Turvaprobleemi skeemielemendid Vara (asset) on süsteemi osad, millel on organisatsiooni jaoks väärtus Oht (threat) on süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus Nõrkus (vulnerability) on vara või vararühma nõrk koht, mida saab vaadeldav oht ära kasutada Risk (risk) on võimalus, et oht kasutab ära mingi vara või vararühma nõrkuse ja põhjustab varale kahju Sügis 2006 Tallinna Polütehnikum 11 Turvamudel Sügis 2006 Tallinna Polütehnikum 12 Turvaülesanne Sügis 2006 Tallinna Polütehnikum 13 Turvaülesande skeemielemendid Turvameede (safeguard, security control) on riski kahandav tegevus, protseduur, protsess või mehhanism Jääkrisk (remanent risk) on risk, mis säilib pärast turvameetmete rakendamist Sügis 2006 Tallinna Polütehnikum 14 Turbe kulud ja tulud Sügis 2006 Tallinna Polütehnikum 15 Lähteuuring
Vara (asset) on süsteemi osad, millel on organisatsiooni jooks väärtus. Oht (threat) on süsteemi või organisatsiooni kahjustada võivad soovimatu intsidendi potentsiaalne põhjus. Nõrkus (vulnerability) on vara või vararühma nõrk koht, mida saab vaadeldav oht ära kasutada. Risk (risk) on võimalus, et oht kasutab ära mingi vara või vararühma nõrkuse ja põhjustab varale kahju. 2 Turvamudel Turvaseadmete skeemielemendid. Turvameede (safeguard, security control) on riski kahandav tegevus, protseduur, protsess või mehhanism. Jääkrisk (remanent risk) on risk, mis säilib pärast turvameetmete rakendamist Turbe kulud ja tulud. 3 Teine tund. Lähteuuring.
*korraldatakse regulaarseid turvaülevaatusi? Turvaprobleem Turvaprobleemi skeemielemendid Vara on süsteemi osad, millel on organisatsiooni jaoks väärtus. Oht on süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus. Nõrkus on vara või vararühma nõrk koht, mida saab vaadeldav oht ära kasutada. Risk on võimalus, et oht kasutab ära mingi vara või vararühma nõrkuse ja põhjustab varale kahju. Turvamudel Turvaülesande skeemielemendid Turvameede- (safeguard, security control) on riski kahandava tegevus, protsedur, protsess või mehhanism. Jääkrisk- risk, mis säilib pärast turvameetmete rakendamist. Infoturbe komponendid Turvalisus on infovarade kolme omaduse tagamine: Käideldavus- varade takistusteta kättesaadavus volitatud kasutajatele (isikud ja alamsüsteemid). Varade kasutuskõlblikus. Terviklus- varasid ei ole volitamatult muudetud. Varad pärinevad autentsest allikast.
*korraldatakse regulaarseid turvaülevaatusi? Turvaprobleemi skeemielemendid Vara on süsteemi osad, millel on organisatsiooni jaoks väärtus. Oht on süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus. Nõrkus on vara või vararühma nõrk koht, mida saab vaadeldav oht ära kasutada. Risk on võimalus, et oht kasutab ära mingi vara või vararühma nõrkuse ja põhjustab varale kahju. Turvamudel Turvaülesande skeemielemendid Turvameede- (safeguard, security control) on riski kahandava tegevus, protsedur, protsess või mehhanism. Jääkrisk- risk, mis säilib pärast turvameetmete rakendamist. Infoturbe komponendid Turvalisus on infovarade kolme omaduse tagamine: Käideldavus- varade takistusteta kättesaadavus volitatud kasutajatele (isikud ja alamsüsteemid). Varade kasutuskõlblikus. Terviklus- varasid ei ole volitamatult muudetud. Varad pärinevad autentsest allikast.
· C2 -- C1 + peenem granulaarsus + pidev auditeerimine (24h või 48h, mille jooksul keegi peab lugema logisid) - vanemad UNIXid, süsteeme oli vähe, kuna nõudis organiseerimist · B1 -- C2 + mandatoorne pääsupoliitika - nt kasutaja ei saa teha faili teistele kättesaadavaks, kui fail on peidetud · B2 -- B1 + formaalne mudel + hierarhilised turvatasemed · B3 -- B2 + topeltauditeerimine + vigade puudumine disainis - turvamudel on formaalselt analüüsitud, tõestatud, et turvaauke pole · A1 -- B3 + formaalne tõestus, et süsteem on korrektne - formaalne turvatõestus ka implementatsiooni kohta, programmikoodi analüüs; juurde kirjutatud, mida ja kus kontrollida · A2 -- tuleviku jaoks reserveeritud - sellise tasemeni ei jõutud EAL (Evaluation Assurance Level) turvaklassid -- Common Criteria - ühistingumused erinevate riikide jaoks (nt kiipkaartide verifitseemine jms)
Milliseid tegevusi on sobiv läbi viia arenduskeskkonnas? Koodi kirjutamine, koodi kompileerimine, moodulite testimine, projektdokumentatsiooni koostamine. Milliseid tegevusi on sobiv läbi viia testimiskeskkonnas? Kasutajatega testimine, kasutajate koolitus, regressioontestimine, koormustestimine. Milliseid tegevusi on sobiv läbi viia töökeskkonnas? Kasutajate koolitus, kliendipoolne igapäevatöö Millistel andmete omadustel põhineb andmete turvamudel? Käideldavusel, terviklusel, konfidentsiaalsusel. Tarkvarasüsteemi turvalisuse tagamisega tuleb alustada tarkvara projekteerides. Tarkvaraarenduse kergetele (agile) meetoditele on omane testimise alustamine esimestel protsessi etappidel, tihe suhtlemine kasutajatega. Tarkvaraarenduse rasketele meetoditele on omane põhjalik planeerimine, pikk ettemääratus. Mitmekihilise arhitektuuri oluline eesmärk on eraldada üksteisest rakenduse andmed ja nende
kirjeldus. Andmeturbe ja serveriruumi ohtude hindamiseks on suureks abiks Riigi Infosüsteemide Arenduskeskuse välja töötatud "Infosüsteemide kolmeastmelise etalonturbe süsteem ISKE rakendusjuhend". Tähelepanu tuleb pöörata ISKE poolt pakutud hindamisjuhistele, mille kohaselt erineb hindamine üldise hädaolukorra riskianalüüsist. Mitmesuguste analüüsimeetodite aluseks võivad olla erinevad mudelid ning ISKE poolt pakutud turvamudel põhinebki andmete kolme omaduse - käideldavuse, tervikluse ja konfidentsiaalsuse - tagamisel. ISKE analüüs sisaldab turvaklassi, turbeastmeid ja tüüpmooduli tähiste lahtreid. Ka infoturbe poliitikas on kasutusel erinevaid riskianalüüsi meetoteid (etalonturbe metoodika, mitteformaalne metoodika, detailne riskianalüüs ja segametoodika). Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 "Infosüsteemide
annaabi.ee 
