Minu andmed kallis vara
-
Upload
erkki-leego -
Category
Technology
-
view
445 -
download
7
description
Transcript of Minu andmed kallis vara
Kui on tahe, on ka võimalus!
Minu andmed, kallis vara
Erkki Leego – juhtivpartner
(1/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erkki LeegojuhtivpartnerHansson, Leego & Partner
Kui on tahe, on ka võimalus!
Ettekande ülesehitus
1. Ettekandja ja HLP tutvustus
2. Ettevõtte IT vajadus ja teabehaldus
3. IT teenuse sisseost
Erkki Leego – juhtivpartner
(2/44)
3. IT teenuse sisseost
4. Andmekaitse
5. Kokkuvõte
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Ettekandja taustast
• Haridus - MSc informaatikas• Tööalane
– Hansson Leego & Partner, juhtivpartner– Tartu Ülikooli Kliinikum, IT direktor– Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja
– Vabariigi Presidendi Kantselei, infonõunik
Erkki Leego – juhtivpartner
(3/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Vabariigi Presidendi Kantselei, infonõunik– Tartu Ülikooli teabetalitus, vanemtoimetaja
• Õppejõud– Tartu Ülikool
• 2007 - ... Kursus „Kasutajaliideste kavandamine“– International University Concordia Audentes
• 1999-2004 Hüperteksti kursus meediatudengitele
Kui on tahe, on ka võimalus!
Hansson, Leego & Partner
• Konsultatsiooni- ja IT juhtimise ettevõte
• Firma põhitegevus on ettevõtete esindajana nende infosüsteemide toimimise ja arengu tagamine läbi kõrget
Erkki Leego – juhtivpartner
(4/44)
infosüsteemide toimimise ja arengu tagamine läbi kõrget erialast kompetentsi ja laialdast kogemust nõudvate teenuste
• HLP eksperdid on teostanud üle 100 IT arendusprojekti ning taganud infosüsteemi toimimist rohkem kui 70 ettevõttes (20-3000 töötajat).
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
HLP teenused – 3 valdkonda
1. ITK - IT juhtimine ja konsultatsioon• Ettevõtte strateegiline IT juhtimine• Infosüsteemi toimimise tagamine ja hooldus• Infosüsteemi audit ja konsultatsioon
2. PRK - Arenduse koordineerimine ja järelevalve• Ettevõtte esindamine IT arendusprojektides
Erkki Leego – juhtivpartner
(5/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Hangete läbiviimine• Tellijapoolne projektijuhtimine ja järelvalve
3. ATK - Andmeturbe konsultatsioon• Riskianalüüsi läbiviimine• Andmeturbe audit• Talituspidevuse plaani koostamine• ISKE juurutamine
Kui on tahe, on ka võimalus!
Tööd - näited
• AS Rait, AS Lemeks, AS Tallmac, Quattromed– Infosüsteemi (>60 arvutit) toimimise koordineerimine (IT juht ja IT
koordinaator)• TÜ Eesti Geenivaramu
– IT strateegia koostamine ja elluviimine, koostöövõrgustiku ning asutuse esindatuse tagamine olulistel valdkonna konverentsidel
• Lemeks AS, Salvest AS– Microsoft Dynamics AX tootmise komponendi juurutamise
koordineerimine tellija esindajana• Põllumajandusministeerium
Erkki Leego – juhtivpartner
(6/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Põllumajandusministeerium– Põllumajandusministeeriumi haldusala infosüsteemide kaardistamine
ja IT strateegia koostamiseks lähteandmete koondamine• Riigikogu Kantselei, Tartu Linnavalitsus, Fontes, ...
– ISKE juurutamine, infovarade turvalisuse ja infoturbepoliitika piisavuse ning tervikluse auditeerimine
• Gruusia tervishoiu- ja sotsiaalprojektide rakendamise keskus – IT partner konsultatsiooniprojektis „Improvement of Hospital
Governance/Management and Strategic planning”
* Terviknimekiri töödest - http://www.hlp.ee/Projektid.htm
Kui on tahe, on ka võimalus!
Ettevõtte IT korraldus ja teabehaldus
Erkki Leego – juhtivpartner
(7/44)
teabehaldus
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Ettevõtte vajadus
• Igapäevane elu toimib– Arvutid, serverid, võrk ja printerid töötavad– Standard- ja spetsiaaltarkvara toimib– Kui on probleem, saab kelleltki abi– Andmeturve tagatud
Erkki Leego – juhtivpartner
(8/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Toimub areng– Ettevõtte kasvule ja ärifookusele vastavalt IT süsteemi arendamine
– Tarkvaratoodete kasutuselevõtt (majandustarkvara, kliendihaldus jmt.)
– Spetsiaaltarkvara loomine ja arendamine
Kui on tahe, on ka võimalus!
Infohaldus - kust alustada
• Õige informatsioon õigel ajal õiges kohas
– Kes• Isiklik, ettevõte, partnerid, kogukond, avalikkus
– Kus• Minu arvuti, sisevõrk, erinevad asukohad
Erkki Leego – juhtivpartner
(9/44)
– Kuna• Kohe, tööajal või ööajal, aastaid hiljem
– Mis• Milline informatsioon? Kas volitatud?
– Millega• Tööjaam, sülearvuti, nutitelefon
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Koostöövahendid – aeg ja koht
Samal ajal Erineval ajal
Samas kohas
“näost näkku”
(klassid, koosolekuruumid)
asünkroonne suhtlus
(projekti ajakava, koordineerimine)
Erkki Leego – juhtivpartner
(10/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erinevates kohtades
sünkroonne jagatud
(jagatud redaktorid, videoülekanne, chat)
asünkroonne jagatud
(e-post, listserverid, blogid, wikid)
Kui on tahe, on ka võimalus!
Põhilised IT töövahendid
1. Suhtlusvahendid– E-post– Vestlus - Skype, MSN
2. Failisüsteem/dokumendihoidla3. Siseinfo ja teadmusvaramu haldus4. Raamatupidamine/majandusarvestus
Erkki Leego – juhtivpartner
(11/44)
4. Raamatupidamine/majandusarvestus5. Põhitegevusega seotud rakendused
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
E-post
• Teemad millega arvestada– Kus e-post füüsiliselt asub – kättesaadavus ja töökindlus
– Kuidas arhiveerida ja struktureerida– Erakirjade ja töökirjade eraldamine
– Kas saata e-kirjas dokument manusena
Erkki Leego – juhtivpartner
(12/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
dokument manusena või viide dokumendi asukohale
– Identiteet – disain ja struktuur
– Avalike kataloogide olemasolu ja ülesehitus
Kui on tahe, on ka võimalus!
Vestlus – Skype, MSN
• Teemad millega arvestada– Kas on ettevõttes lubatud ja soositud?– Kontode nimed ettevõtte väärilised– Kas ja kuidas teisi teavitatakse– Kas ja kuidas vestlusi arhiveeritakse
Erkki Leego – juhtivpartner
(13/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Failisüsteem/dokumendihoidla
Teemad millega arvestada
• Asukoht– E-postkast– Arvuti kõvaketas– Ettevõtte jagatud ketas– Ettevõtte e-kirjade ühiskataloogid– Dokumendihaldussüsteem– Veeb (koduleht, intranet, ekstranet)
• Struktuur– Kuidas määratleda kõigi jaoks loogiline
Erkki Leego – juhtivpartner
(14/44)
– Kuidas määratleda kõigi jaoks loogiline õige koht, kust on võimalik ja osatakse otsida ka aastaid hiljem teiste inimeste poolt?
• Failide edastamine– E-kirja manused– Välised kandjad (CD, USB pulk, ...)– Viide asukohale
• Juurdepääs – Kas juurdepääs on võimalik igal ajal
igast kohast?
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Rusikareeglid failihalduses
• Oluline metainfo– Pealkiri, autor, versioon, aeg, asukoht
• Kirjeldav ja jätkusuutlik failinimi– “HLP IT infrastruktuuri kirjeldus 1.0 Leego.docx”
– “GEEN-K-81 Geenivaramu arhitektuuri visioon (Jaak Vilo) 0.08 Leego.doc”
• Üks “õige” asukoht
Erkki Leego – juhtivpartner
(15/44)
• Üks “õige” asukoht– Peab kehtima eeldus – kui faili selles asukohas ei ole, siis teda ei ole olemas
– \\domina\Projektid\GEEN\Rakendused\Operatiivbaas
• Juurdepääsuõigused– 3 lihttaset– juurdepääs puudub, lugemine, kirjutamine
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Siseinfo ja teadmusvaramu
• Teemad millega arvestada– Täiendamine ja kättesaadavus
• Kas täiendamine jagatud või ühe inimese käes• Kas juurde pääseb sisevõrgus või ka kaugelt
– Asukoht ja vahend• Failisüsteem• E-post või e-posti avalik kataloog• Intranet
Erkki Leego – juhtivpartner
(16/44)
• Intranet• Wiki, blogid, ...
– Tavapärased siseinfo ühikud• Sündmuste info (nt. sünnipäevad)• Ettevõtte pildi- ja videovaramu• Ettevõtte esitlusmaterjalide ja taustinfo varamu• Infomaterjalid enesetäiendamiseks• Turuinformatsioon ja valdkondade taust
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Põhitegevuse rakendused
• Eripärased rakendused põhitegevuse efektiivseks teostamiseks– Tootmise planeerimine, dokumendimenetlus, kliendihaldus, tellimuste haldus, jne.
• HLP näide– Mindjet Mindmanager – teabehalduse ja
Erkki Leego – juhtivpartner
(17/44)
– Mindjet Mindmanager – teabehalduse ja visualiseerimise tarkvara
– Gyronix – tööde halduse tarkvara Mindmanagerile– SysAid – arvutiabi tööde haldustarkvara
• Teemad millega arvestada– Kas osta valmistarkvara või arendada ise?
• Soovitus - üldjuhul otstarbekas soetada valmistarkvara
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Arendus keeruline
Erkki Leego – juhtivpartner
(18/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Rakenduse valik - kasutatavus
1. Kerge õppida
2. Efektiivne kasutada
3. Kerge meelde tuletada
Erkki Leego – juhtivpartner
(19/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
3. Kerge meelde tuletada
4. Vähe vigu
5. Meeldiv kasutada
Kui on tahe, on ka võimalus!
IT teenuse sisseost
Erkki Leego – juhtivpartner
(20/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
IT teenuse sisseostu valikud
• Tarkvara hooldus ja tugi– Standardtarkvara– Spetsiaaltarkvara
• Riistvara hooldus ja tugi– Tööjaamad, serverid, võrk, printerid jmt.
• Arendus- ja juurutusteenused
Erkki Leego – juhtivpartner
(21/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Erilahenduse väljatöötamine– Valmistoote integreerimine ja juurutamine
• Konsultatsiooniteenused– IT juht – strateegia, tegevuskava, eelarve– Projektijuhtimine ja järelevalve– Andmeturbe tagamine– Mitmesugused eriprojektid – “mobiilne kontor” jmt.
Kui on tahe, on ka võimalus!
Vajalik kompetents
Oma IT meeskond
• Igapäevane elu– Tööjaamade administreerimine– Serverite administreerimine– Kasutajatoe osutamine– Dokumenteerimine– Andmeturbe tagamine– Juhtkonnapoolne IT meeskonna
järelevalve
Sisseostmisel
• Hankimine• Järelevalve
Erkki Leego – juhtivpartner
(22/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Juhtkonnapoolne IT meeskonna järelevalve
– ...• Areng
– Strateegiline ja taktikaline planeerimine
– Süsteemianalüüs– Programmeerimine– Testimine– Projektijuhtimine– Hankimine ja järelevalve– ...
Kui on tahe, on ka võimalus!
Teenuseosutajad
• Suured IT ettevõtted paljude erinevate teenustega
• Spetsialiseerunud ettevõtted– Riist- ja tarkvara müüjad– Valmistoodete müüjad ja juurutajad– Infosüsteemi töö tagajad
Erkki Leego – juhtivpartner
(23/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Tarkvaraarendajad– ...
• Tellija esindajad ja konsultandid
• “Patsiga poiss”
Kui on tahe, on ka võimalus!
Kulud on sisseostul väiksemad
Oma töötaja
• Kuupalk– 15 000.- + 4950.-
(sotsiaalmaks)• Kontorikulud
– Töövahendid (arvuti, tarkvara, pliiatsid jne.)
Teenuseosutaja
• Nt. 50 arvutiga süsteemi toimimise tagamine– 12 000.-/kuus
• Eriprojektid
Erkki Leego – juhtivpartner
(24/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
tarkvara, pliiatsid jne.)– Kontori rent
• Koolitus– 25 000.-/tk
• Motiveerimine– Preemiad– Firmaüritused
• Eriprojektid– 400 – 2000 kr/tund
Kui on tahe, on ka võimalus!
Sisseostmise ohud
• Teenuse sisu, kvaliteet ja tulemus ei vasta ootustele– Kokkulepped ja teenuse kvaliteedi määratlused lepingus pealiskaudsed või mõistetakse erinevalt
– “Fassaadi taga” nõrk spetsialist või vilets töökorraldus
• Liiga tugev sõltuvus teenusepakkujast– Teadmus lastakse koguneda ainult teenuseosutaja kätte
Erkki Leego – juhtivpartner
(25/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
kätte– Sõltuvus võib kaasa tuua hoolimatuse või hinnatõusu
• Teenuseosutaja ei saa aru või ei hooli ettevõtte ärist– IT lahendused ja valikud ei toeta piisavalt äristrateegiat– Teenuseosutaja ei saa osa ettevõtte igapäevaelust ja aktiivsus piiritletud rangelt oma teenusega
Kui on tahe, on ka võimalus!
Sisseostmise eelised
• Saab keskenduda põhitegevusele– Ei ole vaja tegeleda keerulise tugiteenuse arendamisega
• Parim kompetents ja kogemus tunnikaupa– IT tööjõuturul tihe konkurents– Vaja on palju erinevaid kompetentse, mida ühes inimeses (meeskonnas) ei ole
Erkki Leego – juhtivpartner
(26/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
inimeses (meeskonnas) ei ole– Spetsialiseerunud ettevõtte kvaliteet kasvab läbi paljude klientide ja projektide
• Vastutus selgepiiriline– Tasu siis kui töö kvaliteetselt tehtud
• Kulude kokkuhoid– Sisseostetava teenuse kulud on tavaliselt väiksemad
Kui on tahe, on ka võimalus!
Omaniku tunne
• Ettevõte peab suutma olla oma infosüsteemi omanik
• Tööjaamade ja lisaseadmete loend;
• Kasutajate loend;• Tarkvara loend;• Serverite loend;• Võrguseadmete loend;• Teenuste loend;
Erkki Leego – juhtivpartner
(27/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
omanik • Teenuste loend;• Hooldus- ning
arenduspartnerid ja nende vastutusalad;
• Infosüsteemi hoolduseks teostatud tööde fikseerimine.
Kui on tahe, on ka võimalus!
Andmekaitse
Erkki Leego – juhtivpartner
(28/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
100% turvalisust ei ole olemas
• 9/11 terrorirünnak (11.09.01)– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid
hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud
– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva– Investeerimispank Cantor Fitzgerald L.P. kaotas 658
töötajat• Societe Generale hiigelpettus (01/08)
– Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju
– Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises
• Lähis-Ida riikide interneti katkestus 01/08
Erkki Leego – juhtivpartner
(29/44)
• Lähis-Ida riikide interneti katkestus 01/08– Mitme veealuse kaabli katkemine põhjustas paljude
Lähis-Ida riikide Interneti side kadumise 10 päevaks– 80 milj. kasutajat häiritud (70% Egiptusest, 60%
Indiast)• UK MTA andmete kadumise intsident (10/07)
– Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma
– Intsident puudutab 25 milj. UK elanikku• Küberrünnakud Eestis kevad 2007
– DOS rünnakud Eesti riigiasutustele ja pankadele
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Andmeturbe 3 põhikomponenti
1. Konfidentsiaalsus• Andmete kättesaadavus ainult selleks volitatud
tarbijaile (isikutele või tehnilistele süsteemidele) ning kättesaamatus kõigile ülejäänutele
2. Terviklus• Andmete päritolu autentsus ning volitamatute
Erkki Leego – juhtivpartner
(30/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Andmete päritolu autentsus ning volitamatute muutuste puudumine
3. Käideldavus• Kasutamiskõlblike andmete õigeaegne ja hõlbus
kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele)
Kui on tahe, on ka võimalus!
Andmete turvaklass (nt. R1K2T3S1)
Teabe hilinemise tagajärgede lubatav kaalukus (R):
R0 - teabe saamatajäämisega ei kaasne tagajärgi;R1 - teabe saamatajäämisega võib tuua kaasa takistusi funktsiooni täitmisele;R2 - teabe saamatajäämisega toob kaasa olulise takistuse funktsiooni täitmisele;R3 - teabe saamatajäämisega toob kaasa funktsiooni täitmatajäämise.
Aegkriitilise teabe käideldavus (K):
K0 - teabe saamisele ei ole seatud tähtaegu;K1 - teabe saamisele on seatud tähtaeg päevades;K2 - oluline on teabe saamine tundide jooksul;K3 - oluline on teabe saamine sekundite jooksul.
Erkki Leego – juhtivpartner
(31/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
funktsiooni täitmatajäämise.
Teabe terviklus (T):
T0 - teabe allikas ega muutmise tuvastatavus ei ole olulised;T1 - teabe muutmise fakt peab olema tuvastatav;T2 - teabe allikas peab olema tuvastatav;T3 - teabel on tõestusväärtus.
Teabe konfidentsiaalsus (S):
S0 - juurdepääsu teabele ei piirata;S1 - teabele juurdepääsu tingimuseks on juurdepääsu taotleva isiku identifitseerimine;S2 - juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;S3 - teave on seaduse alusel tunnistatud juurdepääsupiiranguga teabeks.
Allikas: VV määrus nr. 273 „Infosüsteemide turvameetmete süsteemi kehtestamine”
Kui on tahe, on ka võimalus!
Ohud, nõrkused, meetmed
• Oht– Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus
• Nõrkused– Vara või vararühma nõrk koht, mida saab ära kasutada oht
Erkki Leego – juhtivpartner
(32/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Risk– Võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse
• Turvameede– Riski kahandav teoviis, protseduur või mehhanism
Kui on tahe, on ka võimalus!
Andmeturbe põhimõisted
Erkki Leego – juhtivpartner
(33/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Ohutüübid
• Maavärin• Üleujutus• Orkaan• Äike• Tööstustegevus• Pommirünne• Relvade kasutamine• Kahjutuli• Sihilik kahjustamine• Elektritoite katkemine• Veevarustuse katkemine• Õhu konditsioneerimise rike• Riistvara rikked
• Tarkvara kasutamine volitamatute poolt• Tarkvara kasutamine volitamata viisil• Kasutaja identsuse teesklus• Tarkvara ebaseaduslik kasutamine• Ründetarkvara• Tarkvara ebaseaduslik import või eksport• Ekspluatatsioonipersonali eksitus• Hoolduseksitus• Volitamata kasutajate võrgupöördus• Võrguaparatuuri kasutamine volitamata
viisil• Võrgukomponentide tehniline rike• Edastusvead
Erkki Leego – juhtivpartner
(34/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Riistvara rikked• Toite kõikumine• Äärmuslik temperatuur ja niiskus• Tolm• Elektromagnetiline kiirgus• Elektrostaatilised laengud• Vargus• Salvestuskandjate volitamatu kasutamine• Salvestuskandjate riknemine• Ekspluatatsioonipersonali eksitus• Hoolduseksitus• Tarkvara tõrge
• Edastusvead• Liinide kahjustused• Liikluse ülekoormus• Pealtkuulamine• Sidesse sisseimbumine• Liikluse analüüs• Sõnumite väär marsuutimine• Sõnumite ümbermarsuutimine• Salgamine• Sideteenuste (st võrguteenuste) tõrge• Personalinappus• Kasutajate eksitused• Ressursside väärkasutus
Allikas: EVS-ISO/IEC TR 13335 „Infotehnoloogia. Infoturbe halduse suunised”
Kui on tahe, on ka võimalus!
Nõrkuste valdkonnad
• Keskkond ja infrastruktuur – nt. hoonete, uste ja akende füüsilise turbe puudumine
• Riistvara – nt. tundlikkus pinge kõikumiste suhtes
• Tarkvara – nt. pääsuõiguste väär jaotamine
• Side
Erkki Leego – juhtivpartner
(35/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Side – nt. kaitsmata sideliinid
• Dokumendid – nt. hooletus kõrvaldamisel
• Personal – nt. puudulikud töölevõtmise protseduurid
Kui on tahe, on ka võimalus!
Andmeturbemeetmed
• Turvameetmed otstarbe järgi:– ennetavad, avastus- ja taastusmeetmed
• Turvameetmed teostusviisi järgi:– organisatsioonilised, füüsilised ja infotehnoloogilised meetmed
• Esmased andmeturbemeetmed (näide)
Erkki Leego – juhtivpartner
(36/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Esmased andmeturbemeetmed (näide)– Usaldusväärse elektroonilise identiteedi tagamine– Infosüsteemi kasutajate korra kehtestamine– Kasutajatunnuste väljastamise korra kehtestamine– Võtmete ja koodide väljastamine kontrolli alla– Konfidentsiaalsusnõuded töölepinguisse– Ruumide ja seadmete kaitse
Kui on tahe, on ka võimalus!
Turbe strateegilised küsimused
• Mida on vaja kaitsta? Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse?
• Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? Millise hinnaga? Kui suurt katkestust võime me enne
Erkki Leego – juhtivpartner
(37/44)
Kui suurt katkestust võime me enne tegutsemist taluda?
• Kuidas me määratleme ja efektiivselt haldame jääkriski?
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
Kui on tahe, on ka võimalus!
Lubatud jääkrisk
• Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast
• Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid
Erkki Leego – juhtivpartner
(38/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Talitluspidevusplaan
• Talitluspidevusplaan peab määratlema, millal on tegemist kriisiga, kes kriisi eest vastutab, kuidas toimub teavitamine ja millised tegevused kriisi korral käivitatakse.
• Põhikomponendid– põhiprotsessi ja tugiprotsesside kirjeldus koos
Erkki Leego – juhtivpartner
(39/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– põhiprotsessi ja tugiprotsesside kirjeldus koos oluliste ressurssidega,
– kriiside määratlus, vastutava kriisijuhi määramine ja kriisiteavituse korraldus
– alternatiivtegevuste kavad ja oluliste ressursside taasteplaanid
– plaani kaasajastamise, koolituse ja testimise korraldus
Kui on tahe, on ka võimalus!
10 olulisemat meedet
1. Uksed lukku ka tööpäeva ajal2. Pidage arvet kasutajatunnuste üle3. Tagage turvainfo jõudmine töötajateni4. Tehke regulaarselt tagavarakoopiaid5. Viirustõrje igasse arvutisse
Erkki Leego – juhtivpartner
(40/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
6. Dokumentide hoidmiseks kindel kord7. Tagavaratoide olulistele seadmetele8. Kontrolljäljed kõikidest tegevustest9. Reeglid andmete kasutamiseks10.Koostage ülevaade oma infovaradest
Kui on tahe, on ka võimalus!
Mida ette võtta?
• Määrake andmeturbe eest vastutaja
• Tehke ettevõttes infovarade inventuur
• Määrake andmetele omanikud
Erkki Leego – juhtivpartner
(41/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Töötage välja ja rakendage ettevõtte turvameetmed
• Kontrollige regulaarselt protseduuride täitmist
Kui on tahe, on ka võimalus!
Kuidas turbega mitte üle pingutada?
• Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ...
• Tunne oma ettevõtte infoturbe olukorda– Riskianalüüs toob välja pingerea probleemidest ja nõrkustest– Tee selgeks mida ette võtta saab ja määratle kuna seda
tehakse
• Lähtu äri-põhistest kriteeriumitest
Erkki Leego – juhtivpartner
(42/44)
• Lähtu äri-põhistest kriteeriumitest– Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja– Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi
investeeringuotsuseid
• Turve on protsess– Loo turvalisusele orienteeritud kultuur– Liigu paremuse suunas teadlike ja jõukohaste sammudega
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Kokkuvõte
• Andmed on tänapäeva ettevõttes suur väärtus
• Teabehalduse võtmeküsimus on jätkusuutlikus andmete säilimise ja ülesleidmise tähenduses
• Kaasa IT juhtimises, hoolduses ja arenduses kompetentseid partnereid
Erkki Leego – juhtivpartner
(43/44)
kompetentseid partnereid
• Andmekaitse algab omanikutundest ja vastutusest
• Lihtsate vahenditega on võimalik teabehalduse kvaliteeti oluliselt tõsta
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Kui on tahe, on ka võimalus!
Aitäh!
Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(44/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erkki Leego, [email protected], www.hlp.ee