Andmeturve Meelis Roos Kursiivis tekst on Meelis Roosi loengukommentaaride põhjal lisatud. Kollasega märgitud osa kohta on Meelis Roos öelnud, et seda on ta tavaliselt eksamil küsinud. Kava · Turvaeesmärgid, ohud, riskianalüüs, turvapoliitika, turbestrateegiad, turvatasemed, turvastandardid · Mitmekasutajasüsteemide turve, DAC & MAC, usaldatavad süsteemid · Autentimismeetodid, paroolid, NIS(+), Kerberos, NT domeenid, LDAP kataloogid, Active Directory, single signon · PKI (avaliku võtme infrastruktuuride) idee, rakendamine autentimisel ja signeerimisel, hierarhiad · Ohud võrgus, tulemüürid, krüpto rakendamine · Rünnakute avastamine: IDS (Intrusion Detection System), logimine; taasteplaanid; turvaprobleemide PR
informatsioon paikneb ühes keskses andmebaasis. Kasutajaõiguste süsteem peab olema töökindel ja kestma tõrgeteta süsteemi elutsüklite jooksul, kuna selle kaudu reguleeritakse, millistele süsteemi osadele ja millises ulatuses iga kasutaja ligi pääseb. Tänaseks on AD arenenud kaugemale lihtsast kasutajaõiguste süsteemist ning koondab endas väga mitmekesist infot nagu näiteks kasutajaõigused ja kontaktinfo, kasutaja turvapoliitika, info organisatsiooni struktuuri ja kasutajagruppide kohta, kasutajale rakendatud standardtarkvarapoliitika, süsteemi lülitatud arvutid ning os, süsteemi lülitatud arvutile rakendatud turvapoliitika, süsteemiga liitunud arvutite aadresside info, süsteemis liikuvate sõnumite suunamise loogika jms. Kuna AD sisaldab palju olulist infot, tuleb seda infot dubleerida ja varundada. Lisaks on mõistlik kõikide süsteemide
2 Võrguinfrastruktuuri ja turvalisuse valdkonnas on vaja järgmist: 1. Personaalsete integreeritud lahenduste arendust. 2. Äri ümberkujundamise efektiivse investeerimise, riskide maandamise ja paindlikkusega seotud lahendusi. TURVALISUS Kõigepealt tuleb analüüsida ettevõtte turvavajadusi ning välja töötada turvapoliitika ja -programm, mis sobiks kõige paremini organisatsiooni äritegevusega. Turvapoliitika edukas juurutamine sõltub mitmest tegurist: 1. Juhtkonna selgelt väljendatud vastutus turvapoliitika väljaarendamise eest. 2. IT-strateegia kooskõlas olevad turvaarhidektuuri põhimõtted. 3. Truvaprogrammi kõikehõlmava ja tõhusa teostuse aluseks olevad protseduurid. Tuleb koostada ettevõtte ärivajadusi arvestav üksikasjalik tegevuskava.
1) Töökindlus (reliability) · ettenähtud käitumise ja tulemuste järjekindlus. 2)Autentsus (authenticity) · mingi subjekt või ressurss on see, kellena või millena ta esineb. 3) jälitatavus (accountability) · mingi olemi toimingud on ühtselt jälitatavad selle olemini. 1 Turvalisuse kriteeriumid. Kas... 1) on olemas dokumenteeritud turvapoliitika? 2) vastutus turbe eest on selgelt määratletud? 3) vastutajad on saanud koolituse? 4) turvaintsidentidest antakse alati teada? 5) viirusekontrolli põhimõtted on fikseeritud? 6) talitluste katkematuse plaan on olemas? 7) tarkvara legaalsusnõuetest peetakse kinni? 8) organisatsiooni elutähtsad dokumendid on kaitstud? 9) isikuandmeid sisaldavate dokumentide kaitstus on vastav isikuandmete kaitse seaduse sätetele? 10) korraldatakse regulaarseid turvaülevaatusi?
Turvalisuse täiendavad omadused Töökindlus (reliability) ettenähtud käitumise ja tulemuste järjekindlus Autentsus (authenticity) mingi subjekt või ressurss on see, kellena või millena ta esineb Jälitatavus (accountability) mingi olemi toimingud on üheselt jälitatavad selle olemini Sügis 2006 Tallinna Polütehnikum 8 Turvalisuse kriteeriumid Kas.... on olemas dokumenteeritud turvapoliitika? vastutus turbe eest on selgelt määritletud? vastutajad on saanud koolituse? turvaintsidentidest antakse alati teada? viiruskontrolli põhimõtted on fikseeritud? talitluste katkematuse plaan on olemas? tarkvara legaalsusnõudest peetakse kinni? organisatsiooni elutähtsad dokumendid on kaitstud? isikuandmeid sisaldavate dokumentide kaitstus on vastav Isikuandmete kaitse seaduse sätetele?
koostöö tulem 104. Milliste talituste esindajate osavõtul tuleks koostada Infoturvapoliitikat? · kõrgem juhtkond · auditeerimine · rahandus · infosüsteemid (spetsialistid ja kasutajad) · tehnovõrgud ja infrastruktuur (st hoone ehitusliku osa eest vastutajad) · personaliala · üleüldine turve 105. Turvapoliitika tüüpsisu 1. Sissejuhatus · ülevaade · turvapoliitika rakendusala ja eesmärk 2. Turvaeesmärgid ja -põhimõtted · eesmärgid · põhimõtted 3. Turbe organisatsioon ja infrastruktuur · kohustused · (konkreetsete alamsüsteemide) turvapoliitikad · turvaintsidentidest teatamine 106. Infoturbe ametniku kohustused · infoturbe programmi täitmise järelevalve
1.Strateegia on pikaajaliste eesmärkide, nende saavutamise põhiteede ja tegevuspõhimõtete kogum, mis on ettevõtte (organisatsiooni) arengu alus. 2. Taktika ja operatiivne planeerimine on selleks, et teha asju õieti 3. See sisaldab eeldatavaid sooritustasemeid ja edukriteeriume, samuti infosüsteemide arenduse eesmärke, vajalikke ressursse ja teenuseid koos nende teostuse põhimõtetega. 4. juhtkonna selgelt väljendatud vastutus turvapoliitika väljaarendamise eest; - IT-strateegiaga kooskõlas olevad turvaarhitektuuri põhimõtted; - turvaprogrammi kõikehõlmava ja tõhusa teostuse aluseks olevad standardid; - igapäevase äritegevuse ja muude toimingute aluseks olevad protseduurid. 5. infoturbe keskne haldus; - mitmetasandiline viirusetõrje (tööjaamades ja serverites, pääsupunktides); - Internetist tuleva andmevoo filtreerimine; - võrgus ja süsteemipäevikutes olevate ebaharilike operatsioonide korrapärane
Kas ehk osta võimas tulemüür, et end Internetist tulevate rünnete eest kaitsta, või hoopis uuem server koos korraliku varundus- süsteemiga, et andmed jätkuvalt säiliksid? Või hoopis korraldada töötajatele koolitusseminar, et neid turbe alal harida? Poliitika ja põhimõtted Kõik ülalnimetatud sammud on mõistlikud, kuid praktikas peaks neile eelnema aluspõhimõtete paika panemine, mida tuntakse ka organisatsiooni turvapoliitika nime all. Turvapoliitika on infovaradega tegeleva asutuse töös üks keskseid dokumente, millest lähtub edaspidine tegevus. Alati ei peagi poliitika olema väljendatud paksu ehiskirjas üriku näol, nagu nimest võiks arvata; pigem on tegu lihtsate põhimõtetega, mida igaüks mõista ja järgida suudab. «Andmeturbe infotehnoloogilised meetodid» (vt. lõpust «Viited») fikseerib turvapoliitika elementidena järgmised asjaolud: · Andmeturbe motivatsioon · Ettevõtte töö sõltuvus andmetöötlusest
teades. Nuhkvara on tarkvara, mis kogub arvuti kasutaja kohta isiklikku infot ilma sellest kasutajat selgesõnaliselt teavitamata. Nuhkvara olemasolu on tavaliselt kasutaja eest peidetud ja seda tuvastada võib olla küllaltki raske. Nuhkvara võib isiklikku laadi infot koguda, talletades kasutaja klahvivajutusi (klahvinuhid), salvestades infot külastatud veebilehtede kohta või otsides seda kõvakettal olevatest dokumendifailidest. Turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides. Andmed - Andmeid samastatakse üldkeeles informatsiooniga, eriti kui tegu on mõõtmiste, vaatluste vms protseduuride tulemusega. Informatsioon - Informatsiooni all on algselt mõistetud ja mõistetakse üldkeeles ka praegu inimesele mõeldud andmeid ja teateid. Selles tähenduses nimetatakse informatsiooni ka teabeks või infoks.
3) Euroopa Liidu ja rahvusvahelise koostöö osakonna põhiülesanne on korraldada ministeeriumi tegevust Euroopa Liidu otsustusprotsessis ja rahvusvahelises koostöös; 4) haldusosakonna põhiülesanne on korraldada ministeeriumi asjaajamist ja arhiivitööd, side- ja infotehnoloogiatööd, riigihankeid, töövahendite ja -inventariga varustamist, töökeskkonna-, töötervishoiu- ja tööohutusnõuete täitmist, turvapoliitika kujundamist ja elluviimist ning ministeeriumi valitsemisel oleva riigivara haldamist ja arvestust; 5) jäätmeosakonna põhiülesanne on korraldada jäätmepoliitika ettevalmistamist ja elluviimist; 6) kalavarude osakonna põhiülesanne on korraldada kalavarude kaitse ja kasutamise poliitika ettevalmistamist ja elluviimist;
Jagunevad: · Kord (süstemaatilisus) · Turvateadlikkus · Töötingimused · Ennetav kontroll Tugevdusmeetmed: kord Näited: · Sisekorra eeskirjad · Täpsed ametijuhendid · Standardite järgimine · Infrastruktuuri ja töövahendite regulaarne hooldus · Kindlaksmääratud hankeprotseduurid · Töövahendite dokumenteerimine · Andmekandjate ja kaabeldus märgistus · Versioonihaldus · Ressursivarude käigushoid · Üldine turvapoliitika, turvaplaan, turvajuhendid Tugevdusmeetmed: töötingimused · Mikrokliima (temperatuur, õhuniiskus, õhu puhastus) · Töökoha ergonoomiline ehitus ja kujundus · Asutuse sotsiaalne kliima, positiivsed inimsuhted · Objektiivne edutamis- ja ergutuspoliitika Tugevdusmeetmed: ennetav kontroll · Infotehniliste toodete ja turmamehhanismide verifitseerimine ja testimine · Regulaarne turbealase operatiivteabe jälgimine (eriti internetis)
hajutatud ja globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas? *tarkvara legaalsusnõudest peetakse kinni? *organisatsiooni elutähtsad dokumendid on kaitstud? *isikuandmeid sisaldavate dokumentide kaitstus on vastav Isikuandmete kaitse seaduse sätetele? *korraldatakse regulaarseid turvaülevaatusi? Turvaprobleem Turvaprobleemi skeemielemendid
globaalsem, see tõttu pole infotöötlusel vaja koondada andmeid ühte arvutisse. Teadmusturve (knowledge security) *teadmussüsteemide ajastu- teadmustöötlus. (teadmiste kaitse) Mis on infoturve? Infoturve on infovarade turvalisuse tagamine. Infovarad on infosüsteemi osad, millel on väärtus. Turvalisuse tagamine on süsteemi võime kaitsta oma objektide käideldavust, terviklust ja konfidentsiaalsust. Turvalisuse kriteeriumid Kas... *on olemas dokumenteeritud turvapoliitika? *vastutus turbe eest on selgelt määratletud? *vastutajad on saanud koolituse? *turvaintsidentidest antakse alati teada? *viiruskontrolli põhimõtted on fikseeritud? *talitluse katkematuse plaan on olemas? *tarkvara legaalsusnõudest peetakse kinni? *organisatsiooni elutähtsad dokumendid on kaitstud? *isikuandmeid sisaldavate dokumentide kaitstus on vastav Isikuandmete kaitse seaduse sätetele? *korraldatakse regulaarseid turvaülevaatusi? Turvaprobleemi skeemielemendid
14. Esemeliste pääsuvahendite halduse seire tuleb läbi viia: · pistelise kontrollina vähemalt kaks korda aastas; · pärast iga turvaintsidenti, mille üheks põhjuseks olid puudused võtmete ja kaartide halduses; · pärast süsteemi iga suuremat ümberkorraldust, millega kaasneb oluline muudatus ka kasutajate õigustes ning seetõttu ulatuslik võtmete ja kaartide vahetus/ümberprogrammeerimine; · kui kuu jooksul on lahkunud töölt üle 20% töötajatest; · pärast asutuse turvapoliitika ja/või turvaplaani muutusi, mis puudutavad olulisel määral pääsuvahendite haldust ja korraldust; · peale kolimist või olulist ressursside muutmist (nt töötajate ümberpaigutamist hoones või ruumide lõikes). Seire tegemine on turvajuhi või tema poolt määratud töötaja kohustus. HT.26 = HS.18 Serveriruumi ja andmearhiivi külastajate logiraamatu pidamine HT.26 Serveriruumi ja andmearhiivi külastajate logiraamatu pidamine Unikaalmeede
annaabi.ee 
