1. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(1/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Andmeturbe teooria ja praktika
Erkki Leego
juhtivpartner
Leego Hansson
2. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(2/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Erkki Leego
• Magistrikraad informaatikas (Tartu Ülikool)
• Tartu Ülikool, 1. webmaster, teabetalituse
vanemtoimetaja
• Vabariigi Presidendi Kantselei, infonõunik
• Riigikogu Kantselei, infosüsteemide ja
tehnikaosakonna juhataja
• Tartu Ülikooli Kliinikum,
informaatikateenistuse direktor
• Leego Hansson, juhtivpartner, al. 2005
– IT juhtimise- ja konsultatsiooniettevõte
3. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(3/48)
Leego Hansson
• Firma teenus on
juhtida ettevõtete
infotehnoloogiliste
arengute
elluviimist
– Osalenud üle 130
ettevõtte arengus
www.leegohansson.com
www.facebook.com/leegohansso
n/
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
4. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(4/48)
Andmeturbe väljakutsed
• Vajalikke andmeid ei saa kasutada
– Hävinevad, ei leia enam üles, ei pääse ligi
• Töövahendid on kasutamatud
– Arvuti on viiruse poolt aeglaseks muudetud
– Arvutid, serverid, programmid ei toimi
• Delikaatne informatsioon võõrastele
kättesaadav
– Piinlikud fotod, eravestlused, terviseinfo,
mobiiltelefoni sisu - „kogu elu taskus“
• Infovargus
– Klientide andmebaas jm. ärisaladused
• Arvutikuriteod
– Krediitkaardipettused, ahistamine e-keskkondades
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
INTERNET
WAN ISP- Elion
(4 Mb/s Sync)
Tallinn
Uniper VPN
Domeeni-
kontroller
Tallinn LAN
Kokku
67 tööjaama
77 aktiivset kasutajakontot
8 võrguprinterit
VmWare
Failiserver
DOKU
Infrastruk-
tuuri serverid
E-post
MS Exchange
LADU TELLIMINE
TOODE 2
Finants
MS Dynamics AX
EMC
andmemassiiv
Tartu
Uniper VPN
Paide
Uniper VPN
Viljandi
Uniper VPN
WAN ISP- Elion
(2 Mb/s)
WAN ISP- Elion
(2 Mb/s)
WAN ISP- Elion
(8Mb/s sync)
Tartu LAN
Domeeni-
kontroller
TOODE
Terminali-
server
Kokku
35 tööjaama
43 aktiivset kasutajakontot
6 võrguprinterit
5. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(5/48)
100% turvalisust ei ole olemas
• 9/11 terrorirünnak (11.09.01)
– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid
hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud
– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva
– Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat
• Societe Generale hiigelpettus (01/08)
– Jérôme Kerviel kauplemistehingud põhjustasid pangale 76
miljardit krooni kahju
– Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises
• Lähis-Ida riikide interneti katkestus (01/08)
– Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida
riikide Interneti side kadumise 10 päevaks
– 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast)
• UK MTA andmete kadumise intsident (10/07)
– Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide
lastetoetust saanud perede andmetega läks teekonnal ühest
kontorist teise kaduma
– Intsident puudutab 25 milj. UK elanikku
• Küberrünnakud Eestis kevad 2007
– DOS rünnakud Eesti riigiasutustele ja pankadele
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
6. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(6/48)
Üldised tehnoloogia trendid
• Andmeid on väga palju
• Asjade internet (IoT)
• Alatine ühendus
• Pilvetehnoloogiate esiletung
• Sotsiaalsed võrgustikud
• Liidesed kasutajasõbralikumad
• Anonüümsuse ja privaatsuse vähenemine
• Teadmised ja nõu on käeulatuses
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
7. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(7/48)
Standardid
• ISO27000 standardite perekond. Infotehnoloogia, ...
• EVS-ISO/IEC 13335 1-5 Infoturbe halduse suunised
• ISO 13569 Pangandus ja sellega seotud
rahandusteenused
• ITIL (IT Infrastructure Library), IT teenuste haldamise
parima praktika kogum
• COBIT (ISACA juures tegutsev IT Governance
Institute)– IT juhtimise raamistik ärieesmärkide
tagamisel
• ISKE – Eestis riigiasutustele kehtestatud infoturbe
raamistik
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
8. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(8/48)
ISKE
• ISKE - Infosüsteemide turvameetmete süsteem (etalonturve)
– Riigi ja kohalike omavalitsuste andmekogude jaoks
– Valitsuse määrus 252 (20.12.07), rakendusjuhend ver. 8.0 (28+3922 lk)
(haldab RIA)
– Andmete turvaklass – 3 komponenti, 4 taset (K2T3S1)
– Turbeastmed – madal (L), keskmine (M) ja kõrge (H)
– Andmekogu kasutusele võtmise ajaks peavad turvameetmed olema
rakendatud
• Infosüsteemid tuleb regulaarselt auditeerida
– Turbeastme H audit iga 2 aasta järel
– Turbeastme M audit iga 3 aasta järel
– Turbeastme L audit iga 4 aasta järel
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
9. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(9/48)
Olulised teemad standardi järgi
• Turvaeesmärgid ja –
põhimõtted
• Turbe organisatsioon ja
infrastruktuur
• Infoturbe ja riskianalüüsi
ning riskihalduse strateegia
• Informatsiooni tundlikkus ja
riskid
• Riistvara ja tarkvara turve
• Side turve
• Füüsiline turve
• Personali turve
• Dokumentide ja
andmekandjate turve
• Tegevuskatkematus, sh
ootamatuste plaanimise ja
avariijärgse taaste,
strateegia ja plaan(id)
• Kaugtöö
• Alltöövõtu poliitika
• Muudatuste reguleerimine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
• Allikas: EVS-ISO/IEC TR 13335-3:1999 LISA A
10. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(10/48)
Andmete väärtus
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
11. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(11/48)
Erinevad infoallikad
• Andmebaaside kanded
• Dokumendid
– Elektroonilised
– Paberdokumendid
• E-kirjad
• Koosolekute märkmed -
salvestused
• Telefonivestlused
• Skype vestlused
• Tööde register
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
12. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(12/48)
Turbe strateegilised küsimused
• Mida on vaja kaitsta?
– Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse?
• Milliseid potentsiaalseid ebasoovitavaid tagajärgi
me soovime vältida?
– Millise hinnaga? Kui suurt katkestust võime me enne
tegutsemist taluda?
• Kuidas me määratleme ja efektiivselt haldame
jääkriski?
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
13. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(13/48)
Põhimõisted
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
14. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(14/48)
Andmeturbe 3 põhikomponenti
1. Konfidentsiaalsus
• Andmete kättesaadavus ainult selleks volitatud isikule
või tehnilisele vahendile
2. Terviklus
• Andmete õigsuse, täielikkuse ja ajakohasuse tagatus
ning päritolu autentsus ja volitamatute muutuste
puudumine
3. Käideldavus
• Kasutamiskõlblike andmete õigeaegne ja hõlbus
kättesaadavus selleks volitatud tarbijaile (isikutele või
tehnilistele vahenditele)
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
15. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(15/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Andmete turvaklass (nt. K2T3S1)
Andmete käideldavus (K):
K0 – töökindlus – pole oluline; jõudlus – pole oluline;
K1 – töökindlus – 90% (lubatud summaarne seisak
nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv
tippkoormusel – tunnid (1÷10);
K2 – töökindlus – 99% (lubatud summaarne seisak
nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv
tippkoormusel – minutid (1÷10);
K3 – töökindlus – 99,9% (lubatud summaarne seisak
nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – sekundid (1÷10).
Andmete terviklus (T):
T0 – info allikas, muutmise ega hävitamise tuvastatavus ei
ole olulised; info õigsuse, täielikkuse ja ajakohasuse
kontroll pole vajalik;
T1 – info allikas, selle muutmise ja hävitamise fakt peavad
olema tuvastatavad; info õigsuse, täielikkuse ja
ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele;
T2 – info allikas, selle muutmise ja hävitamise fakt peavad
olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja
ajakohasuse perioodiline kontroll;
T3 – info allikas, selle muutmise ja hävitamise faktil peab
olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja
ajakohasuse kontroll reaalajas.
Andmete konfidentsiaalsus (S):
S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud
tervikluse nõuetega);
S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi
korral;
S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on
lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav
juurdepääsu taotleva isiku õigustatud huvi korral.
Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”
16. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(16/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Ohud, nõrkused, meetmed
• Oht
– Süsteemi või organisatsiooni kahjustada võiva soovimatu
intsidendi potentsiaalne põhjus
• Nõrkused
– Vara või vararühma nõrk koht, mida saab ära kasutada oht
• Risk
– Võimalus, et vaadeldav oht kasutab ära mingi vara või
vararühma nõrkused, põhjustades varade kaotuse või kahjustuse
• Turvameede
– Riski kahandav teoviis, protseduur või mehhanism
17. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(17/48)
Andmeturbe põhimõisted
Andmeturbe
vastutaja
Andmete omanik
Andmed
Nõuded
Meetmed
Andmeturbe
poliitika
Ohud
Nõrkused
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
18. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(18/48)
Ründed ja muud ohud (ISKE)
• G1 – Vääramatu jõud
• G2 – Organisatsioonilised puudused
• G3 – Inimvead
• G4 – Tehnilised rikked ja defektid
• G5 – Ründed
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
19. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(19/48)
Ohud
• Füüsiline kahjustus
– Tuli
– Veekahjustus
– Saaste
– Suurem õnnetusjuhtum
– Seadmete või infokandjate hävimine
– Tolm, korrosioon, külmumine
• Looduslikest sündmustest tulenevad
– Klimaatilised nähtused
– Seismilised nähtused
– Vulkaanilised nähtused
– Meteoroloogilised nähtused
– Üleujutused
• Oluliste teenuste kaotus
– Õhu konditsioneerimise või veevarustuse süsteemi rike
– Elektritoite kadumine
– Sideseadmete rike
• Kiirgustest tingitud häired
– Elektromagnetiline kiirgus
– Soojuskiirgus
– Elektromagnetilised impulsid
– Ebausaldatavaist allikaist pärit andmed
– Riistvara manipuleerimine
– Tarkvara manipuleerimine
– Asukoha tuvastamine
• Teabe turvalisuse rikkumine
– Paljastavate parasiitsignaalide püük
– Kaugluure
– Pealtkuulamine
– Infokandjate või dokumentide vargus
– Seadmete vargus
– Kõrvaldatud infokandjate omastamine
– Paljastamine
• Tehnilised tõrked
– Seadme tõrge
– Seadme väär töö
– Infosüsteemi ummistus
– Tarkvara väär töö
– Infosüsteemi hooldatavuse rikkumine
• Lubamatud toimingud
– Seadmete volitamata kasutamine
– Tarkvara pettuslik kopeerimine
– Võltsitud või kopeeritud tarkvara kasutamine
– Andmete rikkumine
– Andmete ebaseaduslik töötlus
• Funktsioonide tõrked
– Kasutamisviga
– Õiguste väärkasutus
– Õiguste võltsimine
– Toimingute eitamine
– Töötajate kättesaadavuse tõrge
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Allikas: EVS-ISO/IEC 27005:2014
20. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(20/48)
Nõrkuste valdkonnad
• Riistvara
– nt. tundlikkus pinge kõikumiste suhtes
• Tarkvara
– nt. pääsuõiguste väär jaotamine
• Võrk
– nt. kaitsmata sideliinid
• Personal
– nt. puudulikud töölevõtmise protseduurid
• Tegevuspaik
– nt. hoonete, uste ja akende füüsilise turbe puudumine
• Organisatsioon
– nt. kasutajate registreerimise ja kustutamise formaalse protseduuri
puudumine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Allikas: EVS-ISO/IEC 27005:2014
21. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(21/48)
Andmeturbemeetmed
• Turvameetmed otstarbe järgi:
– ennetavad meetmed
– avastusmeetmed
– taastusmeetmed
• Turvameetmed teostusviisi järgi:
– organisatsioonilised meetmed
– füüsilised meetmed
– infotehnoloogilised meetmed
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
22. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(22/48)
10 olulisemat meedet
1. Uksed lukku ka tööpäeva ajal
2. Pidage arvet kasutajatunnuste üle
3. Tagage turvainfo jõudmine töötajateni
4. Tehke regulaarselt tagavarakoopiaid
5. Viirustõrje igasse arvutisse
6. Dokumentide hoidmiseks kindel kord
7. Tagavaratoide olulistele seadmetele
8. Kontrolljäljed kõikidest tegevustest
9. Reeglid andmete kasutamiseks
10.Koostage ülevaade oma infovaradest
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
23. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(23/48)
Näited infosüsteemidest
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
24. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(24/48)
Andmete kaitsel - näiteid
• Riigikogu Kantselei
– Hääletussüsteemi töökindlus
• 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega
mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks
fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta
tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas
fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil
riigieelarve eelnõu parlamendi menetlusest välja lükata.”
• Tartu Ülikooli Kliinikum
– 22 suurt infosüsteemi 24/7
• Tartu Ülikooli Eesti Geenivaramu
– Isikuandmete turvaline haldus
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
25. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(25/48)
Näide infosüsteemist - EGV
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
26. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(26/48)
Riski hindamine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
27. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(27/48)
Riski hindamine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
28. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(28/48)
Lubatud jääkrisk
• Riskianalüüs annab ülevaate ettevõtte infovaradest ja
nende kaitse olukorrast
• Juhtkonna poolt määratletud jääkrisk annab võimaluse
piiritleda meetmeid ja kaasnevaid kulusid
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
29. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(29/48)
10 tavalisemat probleemi
1. Ebatäielik ülevaade firma infovaradest ja turbe seisust
2. Töötajate hägus vastutus ja ebalojaalsus
3. Hoonete, uste, akende füüsilise turbe puudulikkus
4. Puudulikult hallatud pääsuõigused
5. Ettevõtte töötajate vähene turvateadlikkus
6. Puuduvad või vääralt hoiustatud tagavarakoopiad
7. Puudulik viirustõrje arvutites
8. Dokumentide ebapiisav arhiveerimine ja hävitamine
9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed
10.Logide või nende analüüsi puudumine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
30. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(30/48)
Inimesed ja vastutus
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
31. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(31/48)
Rollid ja vastutus
• Andmeturve on seotud paljude valdkondadega
• Osapooled
– Tippjuhtkond
– Andmeturbe eest vastutaja
– Valdkonna eest vastutaja
– IT meeskond
– Tavatöötaja
– Koostööpartner
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
32. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(32/48)
Inimeste teemad
• Personali valik
• Vastutus
• Teadlikkus
• Koolitus ja teavitamine
• Järelevalve
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
33. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(33/48)
Dokumentatsioon
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
34. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(34/48)
Mida pole kirjas, seda pole olemas
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
35. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(35/48)
Olulised turbedokumendid
• Infoturbe poliitika
• Infoturbe kontseptsioon
• Infosüsteemi kasutamise kord
• Arvutikasutaja juhend
• Kurivaratõrje kontseptsioon
• Turvaintsidentide käsitlemise
kord
• Turvaaspektid ja teavituskanalid
• IKT teenuste väljasttellimise kord
• Pääsulubade haldamise kord
• Pääsulubade register
• Krüptokontseptsioon
• Infosüsteemide spetsifikatsioon
• Infosüsteemide visuaalne skeem
• IS teenuste kirjeldused
• Serverite kirjeldused
• Tulemüüri kirjeldus
• Võrguseadmete kirjeldused
• Riistvara standard tööjaamadele
• Tarkvara standard tööjaamadele
• Tööjaamade ja lisaseadmete
loend
• Serveri taasteplaan
• Töökoha taasteplaan
• Arvutivõrgu taasteplaan
• Varundusplaanid
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
36. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(36/48)
Hea praktika
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
37. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(37/48)
Efektiivse turbehalduse 11 tunnust
Ettevõtte
üldtaseme
teema
Juhid on
aruande-
kohuslased
Käsitletakse
ärivajadusena
Riskidel põhinev
Rollid, vastutus,
ülesannete
erisus
defineeritud
Poliitika poolt
suunatud ja
jõustatud
Ressursid on
adekvaatselt
planeeritud
Personal teadlik
ja treenitud
Arenduse
elutsükli
järgimine
kohustuslik
Planeeritud,
hallatud,
mõõdetav ja
mõõdetud
Ülevaadatud ja
auditeeritud
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007,
http://www.cert.org/governance/ges.html
38. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(38/48)
Mida parimad teevad?
• 70%: on loodud terviklikud
turvalisuse ja vastavuse poliitikad
• 70%: tegevjuht on turbe- ja
riskihalduse esmane “omanik”
• 52%: nähtav on turvalisuse ja
vastavuste võtmeinfo
• 78%: juhte informeeritakse
regulaarselt IT-riskidest
• 67%: on rakendatud kontrollid
poliitika nõuete täitmise
monitoorimiseks
• 67%: on määratlenud kogu
auditeerimiseks ja aruandmiseks
vajamineva info
Ühe aasta möödumisel:
• 63%: vähendasid tegelike
turbeintsidentide arvu
• 70%: vähendasid keskmist
intsidentidega toimetulemise
aega
• 48%: vähendasid keskmist
intsidentidega toimetulemise kulu
• 74%: vähendasid
mittevastavuste arvu (auditi
negatiivseid tulemusi)
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing
Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus
Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv
ja nendega toimetulemise aeg
39. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(39/48)
Kulud infoturbele
• Kulud olukorra hindamisele ja meetmete sh.
dokumentatsiooni väljatöötamisele
– väline konsultatsioon, enda töötajate tegevused
• Kulud taristu planeerimisele ja seadistamisele
– väline konsultatsioon, enda töötajate tegevused
• Investeeringud taristusse
– tööjaamad, serverid, võrguseadmed, tagavara-
koopiaseadmed või nende renditeenuse sisseostmine
• Investeeringud tarkvarale ja litsentsidele
• Investeeringud füüsilise turbe tagamisele
• Kulud koolitusele ja teavitamistele
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
40. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(40/48)
Kuidas mitte üle pingutada?
• Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei
juhtu ...
• Tunne oma ettevõtte infoturbe olukorda
– Riskianalüüs toob välja pingerea probleemidest ja nõrkustest
– Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse
• Lähtu äri-põhistest kriteeriumitest
– Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud
– Valdkonnal peab olema selge vastutaja
– Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi
investeeringuotsuseid
• Turve on protsess
– Loo turvalisusele orienteeritud kultuur
– Liigu paremuse suunas teadlike ja jõukohaste sammudega
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
41. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(41/48)
Toimepidevus
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
42. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(42/48)
Toimepidevuse planeerimine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Toimepidevuse
riskianalüüs
Riske maandatavate
meetmete
planeerimine ja
rakendamine
Toimepidevusplaani
testimine
43. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(43/48)
Riskianalüüsi koostamise etapid
• Teenuse ja äriprotsessi kirjeldamine
• Teenuse osutamise kriitiliste tegevuste
väljaselgitamine
• Kriitiliste tegevuste ressursside määratlemine
• Kriitiliste tegevuste katkestuste tagajärgede
hindamine
• Kriitilisi tegevuse katkestuste põhjustavate ohtude
kirjeldamine
• Kriitilisi tegevuste katkestuste esinemise
tõenäosuse hindamine
• Riskimaatriksi koostamine
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
44. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(44/48)
Kriitilised ressursid
• Personal
• Territoorium ja seal paiknevad hooned
• Infotehnoloogilised süsteemid
• Teenuse osutamiseks vajalik informatsioon
• Finantsvahendid, mis on vajalikud teenuse
osutamiseks
• Varustajad ning partnerid, kellest sõltub teenuse
osutamine
• Muud teenuse osutamise seisukohast olulised
ressursid
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
45. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(45/48)
Tagajärgede hindamine
• Katkestuse ajaline mõõde
– Aastad/kuud, nädalad, päevad, tunnid,
sekundid/minutid
• Katkemise ulatus
– Väga madal, madal, keskmine, suur, väga suur
• Kas kahju on tekitatud?
– Inimese elule või tervisele
– Looduskeskkonnale
– Teenuse osutaja mainele
– Teenuse osutaja majanduslikule olukorrale
– Teenuse osutaja teenuse kvaliteedile
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
46. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(46/48)
Edasised sammud
Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
47. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(47/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Mida ette võtta? Praktiliselt
• Määrake andmeturbe eest vastutaja
• Tehke ettevõttes infovarade inventuur
• Määrake andmetele omanikud
• Koostage toimepidevusplaan
• Töötage välja ja rakendage ettevõtte turvameetmed
• Kontrollige regulaarselt protseduuride täitmist
48. Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(48/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Tänan!
Kui on tahe, on ka võimalus!
Erkki Leego
Erkki.Leego@LeegoHansson.com
www.LeegoHansson.com