Andmeturbe teooria ja praktika

1. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (1/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmeturbe teooria ja praktika Erkki Leego juhtivpartner Leego Hansson

2. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (2/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Erkki Leego • Magistrikraad informaatikas (Tartu Ülikool) • Tartu Ülikool, 1. webmaster, teabetalituse vanemtoimetaja • Vabariigi Presidendi Kantselei, infonõunik • Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja • Tartu Ülikooli Kliinikum, informaatikateenistuse direktor • Leego Hansson, juhtivpartner, al. 2005 – IT juhtimise- ja konsultatsiooniettevõte

3. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (3/48) Leego Hansson • Firma teenus on juhtida ettevõtete infotehnoloogiliste arengute elluviimist – Osalenud üle 130 ettevõtte arengus www.leegohansson.com www.facebook.com/leegohansso n/ Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

4. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (4/48) Andmeturbe väljakutsed • Vajalikke andmeid ei saa kasutada – Hävinevad, ei leia enam üles, ei pääse ligi • Töövahendid on kasutamatud – Arvuti on viiruse poolt aeglaseks muudetud – Arvutid, serverid, programmid ei toimi • Delikaatne informatsioon võõrastele kättesaadav – Piinlikud fotod, eravestlused, terviseinfo, mobiiltelefoni sisu - „kogu elu taskus“ • Infovargus – Klientide andmebaas jm. ärisaladused • Arvutikuriteod – Krediitkaardipettused, ahistamine e-keskkondades Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv INTERNET WAN ISP- Elion (4 Mb/s Sync) Tallinn Uniper VPN Domeeni- kontroller Tallinn LAN Kokku 67 tööjaama 77 aktiivset kasutajakontot 8 võrguprinterit VmWare Failiserver DOKU Infrastruk- tuuri serverid E-post MS Exchange LADU TELLIMINE TOODE 2 Finants MS Dynamics AX EMC andmemassiiv Tartu Uniper VPN Paide Uniper VPN Viljandi Uniper VPN WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (8Mb/s sync) Tartu LAN Domeeni- kontroller TOODE Terminali- server Kokku 35 tööjaama 43 aktiivset kasutajakontot 6 võrguprinterit

5. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (5/48) 100% turvalisust ei ole olemas • 9/11 terrorirünnak (11.09.01) – Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud – Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva – Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat • Societe Generale hiigelpettus (01/08) – Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju – Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises • Lähis-Ida riikide interneti katkestus (01/08) – Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks – 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast) • UK MTA andmete kadumise intsident (10/07) – Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma – Intsident puudutab 25 milj. UK elanikku • Küberrünnakud Eestis kevad 2007 – DOS rünnakud Eesti riigiasutustele ja pankadele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

6. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (6/48) Üldised tehnoloogia trendid • Andmeid on väga palju • Asjade internet (IoT) • Alatine ühendus • Pilvetehnoloogiate esiletung • Sotsiaalsed võrgustikud • Liidesed kasutajasõbralikumad • Anonüümsuse ja privaatsuse vähenemine • Teadmised ja nõu on käeulatuses Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

7. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (7/48) Standardid • ISO27000 standardite perekond. Infotehnoloogia, ... • EVS-ISO/IEC 13335 1-5 Infoturbe halduse suunised • ISO 13569 Pangandus ja sellega seotud rahandusteenused • ITIL (IT Infrastructure Library), IT teenuste haldamise parima praktika kogum • COBIT (ISACA juures tegutsev IT Governance Institute)– IT juhtimise raamistik ärieesmärkide tagamisel • ISKE – Eestis riigiasutustele kehtestatud infoturbe raamistik Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

8. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (8/48) ISKE • ISKE - Infosüsteemide turvameetmete süsteem (etalonturve) – Riigi ja kohalike omavalitsuste andmekogude jaoks – Valitsuse määrus 252 (20.12.07), rakendusjuhend ver. 8.0 (28+3922 lk) (haldab RIA) – Andmete turvaklass – 3 komponenti, 4 taset (K2T3S1) – Turbeastmed – madal (L), keskmine (M) ja kõrge (H) – Andmekogu kasutusele võtmise ajaks peavad turvameetmed olema rakendatud • Infosüsteemid tuleb regulaarselt auditeerida – Turbeastme H audit iga 2 aasta järel – Turbeastme M audit iga 3 aasta järel – Turbeastme L audit iga 4 aasta järel Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

9. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (9/48) Olulised teemad standardi järgi • Turvaeesmärgid ja – põhimõtted • Turbe organisatsioon ja infrastruktuur • Infoturbe ja riskianalüüsi ning riskihalduse strateegia • Informatsiooni tundlikkus ja riskid • Riistvara ja tarkvara turve • Side turve • Füüsiline turve • Personali turve • Dokumentide ja andmekandjate turve • Tegevuskatkematus, sh ootamatuste plaanimise ja avariijärgse taaste, strateegia ja plaan(id) • Kaugtöö • Alltöövõtu poliitika • Muudatuste reguleerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv • Allikas: EVS-ISO/IEC TR 13335-3:1999 LISA A

10. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (10/48) Andmete väärtus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

11. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (11/48) Erinevad infoallikad • Andmebaaside kanded • Dokumendid – Elektroonilised – Paberdokumendid • E-kirjad • Koosolekute märkmed - salvestused • Telefonivestlused • Skype vestlused • Tööde register Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

12. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (12/48) Turbe strateegilised küsimused • Mida on vaja kaitsta? – Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse? • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? – Millise hinnaga? Kui suurt katkestust võime me enne tegutsemist taluda? • Kuidas me määratleme ja efektiivselt haldame jääkriski? Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum

13. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (13/48) Põhimõisted Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

14. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (14/48) Andmeturbe 3 põhikomponenti 1. Konfidentsiaalsus • Andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile 2. Terviklus • Andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine 3. Käideldavus • Kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

15. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (15/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmete turvaklass (nt. K2T3S1) Andmete käideldavus (K): K0 – töökindlus – pole oluline; jõudlus – pole oluline; K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10); K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10); K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10). Andmete terviklus (T): T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik; T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele; T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll; T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas. Andmete konfidentsiaalsus (S): S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega); S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral. Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”

16. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (16/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Ohud, nõrkused, meetmed • Oht – Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkused – Vara või vararühma nõrk koht, mida saab ära kasutada oht • Risk – Võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede – Riski kahandav teoviis, protseduur või mehhanism

17. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (17/48) Andmeturbe põhimõisted Andmeturbe vastutaja Andmete omanik Andmed Nõuded Meetmed Andmeturbe poliitika Ohud Nõrkused Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

18. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (18/48) Ründed ja muud ohud (ISKE) • G1 – Vääramatu jõud • G2 – Organisatsioonilised puudused • G3 – Inimvead • G4 – Tehnilised rikked ja defektid • G5 – Ründed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

19. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (19/48) Ohud • Füüsiline kahjustus – Tuli – Veekahjustus – Saaste – Suurem õnnetusjuhtum – Seadmete või infokandjate hävimine – Tolm, korrosioon, külmumine • Looduslikest sündmustest tulenevad – Klimaatilised nähtused – Seismilised nähtused – Vulkaanilised nähtused – Meteoroloogilised nähtused – Üleujutused • Oluliste teenuste kaotus – Õhu konditsioneerimise või veevarustuse süsteemi rike – Elektritoite kadumine – Sideseadmete rike • Kiirgustest tingitud häired – Elektromagnetiline kiirgus – Soojuskiirgus – Elektromagnetilised impulsid – Ebausaldatavaist allikaist pärit andmed – Riistvara manipuleerimine – Tarkvara manipuleerimine – Asukoha tuvastamine • Teabe turvalisuse rikkumine – Paljastavate parasiitsignaalide püük – Kaugluure – Pealtkuulamine – Infokandjate või dokumentide vargus – Seadmete vargus – Kõrvaldatud infokandjate omastamine – Paljastamine • Tehnilised tõrked – Seadme tõrge – Seadme väär töö – Infosüsteemi ummistus – Tarkvara väär töö – Infosüsteemi hooldatavuse rikkumine • Lubamatud toimingud – Seadmete volitamata kasutamine – Tarkvara pettuslik kopeerimine – Võltsitud või kopeeritud tarkvara kasutamine – Andmete rikkumine – Andmete ebaseaduslik töötlus • Funktsioonide tõrked – Kasutamisviga – Õiguste väärkasutus – Õiguste võltsimine – Toimingute eitamine – Töötajate kättesaadavuse tõrge Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014

20. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (20/48) Nõrkuste valdkonnad • Riistvara – nt. tundlikkus pinge kõikumiste suhtes • Tarkvara – nt. pääsuõiguste väär jaotamine • Võrk – nt. kaitsmata sideliinid • Personal – nt. puudulikud töölevõtmise protseduurid • Tegevuspaik – nt. hoonete, uste ja akende füüsilise turbe puudumine • Organisatsioon – nt. kasutajate registreerimise ja kustutamise formaalse protseduuri puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014

21. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (21/48) Andmeturbemeetmed • Turvameetmed otstarbe järgi: – ennetavad meetmed – avastusmeetmed – taastusmeetmed • Turvameetmed teostusviisi järgi: – organisatsioonilised meetmed – füüsilised meetmed – infotehnoloogilised meetmed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

22. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (22/48) 10 olulisemat meedet 1. Uksed lukku ka tööpäeva ajal 2. Pidage arvet kasutajatunnuste üle 3. Tagage turvainfo jõudmine töötajateni 4. Tehke regulaarselt tagavarakoopiaid 5. Viirustõrje igasse arvutisse 6. Dokumentide hoidmiseks kindel kord 7. Tagavaratoide olulistele seadmetele 8. Kontrolljäljed kõikidest tegevustest 9. Reeglid andmete kasutamiseks 10.Koostage ülevaade oma infovaradest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

23. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (23/48) Näited infosüsteemidest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

24. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (24/48) Andmete kaitsel - näiteid • Riigikogu Kantselei – Hääletussüsteemi töökindlus • 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.” • Tartu Ülikooli Kliinikum – 22 suurt infosüsteemi 24/7 • Tartu Ülikooli Eesti Geenivaramu – Isikuandmete turvaline haldus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

25. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (25/48) Näide infosüsteemist - EGV Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

26. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (26/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

27. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (27/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

28. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (28/48) Lubatud jääkrisk • Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast • Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

29. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (29/48) 10 tavalisemat probleemi 1. Ebatäielik ülevaade firma infovaradest ja turbe seisust 2. Töötajate hägus vastutus ja ebalojaalsus 3. Hoonete, uste, akende füüsilise turbe puudulikkus 4. Puudulikult hallatud pääsuõigused 5. Ettevõtte töötajate vähene turvateadlikkus 6. Puuduvad või vääralt hoiustatud tagavarakoopiad 7. Puudulik viirustõrje arvutites 8. Dokumentide ebapiisav arhiveerimine ja hävitamine 9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed 10.Logide või nende analüüsi puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

30. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (30/48) Inimesed ja vastutus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

31. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (31/48) Rollid ja vastutus • Andmeturve on seotud paljude valdkondadega • Osapooled – Tippjuhtkond – Andmeturbe eest vastutaja – Valdkonna eest vastutaja – IT meeskond – Tavatöötaja – Koostööpartner Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

32. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (32/48) Inimeste teemad • Personali valik • Vastutus • Teadlikkus • Koolitus ja teavitamine • Järelevalve Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

33. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (33/48) Dokumentatsioon Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

34. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (34/48) Mida pole kirjas, seda pole olemas Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

35. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (35/48) Olulised turbedokumendid • Infoturbe poliitika • Infoturbe kontseptsioon • Infosüsteemi kasutamise kord • Arvutikasutaja juhend • Kurivaratõrje kontseptsioon • Turvaintsidentide käsitlemise kord • Turvaaspektid ja teavituskanalid • IKT teenuste väljasttellimise kord • Pääsulubade haldamise kord • Pääsulubade register • Krüptokontseptsioon • Infosüsteemide spetsifikatsioon • Infosüsteemide visuaalne skeem • IS teenuste kirjeldused • Serverite kirjeldused • Tulemüüri kirjeldus • Võrguseadmete kirjeldused • Riistvara standard tööjaamadele • Tarkvara standard tööjaamadele • Tööjaamade ja lisaseadmete loend • Serveri taasteplaan • Töökoha taasteplaan • Arvutivõrgu taasteplaan • Varundusplaanid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

36. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (36/48) Hea praktika Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

37. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (37/48) Efektiivse turbehalduse 11 tunnust Ettevõtte üldtaseme teema Juhid on aruande- kohuslased Käsitletakse ärivajadusena Riskidel põhinev Rollid, vastutus, ülesannete erisus defineeritud Poliitika poolt suunatud ja jõustatud Ressursid on adekvaatselt planeeritud Personal teadlik ja treenitud Arenduse elutsükli järgimine kohustuslik Planeeritud, hallatud, mõõdetav ja mõõdetud Ülevaadatud ja auditeeritud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007, http://www.cert.org/governance/ges.html

38. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (38/48) Mida parimad teevad? • 70%: on loodud terviklikud turvalisuse ja vastavuse poliitikad • 70%: tegevjuht on turbe- ja riskihalduse esmane “omanik” • 52%: nähtav on turvalisuse ja vastavuste võtmeinfo • 78%: juhte informeeritakse regulaarselt IT-riskidest • 67%: on rakendatud kontrollid poliitika nõuete täitmise monitoorimiseks • 67%: on määratlenud kogu auditeerimiseks ja aruandmiseks vajamineva info Ühe aasta möödumisel: • 63%: vähendasid tegelike turbeintsidentide arvu • 70%: vähendasid keskmist intsidentidega toimetulemise aega • 48%: vähendasid keskmist intsidentidega toimetulemise kulu • 74%: vähendasid mittevastavuste arvu (auditi negatiivseid tulemusi) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv ja nendega toimetulemise aeg

39. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (39/48) Kulud infoturbele • Kulud olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele – väline konsultatsioon, enda töötajate tegevused • Kulud taristu planeerimisele ja seadistamisele – väline konsultatsioon, enda töötajate tegevused • Investeeringud taristusse – tööjaamad, serverid, võrguseadmed, tagavara- koopiaseadmed või nende renditeenuse sisseostmine • Investeeringud tarkvarale ja litsentsidele • Investeeringud füüsilise turbe tagamisele • Kulud koolitusele ja teavitamistele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

40. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (40/48) Kuidas mitte üle pingutada? • Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ... • Tunne oma ettevõtte infoturbe olukorda – Riskianalüüs toob välja pingerea probleemidest ja nõrkustest – Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse • Lähtu äri-põhistest kriteeriumitest – Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja – Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi investeeringuotsuseid • Turve on protsess – Loo turvalisusele orienteeritud kultuur – Liigu paremuse suunas teadlike ja jõukohaste sammudega Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

41. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (41/48) Toimepidevus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

42. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (42/48) Toimepidevuse planeerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Toimepidevuse riskianalüüs Riske maandatavate meetmete planeerimine ja rakendamine Toimepidevusplaani testimine

43. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (43/48) Riskianalüüsi koostamise etapid • Teenuse ja äriprotsessi kirjeldamine • Teenuse osutamise kriitiliste tegevuste väljaselgitamine • Kriitiliste tegevuste ressursside määratlemine • Kriitiliste tegevuste katkestuste tagajärgede hindamine • Kriitilisi tegevuse katkestuste põhjustavate ohtude kirjeldamine • Kriitilisi tegevuste katkestuste esinemise tõenäosuse hindamine • Riskimaatriksi koostamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

44. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (44/48) Kriitilised ressursid • Personal • Territoorium ja seal paiknevad hooned • Infotehnoloogilised süsteemid • Teenuse osutamiseks vajalik informatsioon • Finantsvahendid, mis on vajalikud teenuse osutamiseks • Varustajad ning partnerid, kellest sõltub teenuse osutamine • Muud teenuse osutamise seisukohast olulised ressursid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

45. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (45/48) Tagajärgede hindamine • Katkestuse ajaline mõõde – Aastad/kuud, nädalad, päevad, tunnid, sekundid/minutid • Katkemise ulatus – Väga madal, madal, keskmine, suur, väga suur • Kas kahju on tekitatud? – Inimese elule või tervisele – Looduskeskkonnale – Teenuse osutaja mainele – Teenuse osutaja majanduslikule olukorrale – Teenuse osutaja teenuse kvaliteedile Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

46. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (46/48) Edasised sammud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv

47. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (47/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Mida ette võtta? Praktiliselt • Määrake andmeturbe eest vastutaja • Tehke ettevõttes infovarade inventuur • Määrake andmetele omanikud • Koostage toimepidevusplaan • Töötage välja ja rakendage ettevõtte turvameetmed • Kontrollige regulaarselt protseduuride täitmist

48. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (48/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Tänan! Kui on tahe, on ka võimalus! Erkki Leego Erkki.Leego@LeegoHansson.com www.LeegoHansson.com

Andmeturbe teooria ja praktika

Andmeturbe teooria ja praktika

Recommended

More Related Content

Similar to Andmeturbe teooria ja praktika

Similar to Andmeturbe teooria ja praktika(20)

More from Leego

More from Leego(17)

Andmeturbe teooria ja praktika

Editor's Notes