SlideShare a Scribd company logo

Andmeturbe teooria ja praktika

Download as PPTX, PDF
Leego
Leego

2016-11-23 Erkki poolt tehtud esitlus andmeturbe põhimõistetest, väljakutsetest ja nende lahendamise võimalustest.

Education
1 of 48
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (1/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmeturbe teooria ja praktika Erkki Leego juhtivpartner Leego Hansson
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (2/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Erkki Leego • Magistrikraad informaatikas (Tartu Ülikool) • Tartu Ülikool, 1. webmaster, teabetalituse vanemtoimetaja • Vabariigi Presidendi Kantselei, infonõunik • Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja • Tartu Ülikooli Kliinikum, informaatikateenistuse direktor • Leego Hansson, juhtivpartner, al. 2005 – IT juhtimise- ja konsultatsiooniettevõte
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (3/48) Leego Hansson • Firma teenus on juhtida ettevõtete infotehnoloogiliste arengute elluviimist – Osalenud üle 130 ettevõtte arengus www.leegohansson.com www.facebook.com/leegohansso n/ Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (4/48) Andmeturbe väljakutsed • Vajalikke andmeid ei saa kasutada – Hävinevad, ei leia enam üles, ei pääse ligi • Töövahendid on kasutamatud – Arvuti on viiruse poolt aeglaseks muudetud – Arvutid, serverid, programmid ei toimi • Delikaatne informatsioon võõrastele kättesaadav – Piinlikud fotod, eravestlused, terviseinfo, mobiiltelefoni sisu - „kogu elu taskus“ • Infovargus – Klientide andmebaas jm. ärisaladused • Arvutikuriteod – Krediitkaardipettused, ahistamine e-keskkondades Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv INTERNET WAN ISP- Elion (4 Mb/s Sync) Tallinn Uniper VPN Domeeni- kontroller Tallinn LAN Kokku 67 tööjaama 77 aktiivset kasutajakontot 8 võrguprinterit VmWare Failiserver DOKU Infrastruk- tuuri serverid E-post MS Exchange LADU TELLIMINE TOODE 2 Finants MS Dynamics AX EMC andmemassiiv Tartu Uniper VPN Paide Uniper VPN Viljandi Uniper VPN WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (8Mb/s sync) Tartu LAN Domeeni- kontroller TOODE Terminali- server Kokku 35 tööjaama 43 aktiivset kasutajakontot 6 võrguprinterit
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (5/48) 100% turvalisust ei ole olemas • 9/11 terrorirünnak (11.09.01) – Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud – Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva – Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat • Societe Generale hiigelpettus (01/08) – Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju – Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises • Lähis-Ida riikide interneti katkestus (01/08) – Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks – 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast) • UK MTA andmete kadumise intsident (10/07) – Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma – Intsident puudutab 25 milj. UK elanikku • Küberrünnakud Eestis kevad 2007 – DOS rünnakud Eesti riigiasutustele ja pankadele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (6/48) Üldised tehnoloogia trendid • Andmeid on väga palju • Asjade internet (IoT) • Alatine ühendus • Pilvetehnoloogiate esiletung • Sotsiaalsed võrgustikud • Liidesed kasutajasõbralikumad • Anonüümsuse ja privaatsuse vähenemine • Teadmised ja nõu on käeulatuses Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (7/48) Standardid • ISO27000 standardite perekond. Infotehnoloogia, ... • EVS-ISO/IEC 13335 1-5 Infoturbe halduse suunised • ISO 13569 Pangandus ja sellega seotud rahandusteenused • ITIL (IT Infrastructure Library), IT teenuste haldamise parima praktika kogum • COBIT (ISACA juures tegutsev IT Governance Institute)– IT juhtimise raamistik ärieesmärkide tagamisel • ISKE – Eestis riigiasutustele kehtestatud infoturbe raamistik Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (8/48) ISKE • ISKE - Infosüsteemide turvameetmete süsteem (etalonturve) – Riigi ja kohalike omavalitsuste andmekogude jaoks – Valitsuse määrus 252 (20.12.07), rakendusjuhend ver. 8.0 (28+3922 lk) (haldab RIA) – Andmete turvaklass – 3 komponenti, 4 taset (K2T3S1) – Turbeastmed – madal (L), keskmine (M) ja kõrge (H) – Andmekogu kasutusele võtmise ajaks peavad turvameetmed olema rakendatud • Infosüsteemid tuleb regulaarselt auditeerida – Turbeastme H audit iga 2 aasta järel – Turbeastme M audit iga 3 aasta järel – Turbeastme L audit iga 4 aasta järel Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (9/48) Olulised teemad standardi järgi • Turvaeesmärgid ja – põhimõtted • Turbe organisatsioon ja infrastruktuur • Infoturbe ja riskianalüüsi ning riskihalduse strateegia • Informatsiooni tundlikkus ja riskid • Riistvara ja tarkvara turve • Side turve • Füüsiline turve • Personali turve • Dokumentide ja andmekandjate turve • Tegevuskatkematus, sh ootamatuste plaanimise ja avariijärgse taaste, strateegia ja plaan(id) • Kaugtöö • Alltöövõtu poliitika • Muudatuste reguleerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv • Allikas: EVS-ISO/IEC TR 13335-3:1999 LISA A
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (10/48) Andmete väärtus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (11/48) Erinevad infoallikad • Andmebaaside kanded • Dokumendid – Elektroonilised – Paberdokumendid • E-kirjad • Koosolekute märkmed - salvestused • Telefonivestlused • Skype vestlused • Tööde register Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (12/48) Turbe strateegilised küsimused • Mida on vaja kaitsta? – Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse? • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? – Millise hinnaga? Kui suurt katkestust võime me enne tegutsemist taluda? • Kuidas me määratleme ja efektiivselt haldame jääkriski? Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (13/48) Põhimõisted Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (14/48) Andmeturbe 3 põhikomponenti 1. Konfidentsiaalsus • Andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile 2. Terviklus • Andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine 3. Käideldavus • Kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (15/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmete turvaklass (nt. K2T3S1) Andmete käideldavus (K): K0 – töökindlus – pole oluline; jõudlus – pole oluline; K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10); K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10); K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10). Andmete terviklus (T): T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik; T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele; T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll; T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas. Andmete konfidentsiaalsus (S): S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega); S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral. Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (16/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Ohud, nõrkused, meetmed • Oht – Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkused – Vara või vararühma nõrk koht, mida saab ära kasutada oht • Risk – Võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede – Riski kahandav teoviis, protseduur või mehhanism
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (17/48) Andmeturbe põhimõisted Andmeturbe vastutaja Andmete omanik Andmed Nõuded Meetmed Andmeturbe poliitika Ohud Nõrkused Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (18/48) Ründed ja muud ohud (ISKE) • G1 – Vääramatu jõud • G2 – Organisatsioonilised puudused • G3 – Inimvead • G4 – Tehnilised rikked ja defektid • G5 – Ründed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (19/48) Ohud • Füüsiline kahjustus – Tuli – Veekahjustus – Saaste – Suurem õnnetusjuhtum – Seadmete või infokandjate hävimine – Tolm, korrosioon, külmumine • Looduslikest sündmustest tulenevad – Klimaatilised nähtused – Seismilised nähtused – Vulkaanilised nähtused – Meteoroloogilised nähtused – Üleujutused • Oluliste teenuste kaotus – Õhu konditsioneerimise või veevarustuse süsteemi rike – Elektritoite kadumine – Sideseadmete rike • Kiirgustest tingitud häired – Elektromagnetiline kiirgus – Soojuskiirgus – Elektromagnetilised impulsid – Ebausaldatavaist allikaist pärit andmed – Riistvara manipuleerimine – Tarkvara manipuleerimine – Asukoha tuvastamine • Teabe turvalisuse rikkumine – Paljastavate parasiitsignaalide püük – Kaugluure – Pealtkuulamine – Infokandjate või dokumentide vargus – Seadmete vargus – Kõrvaldatud infokandjate omastamine – Paljastamine • Tehnilised tõrked – Seadme tõrge – Seadme väär töö – Infosüsteemi ummistus – Tarkvara väär töö – Infosüsteemi hooldatavuse rikkumine • Lubamatud toimingud – Seadmete volitamata kasutamine – Tarkvara pettuslik kopeerimine – Võltsitud või kopeeritud tarkvara kasutamine – Andmete rikkumine – Andmete ebaseaduslik töötlus • Funktsioonide tõrked – Kasutamisviga – Õiguste väärkasutus – Õiguste võltsimine – Toimingute eitamine – Töötajate kättesaadavuse tõrge Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (20/48) Nõrkuste valdkonnad • Riistvara – nt. tundlikkus pinge kõikumiste suhtes • Tarkvara – nt. pääsuõiguste väär jaotamine • Võrk – nt. kaitsmata sideliinid • Personal – nt. puudulikud töölevõtmise protseduurid • Tegevuspaik – nt. hoonete, uste ja akende füüsilise turbe puudumine • Organisatsioon – nt. kasutajate registreerimise ja kustutamise formaalse protseduuri puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (21/48) Andmeturbemeetmed • Turvameetmed otstarbe järgi: – ennetavad meetmed – avastusmeetmed – taastusmeetmed • Turvameetmed teostusviisi järgi: – organisatsioonilised meetmed – füüsilised meetmed – infotehnoloogilised meetmed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (22/48) 10 olulisemat meedet 1. Uksed lukku ka tööpäeva ajal 2. Pidage arvet kasutajatunnuste üle 3. Tagage turvainfo jõudmine töötajateni 4. Tehke regulaarselt tagavarakoopiaid 5. Viirustõrje igasse arvutisse 6. Dokumentide hoidmiseks kindel kord 7. Tagavaratoide olulistele seadmetele 8. Kontrolljäljed kõikidest tegevustest 9. Reeglid andmete kasutamiseks 10.Koostage ülevaade oma infovaradest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (23/48) Näited infosüsteemidest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (24/48) Andmete kaitsel - näiteid • Riigikogu Kantselei – Hääletussüsteemi töökindlus • 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.” • Tartu Ülikooli Kliinikum – 22 suurt infosüsteemi 24/7 • Tartu Ülikooli Eesti Geenivaramu – Isikuandmete turvaline haldus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (25/48) Näide infosüsteemist - EGV Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (26/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (27/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (28/48) Lubatud jääkrisk • Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast • Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (29/48) 10 tavalisemat probleemi 1. Ebatäielik ülevaade firma infovaradest ja turbe seisust 2. Töötajate hägus vastutus ja ebalojaalsus 3. Hoonete, uste, akende füüsilise turbe puudulikkus 4. Puudulikult hallatud pääsuõigused 5. Ettevõtte töötajate vähene turvateadlikkus 6. Puuduvad või vääralt hoiustatud tagavarakoopiad 7. Puudulik viirustõrje arvutites 8. Dokumentide ebapiisav arhiveerimine ja hävitamine 9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed 10.Logide või nende analüüsi puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (30/48) Inimesed ja vastutus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (31/48) Rollid ja vastutus • Andmeturve on seotud paljude valdkondadega • Osapooled – Tippjuhtkond – Andmeturbe eest vastutaja – Valdkonna eest vastutaja – IT meeskond – Tavatöötaja – Koostööpartner Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (32/48) Inimeste teemad • Personali valik • Vastutus • Teadlikkus • Koolitus ja teavitamine • Järelevalve Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (33/48) Dokumentatsioon Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (34/48) Mida pole kirjas, seda pole olemas Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (35/48) Olulised turbedokumendid • Infoturbe poliitika • Infoturbe kontseptsioon • Infosüsteemi kasutamise kord • Arvutikasutaja juhend • Kurivaratõrje kontseptsioon • Turvaintsidentide käsitlemise kord • Turvaaspektid ja teavituskanalid • IKT teenuste väljasttellimise kord • Pääsulubade haldamise kord • Pääsulubade register • Krüptokontseptsioon • Infosüsteemide spetsifikatsioon • Infosüsteemide visuaalne skeem • IS teenuste kirjeldused • Serverite kirjeldused • Tulemüüri kirjeldus • Võrguseadmete kirjeldused • Riistvara standard tööjaamadele • Tarkvara standard tööjaamadele • Tööjaamade ja lisaseadmete loend • Serveri taasteplaan • Töökoha taasteplaan • Arvutivõrgu taasteplaan • Varundusplaanid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (36/48) Hea praktika Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (37/48) Efektiivse turbehalduse 11 tunnust Ettevõtte üldtaseme teema Juhid on aruande- kohuslased Käsitletakse ärivajadusena Riskidel põhinev Rollid, vastutus, ülesannete erisus defineeritud Poliitika poolt suunatud ja jõustatud Ressursid on adekvaatselt planeeritud Personal teadlik ja treenitud Arenduse elutsükli järgimine kohustuslik Planeeritud, hallatud, mõõdetav ja mõõdetud Ülevaadatud ja auditeeritud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007, http://www.cert.org/governance/ges.html
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (38/48) Mida parimad teevad? • 70%: on loodud terviklikud turvalisuse ja vastavuse poliitikad • 70%: tegevjuht on turbe- ja riskihalduse esmane “omanik” • 52%: nähtav on turvalisuse ja vastavuste võtmeinfo • 78%: juhte informeeritakse regulaarselt IT-riskidest • 67%: on rakendatud kontrollid poliitika nõuete täitmise monitoorimiseks • 67%: on määratlenud kogu auditeerimiseks ja aruandmiseks vajamineva info Ühe aasta möödumisel: • 63%: vähendasid tegelike turbeintsidentide arvu • 70%: vähendasid keskmist intsidentidega toimetulemise aega • 48%: vähendasid keskmist intsidentidega toimetulemise kulu • 74%: vähendasid mittevastavuste arvu (auditi negatiivseid tulemusi) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv ja nendega toimetulemise aeg
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (39/48) Kulud infoturbele • Kulud olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele – väline konsultatsioon, enda töötajate tegevused • Kulud taristu planeerimisele ja seadistamisele – väline konsultatsioon, enda töötajate tegevused • Investeeringud taristusse – tööjaamad, serverid, võrguseadmed, tagavara- koopiaseadmed või nende renditeenuse sisseostmine • Investeeringud tarkvarale ja litsentsidele • Investeeringud füüsilise turbe tagamisele • Kulud koolitusele ja teavitamistele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (40/48) Kuidas mitte üle pingutada? • Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ... • Tunne oma ettevõtte infoturbe olukorda – Riskianalüüs toob välja pingerea probleemidest ja nõrkustest – Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse • Lähtu äri-põhistest kriteeriumitest – Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja – Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi investeeringuotsuseid • Turve on protsess – Loo turvalisusele orienteeritud kultuur – Liigu paremuse suunas teadlike ja jõukohaste sammudega Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (41/48) Toimepidevus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (42/48) Toimepidevuse planeerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Toimepidevuse riskianalüüs Riske maandatavate meetmete planeerimine ja rakendamine Toimepidevusplaani testimine
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (43/48) Riskianalüüsi koostamise etapid • Teenuse ja äriprotsessi kirjeldamine • Teenuse osutamise kriitiliste tegevuste väljaselgitamine • Kriitiliste tegevuste ressursside määratlemine • Kriitiliste tegevuste katkestuste tagajärgede hindamine • Kriitilisi tegevuse katkestuste põhjustavate ohtude kirjeldamine • Kriitilisi tegevuste katkestuste esinemise tõenäosuse hindamine • Riskimaatriksi koostamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (44/48) Kriitilised ressursid • Personal • Territoorium ja seal paiknevad hooned • Infotehnoloogilised süsteemid • Teenuse osutamiseks vajalik informatsioon • Finantsvahendid, mis on vajalikud teenuse osutamiseks • Varustajad ning partnerid, kellest sõltub teenuse osutamine • Muud teenuse osutamise seisukohast olulised ressursid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (45/48) Tagajärgede hindamine • Katkestuse ajaline mõõde – Aastad/kuud, nädalad, päevad, tunnid, sekundid/minutid • Katkemise ulatus – Väga madal, madal, keskmine, suur, väga suur • Kas kahju on tekitatud? – Inimese elule või tervisele – Looduskeskkonnale – Teenuse osutaja mainele – Teenuse osutaja majanduslikule olukorrale – Teenuse osutaja teenuse kvaliteedile Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (46/48) Edasised sammud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (47/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Mida ette võtta? Praktiliselt • Määrake andmeturbe eest vastutaja • Tehke ettevõttes infovarade inventuur • Määrake andmetele omanikud • Koostage toimepidevusplaan • Töötage välja ja rakendage ettevõtte turvameetmed • Kontrollige regulaarselt protseduuride täitmist
Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (48/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Tänan! Kui on tahe, on ka võimalus! Erkki Leego Erkki.Leego@LeegoHansson.com www.LeegoHansson.com

Recommended

Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaPrivaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaLeego
 
Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Moodsa ajastu riskid
Moodsa ajastu riskidMoodsa ajastu riskid
Moodsa ajastu riskidLeego
 
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks Riigi Infosüsteemi Amet
 
Kuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaKuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaLeego
 
IT juhi tööst
IT juhi tööstIT juhi tööst
IT juhi tööstLeego
 

Recommended

Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaPrivaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaLeego
 
Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Moodsa ajastu riskid
Moodsa ajastu riskidMoodsa ajastu riskid
Moodsa ajastu riskidLeego
 
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks Riigi Infosüsteemi Amet
 
Kuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaKuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaLeego
 
IT juhi tööst
IT juhi tööstIT juhi tööst
IT juhi tööstLeego
 
Digiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveDigiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveLeego
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesLeego
 
Digiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestDigiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestLeego
 
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedErkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedTsenter
 
Tootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedTootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedLeego
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 
E-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜsE-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜsAndres Kütt
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline RakendamineSF programm "Infoühiskonna teadlikkuse tõstmine"
 
Digiajastu trendid 2016
Digiajastu trendid 2016Digiajastu trendid 2016
Digiajastu trendid 2016Leego
 
Infoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtInfoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtRiigi Infosüsteemi Amet
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)Riigi Infosüsteemi Amet
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendidLeego
 
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskidPrimend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskidPrimend
 
ISKE praktiline rakendamine
ISKE praktiline rakendamineISKE praktiline rakendamine
ISKE praktiline rakendamineRiigi Infosüsteemi Amet
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskusedLeego
 
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamineIsikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamineToomas Mõttus
 
BEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptxBEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptxcaniceconsulting
 
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudE-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudLeego
 
Väikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineVäikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineLeego
 
Avaliku teabe seadus
Avaliku teabe seadusAvaliku teabe seadus
Avaliku teabe seadusRiigi Infosüsteemi Amet
 
Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltLeego
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadLeego
 

More Related Content

Similar to Andmeturbe teooria ja praktika

Digiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveDigiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveLeego
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesLeego
 
Digiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestDigiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestLeego
 
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedErkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedTsenter
 
Tootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedTootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedLeego
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 
E-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜsE-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜsAndres Kütt
 
Digiajastu trendid 2016
Digiajastu trendid 2016Digiajastu trendid 2016
Digiajastu trendid 2016Leego
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendidLeego
 
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskidPrimend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskidPrimend
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskusedLeego
 
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamineIsikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamineToomas Mõttus
 
BEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptxBEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptxcaniceconsulting
 
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudE-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudLeego
 
Väikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineVäikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineLeego
 

Similar to Andmeturbe teooria ja praktika (20)

Digiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveDigiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturve
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arenduses
 
Digiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestDigiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisest
 
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedErkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
 
Tootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedTootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimused
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?
 
E-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜsE-riigist. ERAH loeng TTÜs
E-riigist. ERAH loeng TTÜs
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline Rakendamine
 
Digiajastu trendid 2016
Digiajastu trendid 2016Digiajastu trendid 2016
Digiajastu trendid 2016
 
Infoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtInfoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuht
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendid
 
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskidPrimend Pilvekonverents - Pilve andmekogude õiguslikud riskid
Primend Pilvekonverents - Pilve andmekogude õiguslikud riskid
 
ISKE praktiline rakendamine
ISKE praktiline rakendamineISKE praktiline rakendamine
ISKE praktiline rakendamine
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskused
 
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamineIsikuandmete kaitse üldmäärus GDPR praktiline rakendamine
Isikuandmete kaitse üldmäärus GDPR praktiline rakendamine
 
BEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptxBEGIN BLOCKCHAIN - Module 5_EE.pptx
BEGIN BLOCKCHAIN - Module 5_EE.pptx
 
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudE-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
 
Väikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineVäikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimine
 
Avaliku teabe seadus
Avaliku teabe seadusAvaliku teabe seadus
Avaliku teabe seadus
 

More from Leego

Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltLeego
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadLeego
 
Kasutajaliideste kavandamine
Kasutajaliideste kavandamineKasutajaliideste kavandamine
Kasutajaliideste kavandamineLeego
 
Microsoft Teams-i kasutamine
Microsoft Teams-i kasutamineMicrosoft Teams-i kasutamine
Microsoft Teams-i kasutamineLeego
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimineLeego
 
Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Leego
 
Teadmushalduse põhialused
Teadmushalduse põhialusedTeadmushalduse põhialused
Teadmushalduse põhialusedLeego
 
Digipöörde elluviimine
Digipöörde elluviimineDigipöörde elluviimine
Digipöörde elluviimineLeego
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskusedLeego
 
Nationwide e-Estonia mind-set
Nationwide e-Estonia mind-setNationwide e-Estonia mind-set
Nationwide e-Estonia mind-setLeego
 
IT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineIT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineLeego
 
Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Leego
 
Tervishoid läbi IT prisma
Tervishoid läbi IT prismaTervishoid läbi IT prisma
Tervishoid läbi IT prismaLeego
 
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Leego
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis varaLeego
 
Hoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaHoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaLeego
 
Ettevõtte infoturbe alused
Ettevõtte infoturbe alusedEttevõtte infoturbe alused
Ettevõtte infoturbe alusedLeego
 

More from Leego (17)

Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks poolt
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavad
 
Kasutajaliideste kavandamine
Kasutajaliideste kavandamineKasutajaliideste kavandamine
Kasutajaliideste kavandamine
 
Microsoft Teams-i kasutamine
Microsoft Teams-i kasutamineMicrosoft Teams-i kasutamine
Microsoft Teams-i kasutamine
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimine
 
Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016
 
Teadmushalduse põhialused
Teadmushalduse põhialusedTeadmushalduse põhialused
Teadmushalduse põhialused
 
Digipöörde elluviimine
Digipöörde elluviimineDigipöörde elluviimine
Digipöörde elluviimine
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskused
 
Nationwide e-Estonia mind-set
Nationwide e-Estonia mind-setNationwide e-Estonia mind-set
Nationwide e-Estonia mind-set
 
IT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineIT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimine
 
Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?
 
Tervishoid läbi IT prisma
Tervishoid läbi IT prismaTervishoid läbi IT prisma
Tervishoid läbi IT prisma
 
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis vara
 
Hoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaHoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kaua
 
Ettevõtte infoturbe alused
Ettevõtte infoturbe alusedEttevõtte infoturbe alused
Ettevõtte infoturbe alused
 

Andmeturbe teooria ja praktika

  • 1. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (1/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmeturbe teooria ja praktika Erkki Leego juhtivpartner Leego Hansson
  • 2. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (2/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Erkki Leego • Magistrikraad informaatikas (Tartu Ülikool) • Tartu Ülikool, 1. webmaster, teabetalituse vanemtoimetaja • Vabariigi Presidendi Kantselei, infonõunik • Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja • Tartu Ülikooli Kliinikum, informaatikateenistuse direktor • Leego Hansson, juhtivpartner, al. 2005 – IT juhtimise- ja konsultatsiooniettevõte
  • 3. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (3/48) Leego Hansson • Firma teenus on juhtida ettevõtete infotehnoloogiliste arengute elluviimist – Osalenud üle 130 ettevõtte arengus www.leegohansson.com www.facebook.com/leegohansso n/ Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 4. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (4/48) Andmeturbe väljakutsed • Vajalikke andmeid ei saa kasutada – Hävinevad, ei leia enam üles, ei pääse ligi • Töövahendid on kasutamatud – Arvuti on viiruse poolt aeglaseks muudetud – Arvutid, serverid, programmid ei toimi • Delikaatne informatsioon võõrastele kättesaadav – Piinlikud fotod, eravestlused, terviseinfo, mobiiltelefoni sisu - „kogu elu taskus“ • Infovargus – Klientide andmebaas jm. ärisaladused • Arvutikuriteod – Krediitkaardipettused, ahistamine e-keskkondades Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv INTERNET WAN ISP- Elion (4 Mb/s Sync) Tallinn Uniper VPN Domeeni- kontroller Tallinn LAN Kokku 67 tööjaama 77 aktiivset kasutajakontot 8 võrguprinterit VmWare Failiserver DOKU Infrastruk- tuuri serverid E-post MS Exchange LADU TELLIMINE TOODE 2 Finants MS Dynamics AX EMC andmemassiiv Tartu Uniper VPN Paide Uniper VPN Viljandi Uniper VPN WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (2 Mb/s) WAN ISP- Elion (8Mb/s sync) Tartu LAN Domeeni- kontroller TOODE Terminali- server Kokku 35 tööjaama 43 aktiivset kasutajakontot 6 võrguprinterit
  • 5. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (5/48) 100% turvalisust ei ole olemas • 9/11 terrorirünnak (11.09.01) – Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud – Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva – Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat • Societe Generale hiigelpettus (01/08) – Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju – Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises • Lähis-Ida riikide interneti katkestus (01/08) – Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks – 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast) • UK MTA andmete kadumise intsident (10/07) – Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma – Intsident puudutab 25 milj. UK elanikku • Küberrünnakud Eestis kevad 2007 – DOS rünnakud Eesti riigiasutustele ja pankadele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 6. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (6/48) Üldised tehnoloogia trendid • Andmeid on väga palju • Asjade internet (IoT) • Alatine ühendus • Pilvetehnoloogiate esiletung • Sotsiaalsed võrgustikud • Liidesed kasutajasõbralikumad • Anonüümsuse ja privaatsuse vähenemine • Teadmised ja nõu on käeulatuses Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 7. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (7/48) Standardid • ISO27000 standardite perekond. Infotehnoloogia, ... • EVS-ISO/IEC 13335 1-5 Infoturbe halduse suunised • ISO 13569 Pangandus ja sellega seotud rahandusteenused • ITIL (IT Infrastructure Library), IT teenuste haldamise parima praktika kogum • COBIT (ISACA juures tegutsev IT Governance Institute)– IT juhtimise raamistik ärieesmärkide tagamisel • ISKE – Eestis riigiasutustele kehtestatud infoturbe raamistik Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 8. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (8/48) ISKE • ISKE - Infosüsteemide turvameetmete süsteem (etalonturve) – Riigi ja kohalike omavalitsuste andmekogude jaoks – Valitsuse määrus 252 (20.12.07), rakendusjuhend ver. 8.0 (28+3922 lk) (haldab RIA) – Andmete turvaklass – 3 komponenti, 4 taset (K2T3S1) – Turbeastmed – madal (L), keskmine (M) ja kõrge (H) – Andmekogu kasutusele võtmise ajaks peavad turvameetmed olema rakendatud • Infosüsteemid tuleb regulaarselt auditeerida – Turbeastme H audit iga 2 aasta järel – Turbeastme M audit iga 3 aasta järel – Turbeastme L audit iga 4 aasta järel Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 9. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (9/48) Olulised teemad standardi järgi • Turvaeesmärgid ja – põhimõtted • Turbe organisatsioon ja infrastruktuur • Infoturbe ja riskianalüüsi ning riskihalduse strateegia • Informatsiooni tundlikkus ja riskid • Riistvara ja tarkvara turve • Side turve • Füüsiline turve • Personali turve • Dokumentide ja andmekandjate turve • Tegevuskatkematus, sh ootamatuste plaanimise ja avariijärgse taaste, strateegia ja plaan(id) • Kaugtöö • Alltöövõtu poliitika • Muudatuste reguleerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv • Allikas: EVS-ISO/IEC TR 13335-3:1999 LISA A
  • 10. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (10/48) Andmete väärtus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 11. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (11/48) Erinevad infoallikad • Andmebaaside kanded • Dokumendid – Elektroonilised – Paberdokumendid • E-kirjad • Koosolekute märkmed - salvestused • Telefonivestlused • Skype vestlused • Tööde register Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 12. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (12/48) Turbe strateegilised küsimused • Mida on vaja kaitsta? – Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse? • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? – Millise hinnaga? Kui suurt katkestust võime me enne tegutsemist taluda? • Kuidas me määratleme ja efektiivselt haldame jääkriski? Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
  • 13. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (13/48) Põhimõisted Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 14. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (14/48) Andmeturbe 3 põhikomponenti 1. Konfidentsiaalsus • Andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile 2. Terviklus • Andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine 3. Käideldavus • Kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 15. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (15/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Andmete turvaklass (nt. K2T3S1) Andmete käideldavus (K): K0 – töökindlus – pole oluline; jõudlus – pole oluline; K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10); K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10); K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10). Andmete terviklus (T): T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik; T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele; T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll; T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas. Andmete konfidentsiaalsus (S): S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega); S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral; S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral. Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”
  • 16. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (16/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Ohud, nõrkused, meetmed • Oht – Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkused – Vara või vararühma nõrk koht, mida saab ära kasutada oht • Risk – Võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede – Riski kahandav teoviis, protseduur või mehhanism
  • 17. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (17/48) Andmeturbe põhimõisted Andmeturbe vastutaja Andmete omanik Andmed Nõuded Meetmed Andmeturbe poliitika Ohud Nõrkused Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 18. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (18/48) Ründed ja muud ohud (ISKE) • G1 – Vääramatu jõud • G2 – Organisatsioonilised puudused • G3 – Inimvead • G4 – Tehnilised rikked ja defektid • G5 – Ründed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 19. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (19/48) Ohud • Füüsiline kahjustus – Tuli – Veekahjustus – Saaste – Suurem õnnetusjuhtum – Seadmete või infokandjate hävimine – Tolm, korrosioon, külmumine • Looduslikest sündmustest tulenevad – Klimaatilised nähtused – Seismilised nähtused – Vulkaanilised nähtused – Meteoroloogilised nähtused – Üleujutused • Oluliste teenuste kaotus – Õhu konditsioneerimise või veevarustuse süsteemi rike – Elektritoite kadumine – Sideseadmete rike • Kiirgustest tingitud häired – Elektromagnetiline kiirgus – Soojuskiirgus – Elektromagnetilised impulsid – Ebausaldatavaist allikaist pärit andmed – Riistvara manipuleerimine – Tarkvara manipuleerimine – Asukoha tuvastamine • Teabe turvalisuse rikkumine – Paljastavate parasiitsignaalide püük – Kaugluure – Pealtkuulamine – Infokandjate või dokumentide vargus – Seadmete vargus – Kõrvaldatud infokandjate omastamine – Paljastamine • Tehnilised tõrked – Seadme tõrge – Seadme väär töö – Infosüsteemi ummistus – Tarkvara väär töö – Infosüsteemi hooldatavuse rikkumine • Lubamatud toimingud – Seadmete volitamata kasutamine – Tarkvara pettuslik kopeerimine – Võltsitud või kopeeritud tarkvara kasutamine – Andmete rikkumine – Andmete ebaseaduslik töötlus • Funktsioonide tõrked – Kasutamisviga – Õiguste väärkasutus – Õiguste võltsimine – Toimingute eitamine – Töötajate kättesaadavuse tõrge Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014
  • 20. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (20/48) Nõrkuste valdkonnad • Riistvara – nt. tundlikkus pinge kõikumiste suhtes • Tarkvara – nt. pääsuõiguste väär jaotamine • Võrk – nt. kaitsmata sideliinid • Personal – nt. puudulikud töölevõtmise protseduurid • Tegevuspaik – nt. hoonete, uste ja akende füüsilise turbe puudumine • Organisatsioon – nt. kasutajate registreerimise ja kustutamise formaalse protseduuri puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Allikas: EVS-ISO/IEC 27005:2014
  • 21. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (21/48) Andmeturbemeetmed • Turvameetmed otstarbe järgi: – ennetavad meetmed – avastusmeetmed – taastusmeetmed • Turvameetmed teostusviisi järgi: – organisatsioonilised meetmed – füüsilised meetmed – infotehnoloogilised meetmed Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 22. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (22/48) 10 olulisemat meedet 1. Uksed lukku ka tööpäeva ajal 2. Pidage arvet kasutajatunnuste üle 3. Tagage turvainfo jõudmine töötajateni 4. Tehke regulaarselt tagavarakoopiaid 5. Viirustõrje igasse arvutisse 6. Dokumentide hoidmiseks kindel kord 7. Tagavaratoide olulistele seadmetele 8. Kontrolljäljed kõikidest tegevustest 9. Reeglid andmete kasutamiseks 10.Koostage ülevaade oma infovaradest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 23. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (23/48) Näited infosüsteemidest Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 24. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (24/48) Andmete kaitsel - näiteid • Riigikogu Kantselei – Hääletussüsteemi töökindlus • 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.” • Tartu Ülikooli Kliinikum – 22 suurt infosüsteemi 24/7 • Tartu Ülikooli Eesti Geenivaramu – Isikuandmete turvaline haldus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 25. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (25/48) Näide infosüsteemist - EGV Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 26. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (26/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 27. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (27/48) Riski hindamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 28. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (28/48) Lubatud jääkrisk • Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast • Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 29. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (29/48) 10 tavalisemat probleemi 1. Ebatäielik ülevaade firma infovaradest ja turbe seisust 2. Töötajate hägus vastutus ja ebalojaalsus 3. Hoonete, uste, akende füüsilise turbe puudulikkus 4. Puudulikult hallatud pääsuõigused 5. Ettevõtte töötajate vähene turvateadlikkus 6. Puuduvad või vääralt hoiustatud tagavarakoopiad 7. Puudulik viirustõrje arvutites 8. Dokumentide ebapiisav arhiveerimine ja hävitamine 9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed 10.Logide või nende analüüsi puudumine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 30. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (30/48) Inimesed ja vastutus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 31. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (31/48) Rollid ja vastutus • Andmeturve on seotud paljude valdkondadega • Osapooled – Tippjuhtkond – Andmeturbe eest vastutaja – Valdkonna eest vastutaja – IT meeskond – Tavatöötaja – Koostööpartner Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 32. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (32/48) Inimeste teemad • Personali valik • Vastutus • Teadlikkus • Koolitus ja teavitamine • Järelevalve Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 33. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (33/48) Dokumentatsioon Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 34. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (34/48) Mida pole kirjas, seda pole olemas Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 35. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (35/48) Olulised turbedokumendid • Infoturbe poliitika • Infoturbe kontseptsioon • Infosüsteemi kasutamise kord • Arvutikasutaja juhend • Kurivaratõrje kontseptsioon • Turvaintsidentide käsitlemise kord • Turvaaspektid ja teavituskanalid • IKT teenuste väljasttellimise kord • Pääsulubade haldamise kord • Pääsulubade register • Krüptokontseptsioon • Infosüsteemide spetsifikatsioon • Infosüsteemide visuaalne skeem • IS teenuste kirjeldused • Serverite kirjeldused • Tulemüüri kirjeldus • Võrguseadmete kirjeldused • Riistvara standard tööjaamadele • Tarkvara standard tööjaamadele • Tööjaamade ja lisaseadmete loend • Serveri taasteplaan • Töökoha taasteplaan • Arvutivõrgu taasteplaan • Varundusplaanid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 36. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (36/48) Hea praktika Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 37. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (37/48) Efektiivse turbehalduse 11 tunnust Ettevõtte üldtaseme teema Juhid on aruande- kohuslased Käsitletakse ärivajadusena Riskidel põhinev Rollid, vastutus, ülesannete erisus defineeritud Poliitika poolt suunatud ja jõustatud Ressursid on adekvaatselt planeeritud Personal teadlik ja treenitud Arenduse elutsükli järgimine kohustuslik Planeeritud, hallatud, mõõdetav ja mõõdetud Ülevaadatud ja auditeeritud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007, http://www.cert.org/governance/ges.html
  • 38. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (38/48) Mida parimad teevad? • 70%: on loodud terviklikud turvalisuse ja vastavuse poliitikad • 70%: tegevjuht on turbe- ja riskihalduse esmane “omanik” • 52%: nähtav on turvalisuse ja vastavuste võtmeinfo • 78%: juhte informeeritakse regulaarselt IT-riskidest • 67%: on rakendatud kontrollid poliitika nõuete täitmise monitoorimiseks • 67%: on määratlenud kogu auditeerimiseks ja aruandmiseks vajamineva info Ühe aasta möödumisel: • 63%: vähendasid tegelike turbeintsidentide arvu • 70%: vähendasid keskmist intsidentidega toimetulemise aega • 48%: vähendasid keskmist intsidentidega toimetulemise kulu • 74%: vähendasid mittevastavuste arvu (auditi negatiivseid tulemusi) Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv ja nendega toimetulemise aeg
  • 39. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (39/48) Kulud infoturbele • Kulud olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele – väline konsultatsioon, enda töötajate tegevused • Kulud taristu planeerimisele ja seadistamisele – väline konsultatsioon, enda töötajate tegevused • Investeeringud taristusse – tööjaamad, serverid, võrguseadmed, tagavara- koopiaseadmed või nende renditeenuse sisseostmine • Investeeringud tarkvarale ja litsentsidele • Investeeringud füüsilise turbe tagamisele • Kulud koolitusele ja teavitamistele Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 40. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (40/48) Kuidas mitte üle pingutada? • Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ... • Tunne oma ettevõtte infoturbe olukorda – Riskianalüüs toob välja pingerea probleemidest ja nõrkustest – Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse • Lähtu äri-põhistest kriteeriumitest – Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja – Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi investeeringuotsuseid • Turve on protsess – Loo turvalisusele orienteeritud kultuur – Liigu paremuse suunas teadlike ja jõukohaste sammudega Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 41. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (41/48) Toimepidevus Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 42. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (42/48) Toimepidevuse planeerimine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Toimepidevuse riskianalüüs Riske maandatavate meetmete planeerimine ja rakendamine Toimepidevusplaani testimine
  • 43. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (43/48) Riskianalüüsi koostamise etapid • Teenuse ja äriprotsessi kirjeldamine • Teenuse osutamise kriitiliste tegevuste väljaselgitamine • Kriitiliste tegevuste ressursside määratlemine • Kriitiliste tegevuste katkestuste tagajärgede hindamine • Kriitilisi tegevuse katkestuste põhjustavate ohtude kirjeldamine • Kriitilisi tegevuste katkestuste esinemise tõenäosuse hindamine • Riskimaatriksi koostamine Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 44. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (44/48) Kriitilised ressursid • Personal • Territoorium ja seal paiknevad hooned • Infotehnoloogilised süsteemid • Teenuse osutamiseks vajalik informatsioon • Finantsvahendid, mis on vajalikud teenuse osutamiseks • Varustajad ning partnerid, kellest sõltub teenuse osutamine • Muud teenuse osutamise seisukohast olulised ressursid Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 45. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (45/48) Tagajärgede hindamine • Katkestuse ajaline mõõde – Aastad/kuud, nädalad, päevad, tunnid, sekundid/minutid • Katkemise ulatus – Väga madal, madal, keskmine, suur, väga suur • Kas kahju on tekitatud? – Inimese elule või tervisele – Looduskeskkonnale – Teenuse osutaja mainele – Teenuse osutaja majanduslikule olukorrale – Teenuse osutaja teenuse kvaliteedile Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 46. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (46/48) Edasised sammud Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv
  • 47. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (47/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Mida ette võtta? Praktiliselt • Määrake andmeturbe eest vastutaja • Tehke ettevõttes infovarade inventuur • Määrake andmetele omanikud • Koostage toimepidevusplaan • Töötage välja ja rakendage ettevõtte turvameetmed • Kontrollige regulaarselt protseduuride täitmist
  • 48. Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (48/48)Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv Tänan! Kui on tahe, on ka võimalus! Erkki Leego Erkki.Leego@LeegoHansson.com www.LeegoHansson.com

Editor's Notes

  1. Erkki Leego / juhtivpartner / Leego Hansson