Tallinnas, 02.07.2009 Jaak Tepandi ISKE rakendamine praktikas Tellija: Euroopa Liidu struktuurifondide programm “Infoühisk...
Koolitusprojekti meeskond <ul><li>Tellija: </li></ul><ul><li>Korraldaja: </li></ul><ul><li>Koolitaja: </li></ul><ul><li>Ko...
Põhilised teemad <ul><li>Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine </li></ul><ul><li>Ülevaade etal...
Ajakava (orienteeruv) <ul><li>9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest  </li></ul><ul><li>10:45-12:15...
Tunnistades karme fakte … <ul><li>Riigi  suur (suurim?) vara on info </li></ul><ul><li>Õnnetused, eksimused, hooletus, küb...
ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem. Milleks?  <ul><li>“ Rakendame ISKEt, sest X kuupäevaks tuleb rak...
Tänased eesmärgid, … <ul><li>Osalejatel on ülevaade ISKE-st ja rakendusjuhendi kasutamisest ( -> kasutame juhendit ka kool...
… , mitte- eesmärgid ja eeldused <ul><li>Mitte-eesmärgid </li></ul><ul><ul><li>Infoturbe koolitus (veidi alguses) </li></u...
ISKE rakendajad ja meie
ISKE rakendamise koordinaator  <ul><li>ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum </li></ul><ul><li>...
Andmete omanik  <ul><li>Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik...
ISKE rakendamise rollid  <ul><li>Mõningaid rolle võib täita üks ja sama inimene: </li></ul><ul><li>ISKE koordinaator asutu...
Osalejate tutvustamine <ul><li>Nimi, asutus (,roll ISKE juurutamisel) </li></ul><ul><li>(Hinnang ISKE rakendamisele asutus...
ISKE rakendusala ja tähtajad
ISKE rakendusala 1 <ul><li>Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252  &quot;Infosüsteemide turvameetmete süs...
Rakendus-/reguleerimisala  2 <ul><li>§ 43 2 . Riigi infosüsteem . (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi...
Riigi infosüsteemi kindlustavad süsteemid <ul><li>(3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustusli...
AvTS rakendamine <ul><li>§ 58 1 . Seaduse 5 1 . peatüki rakendamine   </li></ul><ul><li>(1) Andmekogude seadusega kooskõla...
Järeldusi: ISKE tähtajad <ul><li>Andmekogudele AvTS mõttes – 01.07.2008, nt: </li></ul><ul><ul><li>meilisüsteemis (nt MS E...
Rakendusala – probleeme <ul><li>Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse ...
Ülevaade etalonturbe kontseptsioonist
Infoturbe põhimõisteid <ul><li>Vara:  miski, millel on organisatsiooni jaoks väärtus </li></ul><ul><li>Oht:  süsteemi või ...
Riskianalüüs ja -haldus <ul><li>Riskianalüüs:  turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate a...
Näide: Riskide hindamine <ul><li>Vara: maja. Tõsine tulekahju maksab 2,000,000 </li></ul><ul><li>Oht: tulekahju. Tõenäosus...
(Info)turbe tase ja maksumus Infoturbe tase Mak-sumus Intsidendid Infoturve Kokku 0 100
Etalonturbe ideed (1) <ul><li>Infoturbe aluseks on riskianalüüs … </li></ul><ul><li>…  mis on täismahus väga töömahukas </...
Etalonturbe ideed (2) <ul><li>EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade </li>...
Etalonturbe maksumus Infoturbe tase Mak-sumus Intsidendid Infoturve Kokku 0 100 Madal Kõrge Keskmine
<ul><li>ISKE ülevaade  </li></ul>
Allikad ja turbeastmed <ul><li>ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, ...
Etalonturbe ja ISKE rakendusala  <ul><li>Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infos...
ISKE struktuur <ul><li>Rakendamise juhend , vt jaotis 1.5 </li></ul><ul><li>Infovarade spetsifitseerimise ja turvaanalüüsi...
ISKE ja selle alusmaterjalid <ul><li>Rakendusjuhend -  http://www.ria.ee/27220   </li></ul><ul><li>ISKE KKK -  http://www....
<ul><li>ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg </li></ul>
Ülevaade ISKE rakendamisest  <ul><li>Infovarade inventuur ja spetsifitseerimine </li></ul><ul><li>Andmekogude turvaklassid...
Tööd ja  rollid  <ul><li>ISKE koordinaator asutuses (kõik tööd) </li></ul><ul><li>Infoturbe spetsialist (töödes 3-10) </li...
Ressursid  <ul><li>Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioon...
Aeg <ul><li>Tähtajad vt eespool </li></ul><ul><li>Meetmete ajaressurss ja tähtajad </li></ul><ul><ul><li>Juhtkonna kaasami...
Probleemid kuulajalt <ul><li>Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega </li></ul><ul><li>Mu...
Infovarade inventuur ja spetsifitseerimine (IT struktuuri analüüs)
Varad ja infovarad  <ul><li>Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvut...
IT süsteemide ja rakenduste inventuur  <ul><li>Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja sell...
Inventuuri ja spetsifitseerimise detailsus  <ul><li>Detailsus sõltub asutuse vajadustest </li></ul><ul><ul><li>Detailsuse ...
Juhtumianalüüs, kuulajate näited  <ul><li>Näited, ettepanekud? </li></ul><ul><li>Näide – asutus X </li></ul><ul><ul><li>Pe...
Turvaosaklasside ja turvaklasside määramine
Turvalisuse näitajad  <ul><li>Turbemetoodikate aluseks on turvamudelid -  3-6 osaeesmärki </li></ul><ul><li>Levinuim turva...
Turvaosaklassid  <ul><li>ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal  </li></ul><ul><li>Lisaks hindamiss...
Käideldavuse hindamisskaala   <ul><li>K0  – töökindlus – pole oluline; jõudlus – pole oluline </li></ul><ul><li>K1  – töök...
Tervikluse hindamisskaala   <ul><li>T0  – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse...
Konfidentsiaalsuse hindamisskaala   <ul><li>S0  – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvi...
Tagajärgede kaalukusest tulenevad nõuded  <ul><li>R0  – turvaintsidendiga (st info käideldavuse ja/või konfidentsiaalsuse ...
Kokkuvõte nõuetest, mida tuleb arvestada turvaosaklasside määramisel  <ul><li>Vastava turvaeesmärgi hindamisskaala </li></...
Näide: turvaosaklassi määramine
Turvaklassi määramine  <ul><li>Andmete turvaklass on kolme turvaosaklassi konkreetne kombinatsioon. Nende kõikvõimalike ko...
Turbeastme määramine ja tsoneerimine
Turbeastme määramine turvaklassi järgi  <ul><li>Tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis ...
Tsoneerimine  <ul><li>Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifika...
Turbeaste – näited <ul><li>Raamatupidamissüsteem? </li></ul><ul><li>Personalisüsteem? </li></ul><ul><li>Meilisüsteem? </li...
BSI / ISKE tüüpmoodulid ja nende valik
Moodulid <ul><li>Moodulirühmad – läbivaatus, lühiiseloomustus </li></ul><ul><li>Tüüpmoodulid </li></ul><ul><li>Infovarade ...
Tüüpmoodulid ja moodulite grupid 1  <ul><li>BSI / ISKE tüüpmoodulid kirjeldavad infovarade liike, millel on teatud eriomad...
Tüüpmoodulid ja moodulite grupid 2  <ul><li>Kõrgem (H) turbeaste saadakse keskmise (M) turbeastme turvameetmele (H) astme ...
Moodulite valik  <ul><li>Igas tsoonis leitakse BSI / ISKE tüüpmoodulite kataloogist infovaradele vastavate tüüpmoodulite t...
<ul><li>ISKE rakendamine - võimalusi </li></ul>
ISKE rakendamine - loogiliselt <ul><li>Tekita meeskond, tutvusta, motiveeri (sh juhtkonda)  </li></ul><ul><li>Saa ülevaade...
ISKE rakendamine – parim variant (?) <ul><li>Tekita meeskond, tutvusta, motiveeri (sh juhtkonda)  </li></ul><ul><li>Leia k...
Turvameetmete rakendamine
Rakendamise tegevusi <ul><li>Plaani koostamine rakendamiseks </li></ul><ul><li>Meetmete rakendamine (rakendamise prioritee...
Turbehalduse meetmete ja turbe rakendamise plaani koostamine  <ul><li>Turbehalduse meetmete rakendamine iseenesest ei eeld...
Meetmed <ul><li>Turbeastmetes L ja M on kokku 1074 turvameedet ,  jagatud 7 rühma </li></ul><ul><li>Turbeastmes H on kokku...
Turbehalduse meetmete loetelu koostamine  <ul><li>Turbehaldus on ülejäänud tegevuste aluseks </li></ul><ul><li>Infoturbe s...
Meetmed - küsimusi <ul><li>Kuidas teha? </li></ul><ul><ul><li>Kas piisab ISKE-st (kas ISKE peaks olema ainus algallikas in...
Esimene rakendatav moodul - B1.0 Infoturbe haldus <ul><li>Ohud </li></ul><ul><li>G2.66 Infoturbe halduse puudumine või puu...
B1.0 Meetmed L <ul><li>M2.192 Infoturbe poliitika koostamine </li></ul><ul><li>M2.335 Infoturbe eesmärkide ja strateegia k...
Näide: Infoturbe poliitika jt <ul><li>http://www.riso.ee/et/soovitused/tinfoturbpol.htm </li></ul><ul><li>Tegevused infotu...
M2.195  Infoturbe kontseptsiooni koostamine <ul><li>1. Vajaliku turbetaseme määramine </li></ul><ul><li>2. Praegune infotu...
M2.197  Infoturbe alase koolituse kontseptsiooni koostamine <ul><li>Kõigile IT kasutajaile: </li></ul><ul><li>IT kasutamis...
M2.201  Infoturbe protsessi dokumenteerimine -   miinimumdokumentatsioon <ul><li>infoturbe poliitika,  </li></ul><ul><li>i...
B1.0 Meetmed M <ul><li>Aste M: lisada astme L meetmetele  </li></ul><ul><li>M2.336 Koguvastutus infoturbe eest juhtkonna t...
B1.0 Meetmed H, HK, HT <ul><li>Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele </li></ul><ul><li>Kohustuslik...
B1.0 Meetmed HS <ul><li>Teabe konfidentsiaalsus (S) , meetmed HS </li></ul><ul><li>HS.15 Turvaauditi kohustus (kord aastas...
Prioriteedid, vastutajad ja teostusplaan  <ul><li>R akendamise prioriteedid  - k õigepealt  olulised ning realistlikud (vä...
Rakendamise prioriteedid <ul><li>Infoturbe halduse moodul </li></ul><ul><li>“ Kust king pigistab”, reaalne </li></ul><ul><...
Meetmete rakendamine  <ul><li>R aha d:  planeerida järgmiste aastate eelarvetesse </li></ul><ul><li>K aasata erinevaid osa...
ISKE rakendamise finantseerimine  <ul><li>Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi j...
Investeeringute arvutamine meetmete loetelu põhjal <ul><li>Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tark...
Infoturbe investeeringute arvutamine riskianalüüsi põhjal  <ul><li>Riskipõhine investeeringute arvutamine (näide): </li></...
Infoturbe investeeringute arvutamine ja põhjendamine: muud meetodid  <ul><li>Eelmised: raske hinnata parameetrite väärtusi...
Näide:  ISKE pilootprojekt maavalitsuses
Ülevaade pilootprojektist <ul><li>http://www.ria.ee/26501   </li></ul><ul><li>20 andmekogu + turvaklassid ja turbeastmed <...
Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine
Ülevaade ISKE rakendamise kontrollist ja hindamisest  <ul><li>Otsese rakendaja poolt läbi viidav kontroll </li></ul><ul><l...
Otsese rakendaja poolt läbi viidav kontroll  <ul><li>Rakendajad: nt  süsteemiadministraatorid, kasutajad </li></ul><ul><li...
Meetmete rakendamise kontroll ja täiendav riskianalüüs  <ul><li>Infoturbe koordinaator või spetsialist  kontrollib pärast ...
Näide: rakendamise kontroll <ul><li>Rakendatud: </li></ul><ul><ul><li>B3.101  Server   </li></ul></ul><ul><ul><li>B5.4  Ve...
Audit ja sertifitseerimine
Audit ISKE rakendamisprotsessis  <ul><li>Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele...
ISKE rakendamise üldise auditi põhimõtted  <ul><li>Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelj...
VV määrus  <ul><li>§ 9 1 . Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude...
Millal audit? <ul><li>Olulised asjad rakendatud  </li></ul><ul><li>Kui tähtajad nõuavad: rakendatud või reaalne plaan olem...
Rakendamistööriistad ja muud abimaterjalid
Töölehed, konfiguratsioonihalduse jm süsteemid  <ul><li>Ka olemasolevad süsteemid </li></ul><ul><li>Asutuse ajakohastatud ...
ISKE töövahend portaalis “eesti.ee”  <ul><li>Portaalis “eesti.ee” saab kasutada ISKE töövahendit: </li></ul><ul><li>Turvam...
BSI töövahend GSTOOL  <ul><li>Infovarade inventuur ja spetsifitseerimine </li></ul><ul><li>Andmekogude ja infovarade turva...
Kokkuvõte
ISKE rakendamine - kokkuvõtteks <ul><li>Lähtuda asutuse vajadustest </li></ul><ul><li>Leida “iva”,  ratsionaalne sisu, ja ...
Koolituse kokkuvõte ja tagasiside <ul><li>Kas algsed küsimused said selgemaks? </li></ul><ul><li>Millest oli kasu? </li></...
  <ul><li>Täname! </li></ul>Koolitus  toimus   Euroopa Liidu struktuurifondide programmi “Infoühiskonna teadlikkuse tõstmi...
Upcoming SlideShare
Loading in …5
×

Iske Praktiline Rakendamine

2,975 views

Published on

Loend infoturbe rakendajatele (avalikus sektoris) 2juuli2009

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,975
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Iske Praktiline Rakendamine

  1. 1. Tallinnas, 02.07.2009 Jaak Tepandi ISKE rakendamine praktikas Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”
  2. 2. Koolitusprojekti meeskond <ul><li>Tellija: </li></ul><ul><li>Korraldaja: </li></ul><ul><li>Koolitaja: </li></ul><ul><li>Koolitaja: </li></ul>
  3. 3. Põhilised teemad <ul><li>Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine </li></ul><ul><li>Ülevaade etalonturbe kontseptsioonist </li></ul><ul><li>Infovarade inventuur ja spetsifitseerimine </li></ul><ul><li>Turvaosaklasside ja turvaklasside määramine </li></ul><ul><li>Turbeastme määramine ja tsoneerimine </li></ul><ul><li>BSI/ISKE tüüpmoodulid ja nende valik </li></ul><ul><li>Turvameetmete rakendamine: plaan, prioriteedid, vastutajad, kulud, maksumus </li></ul><ul><li>Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine </li></ul><ul><li>Rakendamistööriistad ja muud abimaterjalid </li></ul><ul><li>+ Arutelud, küsimused, näited </li></ul>
  4. 4. Ajakava (orienteeruv) <ul><li>9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest </li></ul><ul><li>10:45-12:15. Infovarad, turvaklassid, turbeastmed, tüüpmoodulid, tsoneerimine </li></ul><ul><li>13:00 – 14:30. Turvameetmete rakendamine </li></ul><ul><li>14:45-16:15. Rakendamine (jätkub), kontroll, auditeerimine, rakendamistööriistad, kokkuvõte </li></ul><ul><li>(Arutelud, küsimused, näited võivad muuta) </li></ul>
  5. 5. Tunnistades karme fakte … <ul><li>Riigi suur (suurim?) vara on info </li></ul><ul><li>Õnnetused, eksimused, hooletus, küberründed on tegelikkus </li></ul><ul><li>Infoturbe tagamine on töömahukas, kulukas ja kasutajatele ebamugav </li></ul><ul><li>Infoturve on “salakaval”: tuleb tõkestada kõik teed, tehnoloogiast ei piisa: organisatsioon, infrastruktuur, protseduurid, tehnilised meetmed </li></ul><ul><li>Avaliku teabe seadus: hiljemalt 1. juuliks 2008 </li></ul><ul><li>“ Tunnista karme fakte, kuid ära kunagi kaota lootust” Jim Collins /Jim Stockdale </li></ul>
  6. 6. ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem. Milleks? <ul><li>“ Rakendame ISKEt, sest X kuupäevaks tuleb rakendada”? </li></ul><ul><li>“ Soovime piisava turvalisusega süsteeme, ISKE on selleks kasulik abivahend”? </li></ul>Corel TM
  7. 7. Tänased eesmärgid, … <ul><li>Osalejatel on ülevaade ISKE-st ja rakendusjuhendi kasutamisest ( -> kasutame juhendit ka koolituse käigus!) </li></ul><ul><li>Osalejatel on arusaamine, kas ja kuidas hakata oma asutuses ISKE-t rakendama + algoskused, et rakendada B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 ulatuses (sõltub vähe rahalistest ressurssidest) </li></ul><ul><li>Osalejatel on teadmine põhilistest probleemidest ISKE rakendamisel ja sellest, kuidas nende probleemidega tegeleda </li></ul><ul><li>Kontaktid ja koostöö teistega </li></ul><ul><li>… iga teema puhul arvestame neid küsimusi </li></ul>
  8. 8. … , mitte- eesmärgid ja eeldused <ul><li>Mitte-eesmärgid </li></ul><ul><ul><li>Infoturbe koolitus (veidi alguses) </li></ul></ul><ul><ul><li>Detailne ISKE / BSI moodulite – ohtude – meetmete tutvustus </li></ul></ul><ul><li>Eeldused </li></ul><ul><ul><li>Vajadus ISKE-st aru saada ja seda rakendada </li></ul></ul><ul><ul><li>Hakkame üsna algusest (kui ISKE on hästi teada, võib olla palju tuttavaid asju – võimalus aktiivselt osaleda) </li></ul></ul>
  9. 9. ISKE rakendajad ja meie
  10. 10. ISKE rakendamise koordinaator <ul><li>ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum </li></ul><ul><li>ISKE koordinaator - ISKE rakendamise eest vastutav isik </li></ul><ul><li>Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast </li></ul><ul><li>Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne </li></ul><ul><li>Soovitav hea side asutuse juhtkonna ning erinevate osakondadega </li></ul>
  11. 11. Andmete omanik <ul><li>Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes </li></ul><ul><li>Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele </li></ul><ul><li>IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi </li></ul><ul><li>Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks </li></ul>
  12. 12. ISKE rakendamise rollid <ul><li>Mõningaid rolle võib täita üks ja sama inimene: </li></ul><ul><li>ISKE koordinaator asutuses </li></ul><ul><li>Infoturbe spetsialist </li></ul><ul><li>Asutuse IT eest vastutaja </li></ul><ul><li>Andmete omanik </li></ul><ul><li>Juhtkonna esindaja </li></ul><ul><li>ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) </li></ul><ul><li>ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine) </li></ul>
  13. 13. Osalejate tutvustamine <ul><li>Nimi, asutus (,roll ISKE juurutamisel) </li></ul><ul><li>(Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) ) </li></ul><ul><li>(Küsimus / probleem, millele tahaks koolituselt vastust leida) </li></ul>
  14. 14. ISKE rakendusala ja tähtajad
  15. 15. ISKE rakendusala 1 <ul><li>Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 &quot;Infosüsteemide turvameetmete süsteem&quot; - Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem . </li></ul><ul><li>Avaliku teabe seadus § 43 1 . Andmekogu . (1) Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. (2) Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest. </li></ul>
  16. 16. Rakendus-/reguleerimisala 2 <ul><li>§ 43 2 . Riigi infosüsteem . (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid. </li></ul><ul><li>§ 43 9 . Riigi infosüsteemi kindlustavad süsteemid. (1) Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid: 1) klassifikaatorite süsteem; 2) geodeetiline süsteem; 3) aadressiandmete süsteem; 4) infosüsteemide turvameetmete süsteem; 5) infosüsteemide andmevahetuskiht; 6) riigi infosüsteemi haldussüsteem. </li></ul>
  17. 17. Riigi infosüsteemi kindlustavad süsteemid <ul><li>(3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Käesoleva seaduse § 43 3 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2, 4 ja 6 nimetatud kindlustavad süsteemid. </li></ul><ul><li>Avaliku teabe seadus (alates 01.01.2008) - § 43 3 . Andmekogu asutamine. (4) Ainult organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks peetavat ja riigi infosüsteemi mittekuuluvat andmekogu ei pea käesoleva paragrahvi lõikes 3 sätestatud korras kooskõlastama. </li></ul>
  18. 18. AvTS rakendamine <ul><li>§ 58 1 . Seaduse 5 1 . peatüki rakendamine </li></ul><ul><li>(1) Andmekogude seadusega kooskõlas asutatud riiklike registrite pidamise põhimäärused ja nende alusel peetavad andmekogud ning muud riigi ja kohalike omavalitsuste andmekogud viiakse käesoleva seadusega kooskõlla kuue kuu jooksul andmekogude seaduse kehtetuks tunnistamisest ( muutus kehtetuks 01.01.2008 ) arvates. </li></ul>
  19. 19. Järeldusi: ISKE tähtajad <ul><li>Andmekogudele AvTS mõttes – 01.07.2008, nt: </li></ul><ul><ul><li>meilisüsteemis (nt MS Exchange) olevad andmed </li></ul></ul><ul><ul><li>personaliarvestuse süsteemis olevad andmed </li></ul></ul><ul><ul><li>finantsarvestuse süsteemis olevad andmed </li></ul></ul><ul><li>V V määrus nr 252 &quot;Infosüsteemide turvameetmete süsteem“, § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel </li></ul><ul><ul><li>(1) Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a. </li></ul></ul><ul><ul><li>(2) ...  «M» … 1. detsembriks 2010. a. </li></ul></ul><ul><ul><li>(3) …  «L» … 1. märtsiks 2011. a. </li></ul></ul>
  20. 20. Rakendusala – probleeme <ul><li>Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse oma andmekogusid, nad pigem kasutavad riigi andmekogude andmeid (teenuseid)? </li></ul><ul><li>Suure andmekogu puhul, millel on palju kasutajaid, kes ka andmeid uuendavad, ei ole vastutuse jaotus ISKE rakendamisel selge? </li></ul>
  21. 21. Ülevaade etalonturbe kontseptsioonist
  22. 22. Infoturbe põhimõisteid <ul><li>Vara: miski, millel on organisatsiooni jaoks väärtus </li></ul><ul><li>Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus </li></ul><ul><li>Nõrkus: vara või vararühma nõrk koht, mida saab ära kasutada oht </li></ul><ul><li>Risk: võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse </li></ul><ul><li>Turvameede: riski kahandav teoviis, protseduur või mehhanism </li></ul><ul><li>Jääkrisk: risk, mis säilib pärast turvameetmete teostamist </li></ul>
  23. 23. Riskianalüüs ja -haldus <ul><li>Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess </li></ul><ul><li>Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna </li></ul>
  24. 24. Näide: Riskide hindamine <ul><li>Vara: maja. Tõsine tulekahju maksab 2,000,000 </li></ul><ul><li>Oht: tulekahju. Tõenäosus on 1% aastas </li></ul><ul><li>Nõrkused: puumaja, kindlustamata, piksevarras puudub </li></ul><ul><li>Tulekahju riski aastane maksumus? </li></ul><ul><li>Mõistlik kulutus turbele selle riski osas? </li></ul><ul><li>Meetmed? </li></ul><ul><li>Jääkrisk? </li></ul><ul><li>… analoogiliselt ka infoturbega (üldiselt) </li></ul>
  25. 25. (Info)turbe tase ja maksumus Infoturbe tase Mak-sumus Intsidendid Infoturve Kokku 0 100
  26. 26. Etalonturbe ideed (1) <ul><li>Infoturbe aluseks on riskianalüüs … </li></ul><ul><li>… mis on täismahus väga töömahukas </li></ul><ul><li>-> ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem </li></ul>
  27. 27. Etalonturbe ideed (2) <ul><li>EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade </li></ul><ul><ul><li>Etalonkaitse dokumendid ja korrakoodeksid soovitavad tüüpseid turvameetmestikke </li></ul></ul><ul><ul><li>Eelised . Jääb ära detailse riskianalüüsi ressursitarve ning turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse …. Samu või sarnaseid etalonmeetmeid saab suuremate pingutusteta kohandada paljudele süsteemidele > võivad pakkuda ökonoomset lahendust </li></ul></ul><ul><ul><li>Puudused : Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu … Raskusi võib tekkida turvet puudutavate muutuste haldusega. Näiteks on süsteemi moderniseerimisel võib-olla raske hinnata, kas esialgsed etalonmeetmed on üha piisavad </li></ul></ul>
  28. 28. Etalonturbe maksumus Infoturbe tase Mak-sumus Intsidendid Infoturve Kokku 0 100 Madal Kõrge Keskmine
  29. 29. <ul><li>ISKE ülevaade </li></ul>
  30. 30. Allikad ja turbeastmed <ul><li>ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il) </li></ul><ul><li>Täiendatakse regulaarselt kord aastas </li></ul><ul><li>Lisateave BSI käsiraamatust </li></ul><ul><li>Tavaliselt on asutuses kasutusel turvanõuete taseme poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke </li></ul><ul><li>ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H). Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele </li></ul>
  31. 31. Etalonturbe ja ISKE rakendusala <ul><li>Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega </li></ul><ul><li>ISKE: </li></ul><ul><ul><li>Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks </li></ul></ul><ul><ul><li>Rakendatav ka muudes organisatsioonides </li></ul></ul><ul><ul><li>Ei ole mõeldud riigisaladust käitlevate infosüsteemide turbeks </li></ul></ul>
  32. 32. ISKE struktuur <ul><li>Rakendamise juhend , vt jaotis 1.5 </li></ul><ul><li>Infovarade spetsifitseerimise ja turvaanalüüsi juhised , vt jaotis 2.1, 2.2 </li></ul><ul><li>Etaloninstrumendid: </li></ul><ul><ul><li>turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3 </li></ul></ul><ul><ul><li>tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1 </li></ul></ul><ul><ul><li>(mõisted ja lühendid, jaotis 4) </li></ul></ul><ul><ul><li>infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B, vt jaotis 5 </li></ul></ul><ul><ul><li>ohtude kataloog G, vt jaotis 6 </li></ul></ul><ul><ul><li>turvameetmete kataloog, vt jaotis 7 </li></ul></ul>
  33. 33. ISKE ja selle alusmaterjalid <ul><li>Rakendusjuhend - http://www.ria.ee/27220 </li></ul><ul><li>ISKE KKK - http://www.ria.ee/28416 </li></ul><ul><li>Pilootprojekt – http://www.ria.ee/26501 </li></ul><ul><li>Ingliskeelne juhend IT Baseline Protection Manual : http://www.bsi.de/english/gshb/index.htm </li></ul><ul><li>Saksakeelne juhend IT-Grundschutzhandbuch : http://www.bsi.de/gshb/downloads/index.htm </li></ul><ul><li>Soovitused - http://www.riso.ee/et/infopoliitika/soovitused </li></ul><ul><li>Seadused, määrused, standardid </li></ul>
  34. 34. <ul><li>ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg </li></ul>
  35. 35. Ülevaade ISKE rakendamisest <ul><li>Infovarade inventuur ja spetsifitseerimine </li></ul><ul><li>Andmekogude turvaklasside määramine </li></ul><ul><li>Muude infovarade turvaklasside määramine </li></ul><ul><li>Turvaklassiga infovarade turbeastme määramine </li></ul><ul><li>Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel </li></ul><ul><li>Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse </li></ul><ul><li>Turbehalduse meetmete loetelu koostamine </li></ul><ul><li>Turvameetmete rakendamise plaani koostamine </li></ul><ul><li>Turvameetmete rakendamine </li></ul><ul><li>Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine </li></ul>
  36. 36. Tööd ja rollid <ul><li>ISKE koordinaator asutuses (kõik tööd) </li></ul><ul><li>Infoturbe spetsialist (töödes 3-10) </li></ul><ul><li>Asutuse IT eest vastutaja (töödes 1, 3, 5, 8) </li></ul><ul><li>Andmete omanik (töös 2) </li></ul><ul><li>Juhtkonna esindaja (töödes 5,8,9) </li></ul><ul><li>ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) - töös 9 </li></ul><ul><li>ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine) </li></ul>
  37. 37. Ressursid <ul><li>Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist </li></ul><ul><li>Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas? </li></ul><ul><ul><li>Juhtkonna kaasamine </li></ul></ul><ul><ul><li>Hinnangud </li></ul></ul><ul><ul><li>Prioriteedid </li></ul></ul><ul><ul><li>Ette planeerimine (eelarve) </li></ul></ul><ul><li>(Kumb on lihtsam?) </li></ul><ul><li>Osa nõuavad mõlemaid. Kõik nõuavad rakendamise aega </li></ul>
  38. 38. Aeg <ul><li>Tähtajad vt eespool </li></ul><ul><li>Meetmete ajaressurss ja tähtajad </li></ul><ul><ul><li>Juhtkonna kaasamine </li></ul></ul><ul><ul><li>Hinnangud </li></ul></ul><ul><ul><li>Prioriteedid </li></ul></ul><ul><ul><li>Ette planeerimine (töökava) </li></ul></ul><ul><li>Kas ISKE on tähtajaline projekt? </li></ul>
  39. 39. Probleemid kuulajalt <ul><li>Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega </li></ul><ul><li>Muudatused võtavad aega </li></ul><ul><li>Puudub sõnastatud ühtne turvapoliitika </li></ul><ul><li>Mida saab anda koolitus? </li></ul><ul><ul><li>Lisateadmised / -oskused rakendamise kohta (= lisa oskused) </li></ul></ul><ul><ul><li>Ideid tööde korraldamiseks (= lisa inimesed) </li></ul></ul><ul><ul><li>Prioriteedid (midagi vähemaks / odavamaks / kiiremaks) </li></ul></ul><ul><li>Mida ei saa? </li></ul>
  40. 40. Infovarade inventuur ja spetsifitseerimine (IT struktuuri analüüs)
  41. 41. Varad ja infovarad <ul><li>Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvutivõrk, server, inimene, ruum, immateriaalne vara (nt. maineväärtus) jmt </li></ul><ul><li>Vara eriliik on infovara – IT-süsteemidega seonduv vara: andmed, andmebaasid, rakendustarkvara, süsteemitarkvara, arvutid, serverid, arvutivõrk, marsruuterid, kommutaatorid, andmekandjad jmt </li></ul><ul><li>Infovarasid hoitakse hoonetes, ruumides jne, mis üldjuhul ise ei ole infovarad </li></ul>
  42. 42. IT süsteemide ja rakenduste inventuur <ul><li>Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja selle dokumenteerimiseks </li></ul><ul><li>Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv </li></ul><ul><li>Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne) </li></ul><ul><li>Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem </li></ul>
  43. 43. Inventuuri ja spetsifitseerimise detailsus <ul><li>Detailsus sõltub asutuse vajadustest </li></ul><ul><ul><li>Detailsuse aste peaks võimaldama ISKE rakendamist </li></ul></ul><ul><ul><li>Ei tohiks tekitada asutusele asjatut aja- ja töökulu </li></ul></ul><ul><li>Võimalusi </li></ul><ul><ul><li>Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks – moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne </li></ul></ul><ul><ul><li>Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks </li></ul></ul>
  44. 44. Juhtumianalüüs, kuulajate näited <ul><li>Näited, ettepanekud? </li></ul><ul><li>Näide – asutus X </li></ul><ul><ul><li>Personaliarvestussüsteem </li></ul></ul><ul><ul><li>Raamatupidamissüsteem </li></ul></ul><ul><ul><li>Dokumendihaldussüsteem </li></ul></ul><ul><ul><li>Kodulehe haldussüsteem </li></ul></ul><ul><ul><li>Meilisüsteem </li></ul></ul><ul><ul><li>Failisüsteem </li></ul></ul><ul><ul><li>Rahvastikuregistri klient </li></ul></ul><ul><ul><li>Asutus peab registrit Y </li></ul></ul><ul><li>Infoturbe valdkonnad: üldkomponendid / haldus, (IT) infrastruktuur, IT süsteemid, võrgud, IT rakendused / AB </li></ul>
  45. 45. Turvaosaklasside ja turvaklasside määramine
  46. 46. Turvalisuse näitajad <ul><li>Turbemetoodikate aluseks on turvamudelid - 3-6 osaeesmärki </li></ul><ul><li>Levinuim turvamudel põhineb käideldavuse, tervikluse ja konfidentsiaalsuse tagamisel => ISKE </li></ul><ul><li>Andmete käideldavus (K) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile </li></ul><ul><li>Andmete terviklus (T) on andmete õigsuse / täielikkuse / ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine </li></ul><ul><li>Andmete konfidentsiaalsus (S) on andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele. </li></ul>
  47. 47. Turvaosaklassid <ul><li>ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal </li></ul><ul><li>Lisaks hindamisskaalale rakendatakse lisakriteeriume (seadustest, äriprotsessidest ja tagajärgede kaalukusest tulenevad kriteeriumid) </li></ul><ul><li>Turvaosaklassi tähis: turvaeesmärgi tähis + turvataseme väärtus </li></ul><ul><li>Infosüsteemi turvanõudeid ja andmete väärtust teab kõige paremini andmete omanik => peaks määrama andmete vajaliku turbetaseme </li></ul><ul><ul><li>IT või infoturbe spetsialist võib olla nõuandja rollis </li></ul></ul><ul><ul><li>Soovitav lasta asutuse juhtkonnal kinnitada </li></ul></ul>
  48. 48. Käideldavuse hindamisskaala <ul><li>K0 – töökindlus – pole oluline; jõudlus – pole oluline </li></ul><ul><li>K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10) </li></ul><ul><li>K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10) </li></ul><ul><li>K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10) </li></ul>
  49. 49. Tervikluse hindamisskaala <ul><li>T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud </li></ul><ul><li>T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele </li></ul><ul><li>T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid </li></ul><ul><li>T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas </li></ul>
  50. 50. Konfidentsiaalsuse hindamisskaala <ul><li>S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega) </li></ul><ul><li>S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral </li></ul><ul><li>S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral </li></ul><ul><li>S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral </li></ul>
  51. 51. Tagajärgede kaalukusest tulenevad nõuded <ul><li>R0 – turvaintsidendiga (st info käideldavuse ja/või konfidentsiaalsuse ja/või tervikluse nõuete mittetäitmisega) ei kaasne märkimisväärseid kahjusid </li></ul><ul><li>R1 – kaasnevad vähe olulised kahjud: takistused asutuse funktsiooni täitmisele või märkimisväärsed rahalised kaotused </li></ul><ul><li>R2 - kaasnevad olulised kahjud: oluline takistus asutuse funktsiooni täitmisele, oht inimeste tervisele või keskkonnasaaste oht või olulised rahalised kaotused </li></ul><ul><li>R3 - kaasnevad väga olulised (missioonikriitilised) kahjud: asutuse funktsiooni täitmatajätmine või märkimisväärsed häired riigikorralduses või oht inimelule või keskkonnasaaste või väga olulised rahalised kaotused </li></ul>
  52. 52. Kokkuvõte nõuetest, mida tuleb arvestada turvaosaklasside määramisel <ul><li>Vastava turvaeesmärgi hindamisskaala </li></ul><ul><li>Seadustest ja lepingutest (nt avaliku teabe seadusest, isikuandmete kaitse seadusest jne) tulenevad nõuded </li></ul><ul><li>Põhitegevuse (või äritegevuse) protsessidest tulenevad nõuded (nt nõuded käideldavusele) </li></ul><ul><li>Tagajärgede kaalukusest tulenevad nõuded. </li></ul><ul><li>Kui eelnevalt nimetatud nõuded määravad erinevad tasemed, siis tuleb turvaosaklassi määramisel lähtuda kõrgeimast tasemest </li></ul>
  53. 53. Näide: turvaosaklassi määramine
  54. 54. Turvaklassi määramine <ul><li>Andmete turvaklass on kolme turvaosaklassi konkreetne kombinatsioon. Nende kõikvõimalike kombinatsioonide arv on 4  4  4, seega on erinevaid turvaklasse 64 </li></ul><ul><li>Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, nt K2T3S1 </li></ul><ul><li>Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel </li></ul><ul><li>Ühe andmekogu eri andmeliikidel võib olla erinev turvaklass </li></ul>
  55. 55. Turbeastme määramine ja tsoneerimine
  56. 56. Turbeastme määramine turvaklassi järgi <ul><li>Tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1 </li></ul><ul><li>Reeglid? </li></ul>
  57. 57. Tsoneerimine <ul><li>Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil </li></ul><ul><li>Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks </li></ul><ul><li>Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne </li></ul><ul><li>Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste </li></ul>
  58. 58. Turbeaste – näited <ul><li>Raamatupidamissüsteem? </li></ul><ul><li>Personalisüsteem? </li></ul><ul><li>Meilisüsteem? </li></ul><ul><li>Register Y? </li></ul>
  59. 59. BSI / ISKE tüüpmoodulid ja nende valik
  60. 60. Moodulid <ul><li>Moodulirühmad – läbivaatus, lühiiseloomustus </li></ul><ul><li>Tüüpmoodulid </li></ul><ul><li>Infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B </li></ul><ul><li>Vaadata läbi </li></ul><ul><ul><li>Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada? </li></ul></ul>
  61. 61. Tüüpmoodulid ja moodulite grupid 1 <ul><li>BSI / ISKE tüüpmoodulid kirjeldavad infovarade liike, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel </li></ul><ul><li>Ohtude loetelus on toodud konkreetse tüüpmooduli puhul avastatud ohud. Ohtude loetelu võimaldab kontrollida tegelikku turvaolukorda </li></ul><ul><li>Turvameetmete loetelus on toodud konkreetse tüüpmooduli jaoks rakendatavad turvameetmed: L, M, z, H </li></ul>
  62. 62. Tüüpmoodulid ja moodulite grupid 2 <ul><li>Kõrgem (H) turbeaste saadakse keskmise (M) turbeastme turvameetmele (H) astme meetmete lisamise teel </li></ul><ul><li>H turvameetmed jagunevad kohustuslikeks (HG) ja tingimuslikeks turvameetmeteks </li></ul><ul><li>Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed. </li></ul><ul><li>Keskmise ja kõrgema turbeastme puhul on turvameetmeid soovitatav rakendada astmete haaval: näiteks kõrgeima turbeastme puhul saavutada kõigepealt aste L, siis aste M ja seejärel aste H </li></ul>
  63. 63. Moodulite valik <ul><li>Igas tsoonis leitakse BSI / ISKE tüüpmoodulite kataloogist infovaradele vastavate tüüpmoodulite tähised ning märgitakse need infovarade spetsifikatsiooni tabelisse </li></ul><ul><li>Ühele infovarale võib vastata mitu tüüpmoodulit: nt Unix server => B 3.102 (Server Unixi all) + 3.101 (Server) + … </li></ul><ul><li>Seni spetsifitseerimata varad => tüüpmoodulid, nt töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldusprotsess B1. Kogu tüüpmoodulite rühmale B1 tuleb määrata kõrgeim teistele varadele määratud turbeaste </li></ul><ul><li>Näide: kui andmekogu turvaklass on K1T2S3 ning teiste varade turvaklass on väiksem, tuleb ka tüüpmoodulite rühma B1 puhul lähtuda turvaklassist K1T2S3 </li></ul>
  64. 64. <ul><li>ISKE rakendamine - võimalusi </li></ul>
  65. 65. ISKE rakendamine - loogiliselt <ul><li>Tekita meeskond, tutvusta, motiveeri (sh juhtkonda) </li></ul><ul><li>Saa ülevaade sellest, millele ISKEt rakendada </li></ul><ul><li>Hinda turvaklasse ja turbeastmeid, moodusta tsoonid (vajadusel) </li></ul><ul><li>Vali moodulid -> meetmed </li></ul><ul><li>Planeeri rakendamine: haldusmoodul, muud moodulid </li></ul><ul><ul><li>Pane prioriteedid </li></ul></ul><ul><ul><li>Hinda ressursse </li></ul></ul><ul><ul><li>Jaga rakendajate vahel </li></ul></ul><ul><li>Rakenda </li></ul><ul><li>Kontrolli ohte, hinda riske, täienda kui vaja </li></ul><ul><li>Kanna tulemused RIHAsse, auditeeri jne </li></ul><ul><li>Pidev tegevus! Mitte ühekordne </li></ul>
  66. 66. ISKE rakendamine – parim variant (?) <ul><li>Tekita meeskond, tutvusta, motiveeri (sh juhtkonda) </li></ul><ul><li>Leia kõige suurem infoturbe alane probleem, mille üle muretsed ise ja teised (sh juhtkond) </li></ul><ul><li>Otsi ISKEst vastust </li></ul><ul><li>Rakenda ISKE selles valdkonnas </li></ul><ul><li>Hoolitse, et lahendus kestaks – dokumenteeri valikud / protseduurid jne </li></ul><ul><li>Reklaami tulemust </li></ul><ul><li>Kanna tulemused RIHAsse, vajadusel auditeeri jne </li></ul><ul><li>Mine tagasi punktile 1 </li></ul>
  67. 67. Turvameetmete rakendamine
  68. 68. Rakendamise tegevusi <ul><li>Plaani koostamine rakendamiseks </li></ul><ul><li>Meetmete rakendamine (rakendamise prioriteedid; vastutajad, teostusplaan) </li></ul><ul><li>Kulude ja maksumuse hindamine </li></ul>
  69. 69. Turbehalduse meetmete ja turbe rakendamise plaani koostamine <ul><li>Turbehalduse meetmete rakendamine iseenesest ei eelda erilisi otseseid rahalisi kulutusi, siiski võivad tööjõukulud olla üsna suured </li></ul><ul><li>ISKE juurutamine tervikuna võib olla nii aja-, raha- ja töömahukas => tuleks ette planeerida </li></ul><ul><li>Plaan infoturbe halduse (moodul B1.0) meetmete rakendamiseks </li></ul><ul><li>Seejärel muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaan, arvestades </li></ul><ul><ul><li>Meetmete planeerimine </li></ul></ul><ul><ul><li>Maksumuse ning ajalise kestvuse prognoosid </li></ul></ul><ul><ul><li>Rakendamise prioriteedid, vastutajad ja teostusplaan </li></ul></ul>
  70. 70. Meetmed <ul><li>Turbeastmetes L ja M on kokku 1074 turvameedet , jagatud 7 rühma </li></ul><ul><li>Turbeastmes H on kokku 153 turvameedet , jagat ud 4 rühma </li></ul><ul><li>Vaadata läbi </li></ul><ul><ul><li>Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada? </li></ul></ul>
  71. 71. Turbehalduse meetmete loetelu koostamine <ul><li>Turbehaldus on ülejäänud tegevuste aluseks </li></ul><ul><li>Infoturbe spetsialist koostab kõrgeimast määratud turbeastmest lähtudes turbehalduse meetmete loetelu, leides need meetmed mooduli B1.0 turvaspetsifikatsiooni põhjal </li></ul><ul><li>Näiteks, turvaklassi K3T2S1 puhul valitakse mooduli B1.0 L- ja M-taseme meetmed, kuna HG- ja HK-meetmeid moodulis ei ole </li></ul><ul><li>Valitud meetmetest kaks (M2.338z ja M2.339z) on tingimuslikud, neid võib rakendada sõltuvalt konkreetsetest tingimustest ja vajadustest </li></ul>
  72. 72. Meetmed - küsimusi <ul><li>Kuidas teha? </li></ul><ul><ul><li>Kas piisab ISKE-st (kas ISKE peaks olema ainus algallikas infoturbe probleemide lahendamiseks? Või on ta pigem kontrollnimistu?) </li></ul></ul><ul><ul><li>Kust saada lisainfot? </li></ul></ul><ul><li>Kuidas otsustada, kas meede on rakendatud? </li></ul><ul><li>Näited </li></ul>
  73. 73. Esimene rakendatav moodul - B1.0 Infoturbe haldus <ul><li>Ohud </li></ul><ul><li>G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne) </li></ul><ul><li>G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu) </li></ul><ul><li>G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb) </li></ul><ul><li>G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu </li></ul>
  74. 74. B1.0 Meetmed L <ul><li>M2.192 Infoturbe poliitika koostamine </li></ul><ul><li>M2.335 Infoturbe eesmärkide ja strateegia kehtestamine </li></ul><ul><li>M2.193 Infoturbe sobiva organisatsioonilise struktuuri rajamine </li></ul><ul><li>M2.195 Infoturbe kontseptsiooni koostamine </li></ul><ul><li>M2.197 Infoturbe alase koolituse kontseptsiooni koostamine </li></ul><ul><li>M2.199 Infoturbe käigushoid (auditid, muutuste jälgimine ja neile reageerimine,..) </li></ul><ul><li>M2.200 Infoturbe aruanded juhtkonnale </li></ul><ul><li>M2.201 Infoturbe protsessi dokumenteerimine </li></ul><ul><li>M2.340 Õiguslike raamtingimuste järgimine </li></ul>
  75. 75. Näide: Infoturbe poliitika jt <ul><li>http://www.riso.ee/et/soovitused/tinfoturbpol.htm </li></ul><ul><li>Tegevused infoturbe poliitika koostamisel </li></ul><ul><li>Koostamine ja haldamine </li></ul><ul><li>Infoturbe dokumentatsioon </li></ul><ul><li>Infoturbe poliitika lühivariant </li></ul><ul><li>Pikem variant </li></ul>
  76. 76. M2.195 Infoturbe kontseptsiooni koostamine <ul><li>1. Vajaliku turbetaseme määramine </li></ul><ul><li>2. Praegune infoturbe olukord </li></ul><ul><li>3. Etalonmeetmete valimine </li></ul><ul><li>4. Riskianalüüs ja vajadusel lisameetmete valimine </li></ul><ul><li>5. Kõigi meetmete ühendamine ja koostoime hindamine </li></ul><ul><li>6. Turbekulude hindamine ja plaanimine </li></ul><ul><li>7. Jääkriski hindamine ja kinnitamine </li></ul>
  77. 77. M2.197 Infoturbe alase koolituse kontseptsiooni koostamine <ul><li>Kõigile IT kasutajaile: </li></ul><ul><li>IT kasutamise ohud ja riskid </li></ul><ul><li>infoturbe põhiterminid ja -parameetrid </li></ul><ul><li>organisatsiooni infoturbe poliitika ja sellest iseendale tulenev </li></ul><ul><li>turberollid ja teatamiskanalid organisatsioonis </li></ul><ul><li>kuidas anda oma panus infoturbesse </li></ul><ul><li>kuidas ära tunda turvaintsidenti ja kuidas sellest teatada </li></ul><ul><li>kuidas saada teadmisi ja teavet infoturbe alal </li></ul><ul><li>Lisateemasid sihtgruppidele: </li></ul><ul><li>turvaline elektrooniline suhtlus </li></ul><ul><li>konkreetsete IT-süsteemide ja rakenduste turvaaspektid </li></ul><ul><li>turvaline tarkvaraarendus </li></ul><ul><li>infoturbe kontseptsioonide koostamine ja auditeerimine </li></ul>
  78. 78. M2.201 Infoturbe protsessi dokumenteerimine - miinimumdokumentatsioon <ul><li>infoturbe poliitika, </li></ul><ul><li>infovarade spetsifikatsioonid ja plaanid </li></ul><ul><li>infoturbe kontseptsioon </li></ul><ul><li>turvameetmete evituse plaanid </li></ul><ul><li>IT-vahendite õige ja turvalise kasutamise protseduurid </li></ul><ul><li>läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed jms) </li></ul><ul><li>infoturbepersonali koosolekute protokollid ja otsused </li></ul><ul><li>infoturbe aruanded juhtkonnale </li></ul><ul><li>infoturbekoolituse plaanid </li></ul><ul><li>aruanded turvaintsidentide kohta </li></ul>
  79. 79. B1.0 Meetmed M <ul><li>Aste M: lisada astme L meetmetele </li></ul><ul><li>M2.336 Koguvastutus infoturbe eest juhtkonna tasemel * </li></ul><ul><li>M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse * </li></ul><ul><li>M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne) </li></ul><ul><li>M2.339z Ressursside ökonoomne kasutamine infoturbeks </li></ul><ul><li>M2.380 Erandite kooskõlastamine </li></ul>
  80. 80. B1.0 Meetmed H, HK, HT <ul><li>Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele </li></ul><ul><li>Kohustuslikud üldmeetmed (HG) - </li></ul><ul><li>Teabe käideldavus (K), meetmed HK - </li></ul><ul><li>Teabe terviklus (T), meetmed HT </li></ul><ul><li>HT.11 Infoturbe aruanded juhtkonnale </li></ul><ul><li>HT.22 Kohustuslik turvaaudit </li></ul><ul><li>HT.23 Modifikatsioonide eelnev turvajuhi poolne kinnitamine </li></ul><ul><li>HT.29 Esemepõhine või kombineeritud autentimine </li></ul>
  81. 81. B1.0 Meetmed HS <ul><li>Teabe konfidentsiaalsus (S) , meetmed HS </li></ul><ul><li>HS.15 Turvaauditi kohustus (kord aastas)* </li></ul><ul><li>HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine </li></ul><ul><li>HS.20 Esemepõhine või kombineeritud autentimine </li></ul>
  82. 82. Prioriteedid, vastutajad ja teostusplaan <ul><li>R akendamise prioriteedid - k õigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul </li></ul><ul><li>Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest </li></ul><ul><li>Meetmete rakendam ise teostusplaan : meetmete rakendamise aja kava, teostajad, tähtajad, ressursid ja hindamise põhimõtted </li></ul>
  83. 83. Rakendamise prioriteedid <ul><li>Infoturbe halduse moodul </li></ul><ul><li>“ Kust king pigistab”, reaalne </li></ul><ul><li>Annab kasuliku tulemuse, nõuab vähe ressursse </li></ul><ul><li>Annab kasuliku tulemuse, pädevus / realiseerija / valmidus olemas </li></ul>+ Vähem-oluline ++ +++ Oluline Raske Reaal-ne
  84. 84. Meetmete rakendamine <ul><li>R aha d: planeerida järgmiste aastate eelarvetesse </li></ul><ul><li>K aasata erinevaid osapooli ( töökorraldus / infra) </li></ul><ul><li>Plaani täitmise korral dus: turvameetmete loetelud , turbehaldus, töötajate kaasamine, juhtkonna informeerimine </li></ul><ul><li>Pidev protsess, kuna muutuvad nii IT keskkond, turvaohud ja –meetmed kui ka ISKE rakendusjuhend ise </li></ul><ul><li>Muudatuste puhul tuleb uuesti kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajadusel rakendada vajalikke turvameetmeid + pärast ISKE rakendusjuhendi uuendamist </li></ul>
  85. 85. ISKE rakendamise finantseerimine <ul><li>Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse </li></ul><ul><li>Saab igal juhul ära teha ning nendest tuleks alustada </li></ul><ul><li>ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse </li></ul><ul><li>Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti </li></ul>
  86. 86. Investeeringute arvutamine meetmete loetelu põhjal <ul><li>Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks </li></ul><ul><li>Kulud infoturbe koolitusele </li></ul><ul><li>Kulud lepingulisele tööjõule ja audititele </li></ul><ul><li>Kulud infoturbe personali suurendamisele </li></ul><ul><li>Jooksvad kulud infoturbele </li></ul>
  87. 87. Infoturbe investeeringute arvutamine riskianalüüsi põhjal <ul><li>Riskipõhine investeeringute arvutamine (näide): </li></ul><ul><li>Hinnata infoturbe intsidentide aasta jooksul oodatavad tõenäosused ning maksumused </li></ul><ul><li>Näiteks, olgu eduka ründe tõenäosus hallatavale registrile aasta jooksul 5%; kahjud 1,000,000. Selle riski aastane maksumus 1,000,000* 5%= 50,000 </li></ul><ul><li>Hinnata niimoodi kõikide riskide maksumused ning liita need kokku </li></ul><ul><li>Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne) </li></ul>
  88. 88. Infoturbe investeeringute arvutamine ja põhjendamine: muud meetodid <ul><li>Eelmised: raske hinnata parameetrite väärtusi. Veel: </li></ul><ul><li>Hinnatakse oma valdkonna edukate ettevõtete kulutusi infoturbele ning püütakse jälgida sama proportsiooni </li></ul><ul><li>Plaanitakse infoturbe nõuded ja meetmed projektidesse, hooldusse jne => väheneb eraldi spetsiaalselt infoturbe investeeringute osakaal </li></ul><ul><li>Investeeringute põhjendamisel - sama loogika kui arvutamisel </li></ul><ul><li>Tuua välja ohud, riskid ja nende maksumused (sealhulgas riskid asutuse ellujäämisele, kui need on olemas) </li></ul><ul><li>Tuua välja investeeringute arvutamise metoodika ja kasutada seda põhjendamisel </li></ul>
  89. 89. Näide: ISKE pilootprojekt maavalitsuses
  90. 90. Ülevaade pilootprojektist <ul><li>http://www.ria.ee/26501 </li></ul><ul><li>20 andmekogu + turvaklassid ja turbeastmed </li></ul><ul><ul><li>Mitu L, M, H? </li></ul></ul><ul><li>IT-varade inventuur ja turbeastmed </li></ul><ul><li>Moodulid ja meetmed </li></ul><ul><li>Rakendamise plaan </li></ul><ul><li>Dokumentatsioon </li></ul><ul><li>Tagasiside ISKE kohta </li></ul>
  91. 91. Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine
  92. 92. Ülevaade ISKE rakendamise kontrollist ja hindamisest <ul><li>Otsese rakendaja poolt läbi viidav kontroll </li></ul><ul><li>Infoturbe koordinaatori või spetsialisti poolt läbi viidav spetsifitseeritud meetmete kontroll </li></ul><ul><li>Infoturbe koordinaatori või spetsialisti poolt läbi viidav täiendav riskianalüüs ja lisameetmete rakendamine vajadusel </li></ul><ul><li>Üldine asutuse väline ISKE rakendamise audit </li></ul><ul><li>Mitmesugused eriotstarbelised sise- ja välisauditid </li></ul><ul><li>Kolmanda osapoole poolt läbi viidav asutuse sertifitseerimine </li></ul>
  93. 93. Otsese rakendaja poolt läbi viidav kontroll <ul><li>Rakendajad: nt süsteemiadministraatorid, kasutajad </li></ul><ul><li>Rakendaja poolne kontroll: mitmesugused tegevused. </li></ul><ul><li>Näide: t üüptarkvara testimine (sealhulgas infoturbe osas) </li></ul><ul><ul><li>Testimiskeskkonna ja testitava tarkvara seadistamine ning kontroll </li></ul></ul><ul><ul><li>Funktsionaalsete nõuete testid </li></ul></ul><ul><ul><li>Mittefunktsionaalsete nõuete testid </li></ul></ul><ul><ul><li>Turvanõuete testid </li></ul></ul>
  94. 94. Meetmete rakendamise kontroll ja täiendav riskianalüüs <ul><li>Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras </li></ul><ul><li>Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid </li></ul>
  95. 95. Näide: rakendamise kontroll <ul><li>Rakendatud: </li></ul><ul><ul><li>B3.101 Server </li></ul></ul><ul><ul><li>B5.4 Veebiserver </li></ul></ul><ul><li>Täiendav oht (?): </li></ul><ul><ul><li>DDoS rünne (Distributed Denial of Service attack , hajutatud teenusetõkestamise rünne ) </li></ul></ul><ul><li>Täiendavad meetmed, näide: </li></ul><ul><ul><li>Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt </li></ul></ul>
  96. 96. Audit ja sertifitseerimine
  97. 97. Audit ISKE rakendamisprotsessis <ul><li>Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida </li></ul><ul><li>Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool </li></ul><ul><li>Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid: </li></ul><ul><ul><li>Rakendamise üldine audit </li></ul></ul><ul><ul><li>Mitmesugused eriotstarbelised auditid, mida nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid) </li></ul></ul><ul><ul><li>Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit </li></ul></ul>
  98. 98. ISKE rakendamise üldise auditi põhimõtted <ul><li>Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul </li></ul><ul><li>Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA sertifikaati. </li></ul><ul><li>Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust </li></ul><ul><li>Audiitor peab olema auditeeritavast sõltumatu </li></ul><ul><li>Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu </li></ul>
  99. 99. VV määrus <ul><li>§ 9 1 . Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel </li></ul><ul><li>(4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd: 1) kontrollida teostatud infovarade inventuuri vastavust nõuetele; 2) kontrollida turvaklasside ja turbeastmete määramist; 3) kontrollida rakendamisele kuuluvate turvameetmete valimist; 4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist. </li></ul>
  100. 100. Millal audit? <ul><li>Olulised asjad rakendatud </li></ul><ul><li>Kui tähtajad nõuavad: rakendatud või reaalne plaan olemas </li></ul><ul><li>Ettevalmistused: ISKE rakendamine on dokumenteeritud ja jälgitav </li></ul>
  101. 101. Rakendamistööriistad ja muud abimaterjalid
  102. 102. Töölehed, konfiguratsioonihalduse jm süsteemid <ul><li>Ka olemasolevad süsteemid </li></ul><ul><li>Asutuse ajakohastatud ülevaade IT varadest - alusmaterjal ISKE rakendamisel. Iga vara juurde tuleb lisada turvaklassi, turbeastme tüüpmoodulite tähiste jm vajalikud lahtrid, mida täidetakse ISKE rakendamise käigus. </li></ul><ul><li>ISKE moodulite MS Excel vormingus esitatud kirjelduse põhjal võib välja valida moodulitele vastavad meetmed (http://www.ria.ee/27220) </li></ul><ul><li>Tööleht: lisades orienteeruva maksumuse, kestvuse, vastutajate jm andmed, on võimalik lihtsustada ISKE rakendamise haldamist </li></ul>
  103. 103. ISKE töövahend portaalis “eesti.ee” <ul><li>Portaalis “eesti.ee” saab kasutada ISKE töövahendit: </li></ul><ul><li>Turvameetmete loetelu väljastamine valitud turbeastme ja moodulite põhjal </li></ul><ul><li>Meetmete otsing nimetuse, identifikaatori vms põhjal </li></ul><ul><li>Ohtude otsing nimetuse, identifikaatori vms põhjal </li></ul><ul><li>Mooduli otsing nimetuse, identifikaatori vms põhjal </li></ul><ul><li>Turbeastme määramine turvaklassi põhjal </li></ul><ul><li>Meetmete otsing etteantud mooduli põhjal </li></ul><ul><li>Ohtude otsing etteantud mooduli põhjal </li></ul>
  104. 104. BSI töövahend GSTOOL <ul><li>Infovarade inventuur ja spetsifitseerimine </li></ul><ul><li>Andmekogude ja infovarade turvaklasside ja turbeastmete määramine </li></ul><ul><li>Turvameetmete rakendamise plaani koostamine </li></ul><ul><li>Meetmete rakendamise jälgimine ja ülevaadete saamine </li></ul><ul><li>Meetmete rakendamise maksumuse koondhinnangute saamine </li></ul><ul><li>Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine </li></ul><ul><li>Turvameetmete rakendamise versioonihaldus </li></ul><ul><li>30-päevaseks testperioodiks BSI veebilehelt </li></ul>
  105. 105. Kokkuvõte
  106. 106. ISKE rakendamine - kokkuvõtteks <ul><li>Lähtuda asutuse vajadustest </li></ul><ul><li>Leida “iva”, ratsionaalne sisu, ja kasutada see ära </li></ul><ul><li>Rakendada loovalt, lihtsustada kus võimalik </li></ul><ul><li>Ignoreerida ebavajalikku või segast </li></ul><ul><li>Peaks saama ära teha B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 (sõltub vähe rahalistest ressurssidest) – peale koolituspäeva ka esialgsed oskused </li></ul><ul><li>Võimalusel saata tagasisidet probleemide ja ebatäpsuste kohta ( [email_address] ) </li></ul>
  107. 107. Koolituse kokkuvõte ja tagasiside <ul><li>Kas algsed küsimused said selgemaks? </li></ul><ul><li>Millest oli kasu? </li></ul><ul><ul><li>Arusaamine ISKE-st </li></ul></ul><ul><ul><li>Rakendamine asutuses </li></ul></ul><ul><ul><li>Rakendamise probleemide lahendamine </li></ul></ul><ul><li>Mida võiks teha teisiti? </li></ul>
  108. 108.   <ul><li>Täname! </li></ul>Koolitus toimus Euroopa Liidu struktuurifondide programmi “Infoühiskonna teadlikkuse tõstmine” raames, mida rahastab Euroopa Regionaalarengu Fond

×