumma, tsükkelkood, krüptograafiline sõnumilühend · digitaalallkiri ja ajatempel · steganograafiline vesimärk (lisatakse originaali loomisel) · steganograafiline sõrmejälg (tekib kopeerimisel) · füüsilised (nähtavad või vähemärgatavad turvakiled, -niidid, -pitserid, värvust muutvad märgised jms) 57. Taastavad turvameetmed - Objekti (infovara) turvalisust kahjustanud turvaintsidendi järel tuleb taastada objekti normaalne talitlus seda kiiremini ja seda suuremas ulatuses, mida olulisem on objekt Peamised liigid: · varundamine · ennistamine · asendamine 58. Ennistamine hõlmab rikete, tõrgete ja defektide kõrvaldamist Näited: · aparatuuri remont · tarkvara parandamine ja modifitseerimine, sh versioonihalduse meetmeid rakendades · operatsioonide tagasivõtt rakendusprogrammides
ja tõstevahendid. Peab olema tagatud pidev ja effektiivne laevapääsu kontroll, ära hoidmaks lubamatuid külastusi. Identifikatsiooni süsteemi peab pidevalt uuendama, süsteemi väärtarvitamise eest tuleb rakendada distsiplinaarmeetmeid. On soovitav laeva identifitseerimis süsteemi siduda sadama süsteemiga. Turvataseme määramine: Turvatase 1 – tase, millises laev ja sadam töötavad normaalolukorras; Turvatase 2 – kõrgendatud turvatase, kehtib kuni on turvaintsidendi kõrgendatud risk; Turvatase 3 – erakorraline turvatase, kohaldatakse, kui eksisteerib vahetu turvaintsidendi risk. Kõikidel juhtudel on kapten täielikult vastutav laeva turvalisuse eest! Meeskonna suurus - „Manning Level“: meeskonna suurus enne „Koodi“ jõustumist oli määratud Ohu Mehitatuse Tunnistusega. „Kood“ punktis 4.28 soovitab arvestada meeskonna suurenenud töökoormust ja lisada vajalik hulk meeskonda, et tagada vajalikud puhketunnid. 4
- Töötajate koolitamine ei tohiks piirduda ainult sellega, kuidas käia ümber nende käsutusse antavate krüptomoodulitega. Töötajatele tuleb selgitada ka krüptomoodulite kasutamisega seotud eeliseid ja kasutamise hädavajalikkust, samuti peaksid nad saama ülevaate krüptograafilistest põhimõistetest (vt lisaks M 3.23 Sissejuhatus krüptograafia põhimõistetesse). - Nendeks juhtudeks, kui krüptomoodulite kasutamise käigus tekib probleeme või koguni turvaintsidendi kahtlusi, peab olema selgelt määratletud edasine tegevuskava. Kõik töötajad peavad olema vastavatest käitumisreeglitest ja teavitamisprotseduuridest informeeritud. - Krüptokontseptsiooni raames tuleb kindlaks määrata, kes, kunas ja milliseid krüptotooteid peab kasutama ja tohib kasutada ning millised on sealjuures kehtivad peamised tingimused (nt võtmete deponeerimine). - Krüptomoodulite tööd tuleb regulaarselt kontrollida, et need töötaksid korrektselt.
annaabi.ee 
