Organisatsiooni tegevuse sõltuvuse määr konkreetsetest IT süsteemist. Konkreetse IT süsteemi väljatöötamise, hoolduse või asendamise maksumus. Konkreetse IT süsteemi varad, millele organisatsioonis on omistatud väärtus. 4 IT süsteemis jäme riskianalüüs Riskianalüüsi tulemusena määratakse IT süsteemile üks neljast turvatasemest. Maksimaalse ja kõrge turvataseme korral tuleks kaaluda detailse riskianalüüsi läbiviimist. Selle ebaotstarbekuse korral tuleks rakendada etalonturbe meetodit. Maksimaalne turvakaitse Käideldavus · asutuse keskseid ülesandeid ei saa täita IT ta · Kriitiliste otsuste puhul kiiresti vajalik värske teave · seisakud ei ole lubatud
Esemeliste volitustõendite põhiliigid *mehaanilised *optilised *elektrilised IT süsteemi jäme riskianalüüs *Jämeda riskianalüüsiga tehakse kindlaks: -Selle IT süsteemi tegevuseesmärgid. -organisatsiooni tegevuse sõltuvuse määr konkreetsest IT süsteemist. -konkreetse IT süsteemi väljatöötamise, hooldse või asendamise maksumus. -konkreetse IT süsteemi varad, millele organisatsioonis on omistatud väärtus *Riskianalüüsi tulemusena määratakse IT süsteemile üks neljast turvatasemest. *Maksimaalse ja kõrge turvataseme korral tuleks kaaluda detailse riskianalüüsi läbiviimist. *Selle ebaotstarbekuse korral tuleks rakendada etalonturbe meetodit. Käideldavus *asutuse keskseid ülesandeid ei saa täita IT-ta *kriitiliste otsuste puhul kiiresti vajalik värske teave *seisakud ei ole lubatavad Terviklus *Teava peab olema maksimaalsel võimalikul määral õige
Esemeliste volitustõendite põhiliigid *mehaanilised *optilised *elektrilised IT süsteemi jäme riskianalüüs *Jämeda riskianalüüsiga tehakse kindlaks: -Selle IT süsteemi tegevuseesmärgid. -organisatsiooni tegevuse sõltuvuse määr konkreetsest IT süsteemist. -konkreetse IT süsteemi väljatöötamise, hooldse või asendamise maksumus. -konkreetse IT süsteemi varad, millele organisatsioonis on omistatud väärtus *Riskianalüüsi tulemusena määratakse IT süsteemile üks neljast turvatasemest. *Maksimaalse ja kõrge turvataseme korral tuleks kaaluda detailse riskianalüüsi läbiviimist. *Selle ebaotstarbekuse korral tuleks rakendada etalonturbe meetodit. Käideldavus *asutuse keskseid ülesandeid ei saa täita IT-ta *kriitiliste otsuste puhul kiiresti vajalik värske teave *seisakud ei ole lubatavad Terviklus *Teava peab olema maksimaalsel võimalikul määral õige
soovitakse infovoogu kontrolli all hoida) · Objektidele ja subjektidele omistatakse turvaklassid · Iga märgend koosneb kahest osast: Tüüpi kirjeldav kategooria (järjestamata) Turvataset määrav järjestatud tundlikkusaste (objektidel) või lojaalsusaste (subjektidel) · Märgendid on ainult osaliselt järjestatud (matemaatilises mõttes on tegemist võrega) · Klass c1 on kõrgem () klassist c2, kui c1 turvatase on suurem c2 turvatasemest ning c2 kategooriad sisalduvad c1 omades. Mandatoorsed pääsupoliitikad 2 Juurdepääsu võre kategooriate sisaldumise järgi Mandatoorsed pääsupoliitikad 3 · Formaalseid meetodeid on erinevaid · Levinuimad on Bell-LaPadula mudel (konfidentsiaalsuse kaitseks - tagab, et info ei leki) ja Biba mudel (duaalne, tervikluse kaitseks - tagab, et asjassepuutumatu ei riku andmeid) · Bell-LaPadula mudel rakendatuna andmeüksustele: Subjekt S tohib lugeda andmeüksust A, kui cS cA
Seega riskianalüüsis hinnatud riskide kahandamiseks mingi vastuvõetava tasemeni jõudmiseks tuleks piiritleda ja valida asjakohased ja põhjendatud turvameetmed. Ohtudele vastavad nõrkused näitavad, kus võib olla vaja lisakaitset ning millisel kujul. Alad, kus turvameetmeid tuleks rakendada: · füüsiline keskkonnd; · personal; · haldus; · riist- ja tarkvara; · side [12, lk 3839]. Joonis 3.8 Kahjude ja turbekulude tüüpiline sõltuvus turvatasemest Arvutatud riski hindamise kriteeriumiks on aktsepteeritav risk, st selline oodatav kahju, mida on otstarbekas taluda, püüdmata teda kahandada üha kulukamate turvameetmetega. Kui arvutuslik risk ei ületa aktsepteeritavat, puudub turvameetmete lisamisel majanduslik põhjendus [13, lk 61]. Kuna dokumendisüsteem on osa asutuse infosüsteemist, on turbemeetmete (varukoopiate tegemine, arvutivõrku ja rakenduste, sh dokumendisüsteemi kasutamise
annaabi.ee 
