Tartu Kutsehariduskeskus IKT Koostas EESTI TURVAKLASSID Referaat Juhendaja Tartu 2012 Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmselisel skaalal ning kolmekomponendilisena, st kolme turvaklassi ühendina. Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal.1
We don't need host security, we have a good firewall - end-to-end https põhjustab selle, et selle kaudu liikuva info sisu ei suuda isegi tulemüür näha Let's go production with it now and we can secure it later - kiiresti turule tulemise vajadus (juba alpha-versiooniga live'i), hiljem turvaaukude parandamine sisuliselt võimatu · Reaalses elus on vaja teha kompromiss turvalisuse ja kasutatavuse vahel 2. Riskianalüüs, turvastandardid · Riskianalüüs · Turvapoliitika · TCSEC turvaklassid · EAL turvaklassid · ISO 27000 pere · ISKE turvaklassid Riskianalüüs · Potentsiaalsete ohtude tõenäosused on erinevad · Erinevate ohtude poolt tekitatav kahju on erinev · Riskianalüüs -- hindame reaalseid ohte ning kulutusi ning püüame leida aktsepteeritava riski, kus turbekulud on ligikaudu võrdsed tõenäoliste kahjudega Riskianalüüsi sammud · Objekti piiritlemine, varade liigitamine - teha inventuur (eelnevalt piiritleda (scope))
ruum on kaitstud sissetungide, tule-, vee jt õnnetuste vastu. DOKUMENTIDELE JUURDEPÄÄSU TAGAMINE Üldjuhul on riigi- ja kohaliku omavalitsuse asutuste dokumendid algusest peale avalikud ja kõik võivad huvi korral nendega tutvuda. Juurdepääsu ohjamise viisiks on dokumentide jagamine rühmadeks vastavalt tegevustele, mille käigus dokumendid luuakse (personalidokumendid, riigihangete dokumendid) Dokumentidele turvaklasside omistamine. Turvaklassid on hierarhilised, mis kajastavad dokumentidele kehtestatud juurdepääsu piirangu ranguse taset. Juurdepääs ei ole üksnes isikute dokumentide kättesaamise õigus, vaid ka praktiline võimalus dokumente kätte saada. DOKUMENTIDE KASUTAMISE JÄLGIMINE Dokumendisüsteemis peab kontrolli all olema dokumentide ja toimikute asukoht ja dokumendist tulenevate ülesannete täitmine. Selleks registreeritakse süsteemis dokumentide
serveriruumides keelatud. Kui seda nõuet ei ole võimalik täita, tuleb: _________________________________________________________________________ HG.69 Ruumide turvatsoneerimise korraldamine HG.69 Ruumide turvatsoneerimise korraldamine Unikaalmeede Sagedasti on asutuse tööruumidest vaid osa seotud infosüsteemiga. Samuti on tüüpiline selline olukord, kus ruumid on jaotatud tsoonideks, milledele rakenduvad ISKE kohaselt erinevad turvaklassid. Kõikidel niisugustel juhtumitel tuleb lähtuda alljärgnevast. · Tsoneerimine tuleb viia läbi mõistlikult, st tsoonidevaheliste pääsude hulka minimeerides, enam kaitset vajavaid tsoone sissepääsust ja külaliste tsoonidest kaugemale paigutades jms. Tsoneerimise juures peab kindlasti osalema turvajuht, kes peab tulemuse ka kirjalikult kinnitama. · Kõik tsoonidevahelised pääsud peavad sisaldama autentimist. Vastavalt
· Infosüsteemi administraator - viib omaniku otsused täide · Kasutaja - vastutab oma tegude eest · Seiraja - vaatab eksperdina asjad üle ja raporteerib tulemustest juhtkonnale. Ta omab tööplaani ja kontrollib infoturvapoliitika rakendamist ISKE Infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on infosüsteemides töödeldavatele andmetele piisava tasemega turvalisuse tagamine. Vastav turbetase määratakse andmetele turvaosaklasside määramise kaudu Turvaklassid (-tasemed) on ,,kõrge" (H), ,,keskmine" (M) ja ,,madal" (L) Konkreetsetele andmetele omistatakse nii konfidentsiaalsus-, käideldavus- (aegkriitilisus ja hilinemise tagajärgede kaalukus) kui ka terviklusnõuded IS võimekuse tõdemus (IS kompetentsus; IS võimekus; ressursside, kompetentsuste ja võimekuse omavaheline seotus) Tõdemus Kuigi organisatsioon võib läbi tehnoloogia rakendamise saada mõningast "esimese sammu astuja" eelist, siis
detsembri 2007. a määrusega nr 252 "Infosüsteemide turvameetmete süsteemiga" on riigi ja kohaliku omavalitsuse andmekogudele ettenähtud rakendada etalonturbe metoodikat, mida on kirjeldatud ISKE rakendusjuhises. Joonis 3.7 Turvaosaklassid ja turvaosaklasside määramise nõuded (ISKE rakendusjuhis) 66 ISKE rakendusjuhise alusel tehtava analüüsi käigus määratakse andmekogudele turvaklassid, mis põhinevad neljapallilisel skaalal ja kolmel turvaeesmärgil (käideldavus, terviklus ja konfidentsiaalsus), ning määratakse turvaosaklassid, mille tähised koosnevad turvaeesmärgi tähisest ja turvataseme väärtusest [33, lk 15]. Kindlasti tasub pöörata tähelepanu ka "Töötervishoiu ja tööohutuse seadusele", mille § 13 lõike 1 punkt 3 näeb ette töökeskkonna riskianalüüsi, mille käigus selgitatakse
annaabi.ee 
