ISKE rakendamine praktikas
description
Transcript of ISKE rakendamine praktikas
![Page 1: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/1.jpg)
Tallinnas, 02.07.2009
Jaak Tepandi
Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”
ISKE rakendamine praktikas
![Page 2: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/2.jpg)
Koolitusprojekti meeskond
• Tellija:
• Korraldaja:
• Koolitaja:
• Koolitaja:
![Page 3: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/3.jpg)
Põhilised teemad
• Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine
• Ülevaade etalonturbe kontseptsioonist • Infovarade inventuur ja spetsifitseerimine• Turvaosaklasside ja turvaklasside määramine• Turbeastme määramine ja tsoneerimine• BSI/ISKE tüüpmoodulid ja nende valik• Turvameetmete rakendamine: plaan,
prioriteedid, vastutajad, kulud, maksumus• Kontroll, täiendav riskianalüüs, auditeerimine
ja sertifitseerimine • Rakendamistööriistad ja muud abimaterjalid• + Arutelud, küsimused, näited
![Page 4: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/4.jpg)
Ajakava (orienteeruv)
9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest
10:45-12:15. Infovarad, turvaklassid, turbeastmed, tüüpmoodulid, tsoneerimine
13:00 – 14:30. Turvameetmete rakendamine
14:45-16:15. Rakendamine (jätkub), kontroll, auditeerimine, rakendamistööriistad, kokkuvõte
(Arutelud, küsimused, näited võivad muuta)
![Page 5: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/5.jpg)
Tunnistades karme fakte …
• Riigi suur (suurim?) vara on info• Õnnetused, eksimused, hooletus, küberründed
on tegelikkus• Infoturbe tagamine on töömahukas, kulukas ja
kasutajatele ebamugav• Infoturve on “salakaval”: tuleb tõkestada kõik
teed, tehnoloogiast ei piisa: organisatsioon, infrastruktuur, protseduurid, tehnilised meetmed
• Avaliku teabe seadus: hiljemalt 1. juuliks 2008• “Tunnista karme fakte, kuid ära kunagi kaota
lootust”Jim Collins /Jim Stockdale
![Page 6: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/6.jpg)
ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem.
Milleks? “Rakendame ISKEt,
sest X kuupäevaks tuleb rakendada”?
“Soovime piisava turvalisusega süsteeme, ISKE on selleks kasulik abivahend”?
CorelTM
![Page 7: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/7.jpg)
Tänased eesmärgid, …• Osalejatel on ülevaade ISKE-st ja rakendusjuhendi
kasutamisest ( -> kasutame juhendit ka koolituse käigus!)
• Osalejatel on arusaamine, kas ja kuidas hakata oma asutuses ISKE-t rakendama + algoskused, et rakendada B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 ulatuses (sõltub vähe rahalistest ressurssidest)
• Osalejatel on teadmine põhilistest probleemidest ISKE rakendamisel ja sellest, kuidas nende probleemidega tegeleda
• Kontaktid ja koostöö teistega• … iga teema puhul arvestame neid küsimusi
![Page 8: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/8.jpg)
…, mitte- eesmärgid ja eeldused
• Mitte-eesmärgid
– Infoturbe koolitus (veidi alguses)
– Detailne ISKE / BSI moodulite – ohtude – meetmete tutvustus
• Eeldused
– Vajadus ISKE-st aru saada ja seda rakendada
– Hakkame üsna algusest (kui ISKE on hästi teada, võib olla palju tuttavaid asju – võimalus aktiivselt osaleda)
![Page 9: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/9.jpg)
ISKE rakendajad ja meie
![Page 10: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/10.jpg)
ISKE rakendamise koordinaator
• ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum
• ISKE koordinaator - ISKE rakendamise eest vastutav isik
• Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast
• Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne
• Soovitav hea side asutuse juhtkonna ning erinevate osakondadega
![Page 11: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/11.jpg)
Andmete omanik
• Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes
• Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele
• IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi
• Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks
![Page 12: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/12.jpg)
ISKE rakendamise rollid
Mõningaid rolle võib täita üks ja sama inimene:• ISKE koordinaator asutuses • Infoturbe spetsialist• Asutuse IT eest vastutaja• Andmete omanik• Juhtkonna esindaja• ISKE juurutaja (näiteks asutuste struktuuriüksuste
esindaja)• ISKE administraator asutuses (kasutajate
haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)
![Page 13: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/13.jpg)
Osalejate tutvustamine
• Nimi, asutus (,roll ISKE juurutamisel)
• (Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) )
• (Küsimus / probleem, millele tahaks koolituselt vastust leida)
![Page 14: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/14.jpg)
ISKE rakendusala ja tähtajad
![Page 15: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/15.jpg)
ISKE rakendusala 1
• Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 "Infosüsteemide turvameetmete süsteem" - Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.
• Avaliku teabe seadus § 431. Andmekogu. (1) Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. (2) Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.
![Page 16: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/16.jpg)
Rakendus-/reguleerimisala 2
• § 432. Riigi infosüsteem. (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.
• § 439. Riigi infosüsteemi kindlustavad süsteemid. (1) Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid:1) klassifikaatorite süsteem;2) geodeetiline süsteem;3) aadressiandmete süsteem;4) infosüsteemide turvameetmete süsteem;5) infosüsteemide andmevahetuskiht;6) riigi infosüsteemi haldussüsteem.
![Page 17: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/17.jpg)
Riigi infosüsteemi kindlustavad süsteemid
• (3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Käesoleva seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2, 4 ja 6 nimetatud kindlustavad süsteemid.
• Avaliku teabe seadus (alates 01.01.2008) - § 433. Andmekogu asutamine. (4) Ainult organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks peetavat ja riigi infosüsteemi mittekuuluvat andmekogu ei pea käesoleva paragrahvi lõikes 3 sätestatud korras kooskõlastama.
![Page 18: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/18.jpg)
AvTS rakendamine
• § 581. Seaduse 51. peatüki rakendamine
• (1) Andmekogude seadusega kooskõlas asutatud riiklike registrite pidamise põhimäärused ja nende alusel peetavad andmekogud ning muud riigi ja kohalike omavalitsuste andmekogud viiakse käesoleva seadusega kooskõlla kuue kuu jooksul andmekogude seaduse kehtetuks tunnistamisest (muutus kehtetuks 01.01.2008) arvates.
![Page 19: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/19.jpg)
Järeldusi: ISKE tähtajad
• Andmekogudele AvTS mõttes – 01.07.2008, nt:– meilisüsteemis (nt MS Exchange) olevad andmed – personaliarvestuse süsteemis olevad andmed – finantsarvestuse süsteemis olevad andmed
• VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel – (1) Andmekogu vastutav töötleja, kelle andmekogu
kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.
– (2) ... «M»… 1. detsembriks 2010. a. – (3) … «L»… 1. märtsiks 2011. a.
![Page 20: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/20.jpg)
Rakendusala – probleeme
• Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse oma andmekogusid, nad pigem kasutavad riigi andmekogude andmeid (teenuseid)?
• Suure andmekogu puhul, millel on palju kasutajaid, kes ka andmeid uuendavad, ei ole vastutuse jaotus ISKE rakendamisel selge?
![Page 21: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/21.jpg)
Ülevaade etalonturbe
kontseptsioonist
![Page 22: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/22.jpg)
Infoturbe põhimõisteid
• Vara: miski, millel on organisatsiooni jaoks väärtus
• Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus
• Nõrkus: vara või vararühma nõrk koht, mida saab ära kasutada oht
• Risk: võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse
• Turvameede: riski kahandav teoviis, protseduur või mehhanism
• Jääkrisk: risk, mis säilib pärast turvameetmete teostamist
![Page 23: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/23.jpg)
Riskianalüüs ja -haldus
• Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess
• Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna
![Page 24: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/24.jpg)
Näide: Riskide hindamine
• Vara: maja. Tõsine tulekahju maksab 2,000,000
• Oht: tulekahju. Tõenäosus on 1% aastas
• Nõrkused: puumaja, kindlustamata, piksevarras puudub
• Tulekahju riski aastane maksumus?
• Mõistlik kulutus turbele selle riski osas?
• Meetmed?
• Jääkrisk?
• … analoogiliselt ka infoturbega (üldiselt)
![Page 25: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/25.jpg)
(Info)turbe tase ja maksumus
Infoturbe tase
Mak-sumus
Intsidendid Infoturve
Kokku
0 100
![Page 26: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/26.jpg)
Etalonturbe ideed (1)
• Infoturbe aluseks on riskianalüüs …
• … mis on täismahus väga töömahukas
• -> ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem
![Page 27: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/27.jpg)
Etalonturbe ideed (2)
• EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade– Etalonkaitse dokumendid ja korrakoodeksid soovitavad
tüüpseid turvameetmestikke– Eelised. Jääb ära detailse riskianalüüsi ressursitarve ning
turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse …. Samu või sarnaseid etalonmeetmeid saab suuremate pingutusteta kohandada paljudele süsteemidele > võivad pakkuda ökonoomset lahendust
– Puudused: Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu … Raskusi võib tekkida turvet puudutavate muutuste haldusega. Näiteks on süsteemi moderniseerimisel võib-olla raske hinnata, kas esialgsed etalonmeetmed on üha piisavad
![Page 28: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/28.jpg)
Etalonturbe maksumus
Infoturbe tase
Mak-sumus
Intsidendid Infoturve
Kokku
0 100Madal KõrgeKeskmine
![Page 29: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/29.jpg)
ISKE ülevaade
![Page 30: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/30.jpg)
Allikad ja turbeastmed
• ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il)
• Täiendatakse regulaarselt kord aastas• Lisateave BSI käsiraamatust• Tavaliselt on asutuses kasutusel turvanõuete taseme
poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke
• ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H). Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele
![Page 31: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/31.jpg)
Etalonturbe ja ISKE rakendusala
• Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega
• ISKE:
– Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks
– Rakendatav ka muudes organisatsioonides– Ei ole mõeldud riigisaladust käitlevate
infosüsteemide turbeks
![Page 32: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/32.jpg)
ISKE struktuur
• Rakendamise juhend , vt jaotis 1.5• Infovarade spetsifitseerimise ja turvaanalüüsi juhised ,
vt jaotis 2.1, 2.2• Etaloninstrumendid:
– turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3
– tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1
– (mõisted ja lühendid, jaotis 4)– infovarade tüüpmoodulite turvaspetsifikatsioonide
kataloog B, vt jaotis 5– ohtude kataloog G, vt jaotis 6– turvameetmete kataloog, vt jaotis 7
![Page 33: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/33.jpg)
ISKE ja selle alusmaterjalid
• Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Ingliskeelne juhend IT Baseline Protection
Manual: http://www.bsi.de/english/gshb/index.htm • Saksakeelne juhend IT-Grundschutzhandbuch:
http://www.bsi.de/gshb/downloads/index.htm • Soovitused -
http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid
![Page 34: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/34.jpg)
ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg
![Page 35: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/35.jpg)
Ülevaade ISKE rakendamisest
1. Infovarade inventuur ja spetsifitseerimine
2. Andmekogude turvaklasside määramine
3. Muude infovarade turvaklasside määramine
4. Turvaklassiga infovarade turbeastme määramine
5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel
6. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse
7. Turbehalduse meetmete loetelu koostamine
8. Turvameetmete rakendamise plaani koostamine
9. Turvameetmete rakendamine
10. Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine
![Page 36: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/36.jpg)
Tööd ja rollid
• ISKE koordinaator asutuses (kõik tööd)
• Infoturbe spetsialist (töödes 3-10)
• Asutuse IT eest vastutaja (töödes 1, 3, 5, 8)
• Andmete omanik (töös 2)
• Juhtkonna esindaja (töödes 5,8,9)
• ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) - töös 9
• ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)
![Page 37: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/37.jpg)
Ressursid
• Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist
• Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas?
– Juhtkonna kaasamine
– Hinnangud
– Prioriteedid
– Ette planeerimine (eelarve)
• (Kumb on lihtsam?)
• Osa nõuavad mõlemaid. Kõik nõuavad rakendamise aega
![Page 38: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/38.jpg)
Aeg
• Tähtajad vt eespool
• Meetmete ajaressurss ja tähtajad
– Juhtkonna kaasamine
– Hinnangud
– Prioriteedid
– Ette planeerimine (töökava)
• Kas ISKE on tähtajaline projekt?
![Page 39: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/39.jpg)
Probleemid kuulajalt
• Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega
• Muudatused võtavad aega
• Puudub sõnastatud ühtne turvapoliitika
• Mida saab anda koolitus?
– Lisateadmised / -oskused rakendamise kohta (= lisa oskused)
– Ideid tööde korraldamiseks (= lisa inimesed)– Prioriteedid (midagi vähemaks / odavamaks /
kiiremaks) • Mida ei saa?
![Page 40: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/40.jpg)
Infovarade inventuur ja
spetsifitseerimine (IT struktuuri
analüüs)
![Page 41: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/41.jpg)
Varad ja infovarad
• Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvutivõrk, server, inimene, ruum, immateriaalne vara (nt. maineväärtus) jmt
• Vara eriliik on infovara – IT-süsteemidega seonduv vara: andmed, andmebaasid, rakendustarkvara, süsteemitarkvara, arvutid, serverid, arvutivõrk, marsruuterid, kommutaatorid, andmekandjad jmt
• Infovarasid hoitakse hoonetes, ruumides jne, mis üldjuhul ise ei ole infovarad
![Page 42: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/42.jpg)
IT süsteemide ja rakenduste inventuur
• Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja selle dokumenteerimiseks
• Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv
• Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne)
• Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem
![Page 43: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/43.jpg)
Inventuuri ja spetsifitseerimise detailsus
• Detailsus sõltub asutuse vajadustest– Detailsuse aste peaks võimaldama ISKE
rakendamist– Ei tohiks tekitada asutusele asjatut aja- ja
töökulu• Võimalusi
– Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks – moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne
– Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks
![Page 44: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/44.jpg)
Juhtumianalüüs, kuulajate näited
• Näited, ettepanekud?• Näide – asutus X
– Personaliarvestussüsteem– Raamatupidamissüsteem– Dokumendihaldussüsteem– Kodulehe haldussüsteem– Meilisüsteem– Failisüsteem– Rahvastikuregistri klient– Asutus peab registrit Y
• Infoturbe valdkonnad: üldkomponendid / haldus, (IT) infrastruktuur, IT süsteemid, võrgud, IT rakendused / AB
![Page 45: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/45.jpg)
Turvaosaklasside ja turvaklasside
määramine
![Page 46: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/46.jpg)
Turvalisuse näitajad
• Turbemetoodikate aluseks on turvamudelid - 3-6 osaeesmärki
• Levinuim turvamudel põhineb käideldavuse, tervikluse ja konfidentsiaalsuse tagamisel => ISKE
• Andmete käideldavus (K) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile
• Andmete terviklus (T) on andmete õigsuse / täielikkuse / ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine
• Andmete konfidentsiaalsus (S) on andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele.
![Page 47: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/47.jpg)
Turvaosaklassid
• ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal
• Lisaks hindamisskaalale rakendatakse lisakriteeriume (seadustest, äriprotsessidest ja tagajärgede kaalukusest tulenevad kriteeriumid)
• Turvaosaklassi tähis: turvaeesmärgi tähis + turvataseme väärtus
• Infosüsteemi turvanõudeid ja andmete väärtust teab kõige paremini andmete omanik => peaks määrama andmete vajaliku turbetaseme– IT või infoturbe spetsialist võib olla nõuandja
rollis– Soovitav lasta asutuse juhtkonnal kinnitada
![Page 48: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/48.jpg)
Käideldavuse hindamisskaala
• K0 – töökindlus – pole oluline; jõudlus – pole oluline
• K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10)
• K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10)
• K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10)
![Page 49: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/49.jpg)
Tervikluse hindamisskaala • T0 – info allikas, muutmise ega hävitamise
tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud
• T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele
• T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid
• T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas
![Page 50: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/50.jpg)
Konfidentsiaalsuse hindamisskaala
• S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega)
• S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
![Page 51: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/51.jpg)
Tagajärgede kaalukusest tulenevad nõuded
• R0 – turvaintsidendiga (st info käideldavuse ja/või konfidentsiaalsuse ja/või tervikluse nõuete mittetäitmisega) ei kaasne märkimisväärseid kahjusid
• R1 – kaasnevad vähe olulised kahjud: takistused asutuse funktsiooni täitmisele või märkimisväärsed rahalised kaotused
• R2 - kaasnevad olulised kahjud: oluline takistus asutuse funktsiooni täitmisele, oht inimeste tervisele või keskkonnasaaste oht või olulised rahalised kaotused
• R3 - kaasnevad väga olulised (missioonikriitilised) kahjud: asutuse funktsiooni täitmatajätmine või märkimisväärsed häired riigikorralduses või oht inimelule või keskkonnasaaste või väga olulised rahalised kaotused
![Page 52: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/52.jpg)
Kokkuvõte nõuetest, mida tuleb arvestada turvaosaklasside
määramisel • Vastava turvaeesmärgi hindamisskaala• Seadustest ja lepingutest (nt avaliku teabe
seadusest, isikuandmete kaitse seadusest jne) tulenevad nõuded
• Põhitegevuse (või äritegevuse) protsessidest tulenevad nõuded (nt nõuded käideldavusele)
• Tagajärgede kaalukusest tulenevad nõuded.• Kui eelnevalt nimetatud nõuded määravad
erinevad tasemed, siis tuleb turvaosaklassi määramisel lähtuda kõrgeimast tasemest
![Page 53: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/53.jpg)
Näide: turvaosaklassi määramine
TerviklusT
KäideldavusK
KonfidentsiaalsusS
TerviklusKäideldavus KonfidentsiaalsusTase
seadustest/lepingutest Põhitegevuse
nõudedTagajärgede
kaalukusPõhitegevuse
nõudedTagajärgede
kaalukusPõhitegevuse
nõudedTagajärgede
kaalukus
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase seadustest/lepingutest
Tase seadustest/lepingutest
Turvaosaklassid/nõuded
![Page 54: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/54.jpg)
Turvaklassi määramine
• Andmete turvaklass on kolme turvaosaklassi konkreetne kombinatsioon. Nende kõikvõimalike kombinatsioonide arv on 444, seega on erinevaid turvaklasse 64
• Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, nt K2T3S1
• Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel
• Ühe andmekogu eri andmeliikidel võib olla erinev turvaklass
![Page 55: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/55.jpg)
Turbeastme määramine ja tsoneerimine
![Page 56: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/56.jpg)
Turbeastme määramine turvaklassi järgi
• Tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1
• Reeglid?
![Page 57: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/57.jpg)
Tsoneerimine
• Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil
• Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks
• Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne
• Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste
![Page 58: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/58.jpg)
Turbeaste – näited
• Raamatupidamissüsteem?
• Personalisüsteem?
• Meilisüsteem?
• Register Y?
![Page 59: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/59.jpg)
BSI / ISKE tüüpmoodulid ja
nende valik
![Page 60: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/60.jpg)
Moodulid
• Moodulirühmad – läbivaatus, lühiiseloomustus
• Tüüpmoodulid
• Infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B
• Vaadata läbi
– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?
![Page 61: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/61.jpg)
Tüüpmoodulid ja moodulite grupid 1
• BSI / ISKE tüüpmoodulid kirjeldavad infovarade liike, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel
• Ohtude loetelus on toodud konkreetse tüüpmooduli puhul avastatud ohud. Ohtude loetelu võimaldab kontrollida tegelikku turvaolukorda
• Turvameetmete loetelus on toodud konkreetse tüüpmooduli jaoks rakendatavad turvameetmed: L, M, z, H
![Page 62: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/62.jpg)
Tüüpmoodulid ja moodulite grupid 2
• Kõrgem (H) turbeaste saadakse keskmise (M) turbeastme turvameetmele (H) astme meetmete lisamise teel
• H turvameetmed jagunevad kohustuslikeks (HG) ja tingimuslikeks turvameetmeteks
• Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.
• Keskmise ja kõrgema turbeastme puhul on turvameetmeid soovitatav rakendada astmete haaval: näiteks kõrgeima turbeastme puhul saavutada kõigepealt aste L, siis aste M ja seejärel aste H
![Page 63: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/63.jpg)
Moodulite valik
• Igas tsoonis leitakse BSI / ISKE tüüpmoodulite kataloogist infovaradele vastavate tüüpmoodulite tähised ning märgitakse need infovarade spetsifikatsiooni tabelisse
• Ühele infovarale võib vastata mitu tüüpmoodulit: nt Unix server => B 3.102 (Server Unixi all) + 3.101 (Server) + …
• Seni spetsifitseerimata varad => tüüpmoodulid, nt töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldusprotsess B1. Kogu tüüpmoodulite rühmale B1 tuleb määrata kõrgeim teistele varadele määratud turbeaste
• Näide: kui andmekogu turvaklass on K1T2S3 ning teiste varade turvaklass on väiksem, tuleb ka tüüpmoodulite rühma B1 puhul lähtuda turvaklassist K1T2S3
![Page 64: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/64.jpg)
ISKE rakendami
ne - võimalusi
![Page 65: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/65.jpg)
ISKE rakendamine - loogiliselt
• Tekita meeskond, tutvusta, motiveeri (sh juhtkonda) • Saa ülevaade sellest, millele ISKEt rakendada• Hinda turvaklasse ja turbeastmeid, moodusta tsoonid
(vajadusel)• Vali moodulid -> meetmed• Planeeri rakendamine: haldusmoodul, muud moodulid
– Pane prioriteedid– Hinda ressursse– Jaga rakendajate vahel
• Rakenda• Kontrolli ohte, hinda riske, täienda kui vaja• Kanna tulemused RIHAsse, auditeeri jne• Pidev tegevus! Mitte ühekordne
![Page 66: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/66.jpg)
ISKE rakendamine – parim variant (?)
1. Tekita meeskond, tutvusta, motiveeri (sh juhtkonda)
2. Leia kõige suurem infoturbe alane probleem, mille üle muretsed ise ja teised (sh juhtkond)
3. Otsi ISKEst vastust
4. Rakenda ISKE selles valdkonnas
5. Hoolitse, et lahendus kestaks – dokumenteeri valikud / protseduurid jne
6. Reklaami tulemust
7. Kanna tulemused RIHAsse, vajadusel auditeeri jne
8. Mine tagasi punktile 1
![Page 67: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/67.jpg)
Turvameetmete rakendamine
![Page 68: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/68.jpg)
Rakendamise tegevusi
• Plaani koostamine rakendamiseks
• Meetmete rakendamine (rakendamise prioriteedid; vastutajad, teostusplaan)
• Kulude ja maksumuse hindamine
![Page 69: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/69.jpg)
Turbehalduse meetmete ja turbe rakendamise plaani koostamine
• Turbehalduse meetmete rakendamine iseenesest ei eelda erilisi otseseid rahalisi kulutusi, siiski võivad tööjõukulud olla üsna suured
• ISKE juurutamine tervikuna võib olla nii aja-, raha- ja töömahukas => tuleks ette planeerida
• Plaan infoturbe halduse (moodul B1.0) meetmete rakendamiseks
• Seejärel muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaan, arvestades– Meetmete planeerimine– Maksumuse ning ajalise kestvuse prognoosid– Rakendamise prioriteedid, vastutajad ja
teostusplaan
![Page 70: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/70.jpg)
Meetmed
• Turbeastmetes L ja M on kokku 1074 turvameedet, jagatud 7 rühma
• Turbeastmes H on kokku 153 turvameedet, jagatud 4 rühma
• Vaadata läbi
– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?
![Page 71: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/71.jpg)
Turbehalduse meetmete loetelu koostamine
• Turbehaldus on ülejäänud tegevuste aluseks• Infoturbe spetsialist koostab kõrgeimast
määratud turbeastmest lähtudes turbehalduse meetmete loetelu, leides need meetmed mooduli B1.0 turvaspetsifikatsiooni põhjal
• Näiteks, turvaklassi K3T2S1 puhul valitakse mooduli B1.0 L- ja M-taseme meetmed, kuna HG- ja HK-meetmeid moodulis ei ole
• Valitud meetmetest kaks (M2.338z ja M2.339z) on tingimuslikud, neid võib rakendada sõltuvalt konkreetsetest tingimustest ja vajadustest
![Page 72: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/72.jpg)
Meetmed - küsimusi
• Kuidas teha?
– Kas piisab ISKE-st (kas ISKE peaks olema ainus algallikas infoturbe probleemide lahendamiseks? Või on ta pigem kontrollnimistu?)
– Kust saada lisainfot?
• Kuidas otsustada, kas meede on rakendatud?
• Näited
![Page 73: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/73.jpg)
Esimene rakendatav moodul - B1.0 Infoturbe haldus
Ohud
• G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne)
• G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu)
• G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb)
• G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu
![Page 74: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/74.jpg)
B1.0 Meetmed L
• M2.192 Infoturbe poliitika koostamine• M2.335 Infoturbe eesmärkide ja strateegia
kehtestamine• M2.193 Infoturbe sobiva organisatsioonilise
struktuuri rajamine• M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni
koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste
jälgimine ja neile reageerimine,..)• M2.200 Infoturbe aruanded juhtkonnale• M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine
![Page 75: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/75.jpg)
Näide: Infoturbe poliitika jt
• http://www.riso.ee/et/soovitused/tinfoturbpol.htm
• Tegevused infoturbe poliitika koostamisel
• Koostamine ja haldamine
• Infoturbe dokumentatsioon
• Infoturbe poliitika lühivariant
• Pikem variant
![Page 76: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/76.jpg)
M2.195 Infoturbe kontseptsiooni koostamine
1. Vajaliku turbetaseme määramine
2. Praegune infoturbe olukord
3. Etalonmeetmete valimine
4. Riskianalüüs ja vajadusel lisameetmete valimine
5. Kõigi meetmete ühendamine ja koostoime hindamine
6. Turbekulude hindamine ja plaanimine
7. Jääkriski hindamine ja kinnitamine
![Page 77: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/77.jpg)
M2.197 Infoturbe alase koolituse kontseptsiooni koostamine
Kõigile IT kasutajaile:• IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid• organisatsiooni infoturbe poliitika ja sellest iseendale
tulenev• turberollid ja teatamiskanalid organisatsioonis• kuidas anda oma panus infoturbesse• kuidas ära tunda turvaintsidenti ja kuidas sellest teatada• kuidas saada teadmisi ja teavet infoturbe alal
Lisateemasid sihtgruppidele:• turvaline elektrooniline suhtlus• konkreetsete IT-süsteemide ja rakenduste turvaaspektid• turvaline tarkvaraarendus• infoturbe kontseptsioonide koostamine ja auditeerimine
![Page 78: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/78.jpg)
M2.201 Infoturbe protsessi dokumenteerimine -
miinimumdokumentatsioon• infoturbe poliitika, • infovarade spetsifikatsioonid ja plaanid• infoturbe kontseptsioon• turvameetmete evituse plaanid• IT-vahendite õige ja turvalise kasutamise
protseduurid• läbivaatuste dokumentatsioon (kontroll-loetelud,
küsitlusmärkmed jms)• infoturbepersonali koosolekute protokollid ja
otsused• infoturbe aruanded juhtkonnale• infoturbekoolituse plaanid• aruanded turvaintsidentide kohta
![Page 79: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/79.jpg)
B1.0 Meetmed M
Aste M: lisada astme L meetmetele
• M2.336 Koguvastutus infoturbe eest juhtkonna tasemel *
• M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse *
• M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne)
• M2.339z Ressursside ökonoomne kasutamine infoturbeks
• M2.380 Erandite kooskõlastamine
![Page 80: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/80.jpg)
B1.0 Meetmed H, HK, HT
Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele
Kohustuslikud üldmeetmed (HG) -
Teabe käideldavus (K), meetmed HK -
Teabe terviklus (T), meetmed HT• HT.11 Infoturbe aruanded juhtkonnale• HT.22 Kohustuslik turvaaudit• HT.23 Modifikatsioonide eelnev
turvajuhi poolne kinnitamine • HT.29 Esemepõhine või kombineeritud
autentimine
![Page 81: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/81.jpg)
B1.0 Meetmed HS
Teabe konfidentsiaalsus (S) , meetmed HS
• HS.15 Turvaauditi kohustus (kord aastas)*
• HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine
• HS.20 Esemepõhine või kombineeritud autentimine
![Page 82: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/82.jpg)
Prioriteedid, vastutajad ja teostusplaan
• Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul
• Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest
• Meetmete rakendamise teostusplaan: meetmete rakendamise ajakava, teostajad, tähtajad, ressursid ja hindamise põhimõtted
![Page 83: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/83.jpg)
Rakendamise prioriteedid
• Infoturbe halduse moodul
• “Kust king pigistab”, reaalne
• Annab kasuliku tulemuse, nõuab vähe ressursse
• Annab kasuliku tulemuse, pädevus / realiseerija / valmidus olemas
Reaal-ne
Raske
Oluline +++ ++
Vähem-oluline
+
![Page 84: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/84.jpg)
Meetmete rakendamine
• Rahad: planeerida järgmiste aastate eelarvetesse
• Kaasata erinevaid osapooli (töökorraldus / infra)• Plaani täitmise korraldus: turvameetmete
loetelud, turbehaldus, töötajate kaasamine, juhtkonna informeerimine
• Pidev protsess, kuna muutuvad nii IT keskkond, turvaohud ja –meetmed kui ka ISKE rakendusjuhend ise
• Muudatuste puhul tuleb uuesti kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajadusel rakendada vajalikke turvameetmeid + pärast ISKE rakendusjuhendi uuendamist
![Page 85: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/85.jpg)
ISKE rakendamise finantseerimine
• Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse
• Saab igal juhul ära teha ning nendest tuleks alustada
• ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse
• Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti
![Page 86: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/86.jpg)
Investeeringute arvutamine meetmete loetelu põhjal
• Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks
• Kulud infoturbe koolitusele
• Kulud lepingulisele tööjõule ja audititele
• Kulud infoturbe personali suurendamisele
• Jooksvad kulud infoturbele
![Page 87: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/87.jpg)
Infoturbe investeeringute arvutamine riskianalüüsi põhjal
Riskipõhine investeeringute arvutamine (näide):• Hinnata infoturbe intsidentide aasta jooksul
oodatavad tõenäosused ning maksumused• Näiteks, olgu eduka ründe tõenäosus
hallatavale registrile aasta jooksul 5%; kahjud 1,000,000. Selle riski aastane maksumus 1,000,000* 5%= 50,000
• Hinnata niimoodi kõikide riskide maksumused ning liita need kokku
• Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne)
![Page 88: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/88.jpg)
Infoturbe investeeringute arvutamine ja põhjendamine: muud
meetodid Eelmised: raske hinnata parameetrite väärtusi. Veel:• Hinnatakse oma valdkonna edukate ettevõtete
kulutusi infoturbele ning püütakse jälgida sama proportsiooni
• Plaanitakse infoturbe nõuded ja meetmed projektidesse, hooldusse jne => väheneb eraldi spetsiaalselt infoturbe investeeringute osakaal
Investeeringute põhjendamisel - sama loogika kui arvutamisel
• Tuua välja ohud, riskid ja nende maksumused (sealhulgas riskid asutuse ellujäämisele, kui need on olemas)
• Tuua välja investeeringute arvutamise metoodika ja kasutada seda põhjendamisel
![Page 89: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/89.jpg)
Näide: ISKE pilootprojekt
maavalitsuses
![Page 90: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/90.jpg)
Ülevaade pilootprojektist
• http://www.ria.ee/26501
• 20 andmekogu + turvaklassid ja turbeastmed
– Mitu L, M, H?• IT-varade inventuur ja turbeastmed
• Moodulid ja meetmed
• Rakendamise plaan
• Dokumentatsioon
• Tagasiside ISKE kohta
![Page 91: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/91.jpg)
Kontroll, täiendav riskianalüüs,
auditeerimine ja sertifitseerimine
![Page 92: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/92.jpg)
Ülevaade ISKE rakendamise kontrollist ja hindamisest
• Otsese rakendaja poolt läbi viidav kontroll
• Infoturbe koordinaatori või spetsialisti poolt läbi viidav spetsifitseeritud meetmete kontroll
• Infoturbe koordinaatori või spetsialisti poolt läbi viidav täiendav riskianalüüs ja lisameetmete rakendamine vajadusel
• Üldine asutuse väline ISKE rakendamise audit
• Mitmesugused eriotstarbelised sise- ja välisauditid
• Kolmanda osapoole poolt läbi viidav asutuse sertifitseerimine
![Page 93: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/93.jpg)
Otsese rakendaja poolt läbi viidav kontroll
• Rakendajad: nt süsteemiadministraatorid, kasutajad
• Rakendaja poolne kontroll: mitmesugused tegevused.
• Näide: tüüptarkvara testimine (sealhulgas infoturbe osas)
– Testimiskeskkonna ja testitava tarkvara seadistamine ning kontroll
– Funktsionaalsete nõuete testid– Mittefunktsionaalsete nõuete testid– Turvanõuete testid
![Page 94: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/94.jpg)
Meetmete rakendamise kontroll ja täiendav riskianalüüs
• Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras
• Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid
![Page 95: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/95.jpg)
Näide: rakendamise kontroll
• Rakendatud:
– B3.101 Server
– B5.4 Veebiserver
• Täiendav oht (?):
– DDoS rünne (Distributed Denial of Service attack, hajutatud teenusetõkestamise rünne)
• Täiendavad meetmed, näide:
– Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt
![Page 96: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/96.jpg)
Audit ja sertifitseerimine
![Page 97: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/97.jpg)
Audit ISKE rakendamisprotsessis
• Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida
• Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool
• Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid:– Rakendamise üldine audit– Mitmesugused eriotstarbelised auditid, mida
nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid)
– Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit
![Page 98: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/98.jpg)
ISKE rakendamise üldise auditi põhimõtted
• Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul
• Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA sertifikaati.
• Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust
• Audiitor peab olema auditeeritavast sõltumatu• Ühe kuu jooksul pärast auditi teostamist edastab
andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu
![Page 99: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/99.jpg)
VV määrus
• § 91. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel
• (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd:1) kontrollida teostatud infovarade inventuuri vastavust nõuetele;2) kontrollida turvaklasside ja turbeastmete määramist;3) kontrollida rakendamisele kuuluvate turvameetmete valimist;4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist.
![Page 100: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/100.jpg)
Millal audit?
• Olulised asjad rakendatud
• Kui tähtajad nõuavad: rakendatud või reaalne plaan olemas
• Ettevalmistused: ISKE rakendamine on dokumenteeritud ja jälgitav
![Page 101: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/101.jpg)
Rakendamistööriistad ja muud abimaterjalid
![Page 102: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/102.jpg)
Töölehed, konfiguratsioonihalduse jm süsteemid
Ka olemasolevad süsteemid
• Asutuse ajakohastatud ülevaade IT varadest - alusmaterjal ISKE rakendamisel. Iga vara juurde tuleb lisada turvaklassi, turbeastme tüüpmoodulite tähiste jm vajalikud lahtrid, mida täidetakse ISKE rakendamise käigus.
• ISKE moodulite MS Excel vormingus esitatud kirjelduse põhjal võib välja valida moodulitele vastavad meetmed (http://www.ria.ee/27220)
• Tööleht: lisades orienteeruva maksumuse, kestvuse, vastutajate jm andmed, on võimalik lihtsustada ISKE rakendamise haldamist
![Page 103: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/103.jpg)
ISKE töövahend portaalis “eesti.ee”
Portaalis “eesti.ee” saab kasutada ISKE töövahendit:• Turvameetmete loetelu väljastamine valitud
turbeastme ja moodulite põhjal• Meetmete otsing nimetuse, identifikaatori vms
põhjal• Ohtude otsing nimetuse, identifikaatori vms põhjal• Mooduli otsing nimetuse, identifikaatori vms põhjal• Turbeastme määramine turvaklassi põhjal• Meetmete otsing etteantud mooduli põhjal• Ohtude otsing etteantud mooduli põhjal
![Page 104: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/104.jpg)
BSI töövahend GSTOOL
• Infovarade inventuur ja spetsifitseerimine
• Andmekogude ja infovarade turvaklasside ja turbeastmete määramine
• Turvameetmete rakendamise plaani koostamine
• Meetmete rakendamise jälgimine ja ülevaadete saamine
• Meetmete rakendamise maksumuse koondhinnangute saamine
• Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine
• Turvameetmete rakendamise versioonihaldus
• 30-päevaseks testperioodiks BSI veebilehelt
![Page 105: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/105.jpg)
Kokkuvõte
![Page 106: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/106.jpg)
ISKE rakendamine - kokkuvõtteks
• Lähtuda asutuse vajadustest
• Leida “iva”, ratsionaalne sisu, ja kasutada see ära
• Rakendada loovalt, lihtsustada kus võimalik
• Ignoreerida ebavajalikku või segast
• Peaks saama ära teha B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 (sõltub vähe rahalistest ressurssidest) – peale koolituspäeva ka esialgsed oskused
• Võimalusel saata tagasisidet probleemide ja ebatäpsuste kohta ([email protected])
![Page 107: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/107.jpg)
Koolituse kokkuvõte ja tagasiside
• Kas algsed küsimused said selgemaks?
• Millest oli kasu?
– Arusaamine ISKE-st
– Rakendamine asutuses
– Rakendamise probleemide lahendamine
• Mida võiks teha teisiti?
![Page 108: ISKE rakendamine praktikas](https://reader035.fdocument.pub/reader035/viewer/2022081721/56814586550346895db2686c/html5/thumbnails/108.jpg)
Täname!
Koolitus toimus Euroopa Liidu struktuurifondide programmi “Infoühiskonna teadlikkuse tõstmine” raames, mida rahastab Euroopa Regionaalarengu Fond