SlideShare une entreprise Scribd logo

ISKE praktiline rakendamine

Riigi Infosüsteemi Amet
Riigi Infosüsteemi Amet

Koolitus "ISKE praktiline rakendamine" 2011

BusinessÉconomie & finance
1  sur  30
Télécharger pour lire hors ligne
EL sf programm „Infoühiskonna teadlikkuse tõstmine“ ISKE praktiline rakendamine Andro Kull 13. juuni 2011 - TARTU Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames, mida rahastab Euroopa Regionaalarengu Fond. Koolituste ja infopäevade tellija on Riigi Infosüsteemi Amet ja koolitused viib läbi BCS Koolitus AS Päevakava 9.00–9.15 Kogunemine, registreerimine 9.15–10.45 Sessioon I 10.45–11.00 Kohvipaus 11.00–12.30 Sessioon II 12.30–13.30 Lõuna 13.30–15.00 Sessioon III 15.00–15.15 Energiapaus 15.15–16.45 Sessioon IV Teemad Sessioon I Sissejuhatus – ISKE eesmärk, rollid, rakendajad ja tähtajad; ülevaade etalonturbe kontseptsioonist; ISKE määrus ja rakendusjuhend. Sessioon II Infovarade inventuur ja spetsifitseerimine; turvaosaklasside ja turvaklasside määramine; turbeastme määramine ja tsoneerimine. Sessioon III ISKE tüüpmoodulid ja nende valik; turvameetmete rakendamine – plaan, prioriteedid, vastutajad, kulud. Sessioon IV Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine; rakendamistööriistad ja muud abimaterjalid; kokkuvõte, diskussioonid, tagasisidelehe täitmine, koolituse lõpetamine. 1
Koolituse ülesehitus • Teooria – selgitame • Praktika – teeme/vaatame läbi • Terminid – kursiivis inglise keelsed vasted (kuna kõikide jaoks head eestikeelset vastet (veel) ei ole) • Allakriipsutus – viitab kas veebilehele või välisele allikale • Materjalid – peale slaidide ja märkmete jääb igaühele võimalus küsida praktiliste harjutuste tulemusi • TIPS – märksõnad, nõuanded, näpunäited, tähelepanekud (eraldi tahvlile) Lektor Haridus • Doktoriõpingud Tampere Ülikoolis, kraad omandamisel • IT juhtimine Tallinna Ülikoolis, magister • Rakendusinformaatika Tartu Ülikoolis, diplom Töökogemus • Infotehnoloogia alal üle 10 aasta, nii avalik-. kui erasektor • IT audiitor viimased 3,5 aastat, Finantsinspektsioon, ISKE auditid • Konsultant, konsultatsiooni- ja koolitusettevõttes ConsultIT OÜ Täiendkoolitus • IT audiitori ja infoturbe juhi rahvusvahelised sertifikaadid CISA ja CISM • Infotehnoloogia ja infoturbe alased konverentsid, täiendkoolitused Koolitaja kogemus • Lõppkasutajale suunatud andmeturbe koolitus, koostöös BCS Koolitusega • Infotehnoloogilise infrastruktuuri arendamine, Tallinna Ülikoolis IT juhtimise magistrantidele Osalejad Sihtgrupp • IT-juhid, IT-spetsialistid (arendajad, projektijuhid, analüütikud) avalikus sektoris Tutvustus • Asutus • Ametinimetus • Seos ISKEga, infoturbega • Ootused koolitusele 2
Koolituse eesmärgid 1. Ülevaade ja arusaamine ISKEst 2. Teadmine, kuidas ISKEga alustada ja kuidas ISKE rakendada 3. Praktiline näide ISKE kohta 4. Kogemuste vahetamine 5. Probleemide lahendamine Koolituse mitte-eesmärgid 1. Kas ISKE on hea või halb? 2. Kas ISKE tasub ära? 3. Kas ISKE rakendamise tähtajad on piisavad? 4. … 5. Jne Äratundmine ISKE järgib klassikalist riskihindamist! 1. Infovarad ja turbeastmed 2. Ohud kataloogist 3. Meetmed kataloogist Nõrkused eraldi käsitletud ei ole, arvestades avaliku sektori asutusi võib eeldada et need on sarnased. ISKE lisab kohustusliku meetmete rakendamise ja järjepideva auditeerimise. 3
Põhimõisteid 1/2 • etalonmeetmed – tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest • etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks • infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega • infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum • infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid Põhimõisteid 2/2 • turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks • turvaklass – andmete tähtsusest tulenev nõutav andmete turvalisuse tase väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina • turvaosaklass – andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal, kolmest infoturbe eesmärgist tuleneb kolm turvaosaklassi Kellele ja milleks ISKE • Teis(t)ele asutus(t)ele – ISKE kontrolli head tulemused • Asutusele endale – maandada IT riske • Kodanikule – turvalisemad teenused • Riigile – turvaline e-riik •? 4
ISKE eesmärk ISKE rakendamise eesmärgiks on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. Vs ebapiisav või ülepingutatud. Rollid • ISKE koordinaator (korraldab, algatab) • Infoturbe spetsialist (aitab kaasa, rakendab) III-X • Asutuse IT eest vastutaja (aitab kaasa, rakendab tehnilised meetmed) I, III, V ja VIII • Andmete omanik (defineerib väärtuse) II • Juhtkonna esindaja (kooskõlastab, kinnitab) V, VIII ja IX • ISKE juurutaja (töötab välja, kooskõlastab, juurutab) IX • ISKE administraator asutuses (haldab, informeerib) ISKE koordinaator • ISKE koordinaator - ISKE rakendamise eest vastutav isik • ISKE rakendamine - kogu asutust läbiv programm ja tegevuste kogum • Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast • Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne • Soovitav hea side asutuse juhtkonna ning erinevate osakondadega 5
Andmete omanik • Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes • Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele • IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi • Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks Rakendusala! • Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem. /ISKE määrus/ Tähtajad VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel 1. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a. 2. ... «M»… 1. detsembriks 2010. a. 3. … «L»… 1. märtsiks 2011. a. ISKE peaks olema rakendatud enne seda! 6
Etalonturbe olemus • Välja töötatud praktika põhjal • Kohustuslikud (minimaalne) ja soovituslikud (z) meetmed • Pidev täiendamine (vers 5.00 – 2164 lk, vers 4.01 1024 lk) • Astmelisus ja kihilisus: L(madal)- >M(keskmine)->H(kõrge), kõrgema saavutamiseks tuleb enne saavutada madalamad tasemed Etalonturbe + ja - • Eelised - Jääb ära detailse riskianalüüsi ressursitarve ning turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse. • Puudused - Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu. ISKE määrus Infosüsteemide turvameetmete süsteem (jõustunud 1.01.2008) • Kellele? • Kuidas? • Millal? • Kontroll? • Vastutus? 7
ISKE rakendusjuhend • INFOSÜSTEEMIDE KOLMEASTMELISE ETALONTURBE SÜSTEEM ISKE, versioon 5.00 (november 2009) – turvaklasside määramine – turbeastme määramine – infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B – ohtude kataloog G – turbeastmete L ja M turvameetmete kataloog M – turbeastme H turvameetmete kataloog H ISKE etapid I. Infovarade inventuur ja spetsifitseerimine II. Andmekogude turvaklasside määramine III. Muude infovarade turvaklasside määramine IV. Turvaklassiga infovarade turbeastme määramine V. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel VI. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse VII. Turbehalduse meetmete loetelu koostamine VIII. Turvameetmete rakendamise plaani koostamine IX. Turvameetmete rakendamine X. Tegeliku turvaolukorra kontroll, ohtude hindamine, vajadusel täiendavate meetmete rakendamine ISKE etappide realiseerimine • I – VII analüüs – selgitab välja infovarade väärtuse ja infoturbe vajaduse • VIII planeerimine – paneb paika, kuidas võiks meetmed rakendada ja turvalisus tagada • IX rakendamine – meetmete tööle panek: dokumentide koostamine (andmeturbe poliitika) ja tegevused (andmeturbe koolitus) • X kontroll – rakendamise kontroll rakendaja poolt 8
Infoturbe põhimõisteid • Vara: miski, millel on organisatsiooni jaoks väärtus • Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkus: vara või vararühma nõrk koht, mida oht saab ära kasutada • Risk: võimalus (tõenäosus), et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede: riski kahandav teoviis, protseduur või mehhanism • Jääkrisk: risk, mis säilib pärast turvameetmete teostamist Riskianalüüs ja -haldus • Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess Eesmärk: hinnata riske • Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna Eesmärk: maandada riske Näide: Riskide hindamine ja maandamine • Vara: maja, maksab 2,000,000 kr • Oht: tulekahju, tõenäosus on 1% aastas • Nõrkused: puumaja, kindlustamata, piksevarras puudub • Tulekahju riski aastane maksumus? • Mõistlik kulutus turbele selle riski osas? • Meetmed? • Jääkrisk? 9
I Infovara 1/2 • Informatsioon ehk teave on igasugune teadmine, mis puudutab objekte - näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus • Andmed on informatsiooni taastõlgendatav esitus, mis sobib edastuseks, tõlgenduseks või töötluseks I Infovara 2/2 • Andmetel on reeglina: – Tähendus, st andmetest on võimalik välja lugeda informatsiooni, mis on aluseks otsuste langetamisel – Väärtus, kas selges rahalises mõttes, õigusaktidest tulenevalt vms • Kellegi või millegi jaoks – töötaja, kolleeg, teine infosüsteem, kodanik • Ja selle tõttu on infovaradel väärtus, mida tuleb kaitsta. I Infovarade inventuur ja spetsifitseerimine 1/2 • Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT- rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv • Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne) • Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem 10
I Infovarade inventuur ja spetsifitseerimine 2/2 Võimalusi: • Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks (moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne) • Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks I Inventuur ja spetsifitseerimine praktikas Praktiline ülesanne II Turvaklasside määramine - korraldamine • Infovara omaniku poolt – peaks teadma kõige paremini selle vara väärtust • Vajadusel konsultatsioon IT poolega – spetsialisti arvamus, IT terminid • Juhtkonna kinnitusega – on üldvastutaja, peaks andma ja ka saama kindlust koos kinnitusega 11
II Turvaklasside määramine - meetod Käideldavus: • K0 – töökindlus – pole oluline; jõudlus – pole oluline; • K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10) • K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10) • K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10) II Turvaklasside määramine - meetod Terviklus: • T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud • T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele • T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid • T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas II Turvaklasside määramine - meetod Konfidentsiaalsus (salastus): • S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega) • S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral 12
II Turvaklass • Tekib osaklasside kombinatsioonina • Kokku 4x4x4 = 64 erinevat turvaklassi • Näiteks K3T2S1 – kõrge käideldavus ja madal konfidentsiaalsus (salastus) • Turvaklassi määramine on sisuliselt analüüs turvalisuse vajaduse väljaselgitamiseks • Andmete turvaklassid märgitakse spetsifikatsioonidesse vastavate andmeliikide või süsteemi rakenduste nimetuste juurde II Turvaklasside määramine – nõuded 1/3 • Seadusest/lepingust tulenevad nõuded: – avalik (S0) – asutusesiseseks kasutamiseks (S1, AK) – juurdepääsupiiranguga (S1-S3) – delikaatsed isikuandmed (S2) • Põhitegevusest tulenevad nõuded – mis on kliendile ehk kodanikule eelnevalt lubatud? II Turvaklasside määramine – nõuded 2/3 Tagajärgede kaalukus • R0 – turvaintsidendiga ei kaasne märkimisväärseid kahjusid • R1 – kaasnevad vähe olulised kahjud, esineb märkimisväärseid takistusi asutuse funktsiooni täitmisele või märkimisväärseid rahalisi kaotusi • R2 - kaasnevad olulised kahjud, tõenäoliselt oluline takistus asutuse funktsiooni täitmisele või ohtu inimeste tervisele või keskkonnasaaste ohtu või olulisi rahalisi kaotusi • R3 - kaasnevad väga olulised (missioonikriitilised) kahjud, tõenäoliselt asutuse funktsiooni täitmatajätmise või märkimisväärseid häireid riigikorralduses või ohtu inimelule või keskkonnasaastet või väga olulisi rahalisi kaotusi 13
II Turvaklasside määramine – nõuded 3/3 III Muud infovarad -> Andmed -> infosüsteemid (kõrgema klassi andmeid töötlevast alates) -> riistvara-tarkvara-rakendus (kui süsteemiga seotud siis selle turvaklass): infrastruktuur, andmekandjad, sidevahendid, protseduurid jm -> kaudsed süsteemid (tugisüsteemid): IT koostöös vastavalt kriteeriumitele: – Toetav (saab ilma) – Asjakohane – Väga tähtis – Eluliselt tähtis (ilma ei saa) II Turvaklasside määramine praktikas Praktiline ülesanne 14
IV Turbeastme määramine 1/2 • Lähtekoht – kõikidel spetsifitseeritud infovaradel on turvaklass määratud! • Tehniline töö – 64 erinevat võimalikku turvaklassi ja neile seatakse vastavusse kolm etalonturbe astet: – madal turbeaste (L) – keskmine turbeaste (M) – kõrge turbeaste (H) IV Turbeastme määramine 2/2 Teeme läbi kõrge käideldavuse ja madala konfidentsiaalsuse näite K3T2S1 Saame astmeks? V Tsoneerimine • Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil • Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks • Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne • Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste 15
IV Turbeastme määramine praktikas Praktiline ülesanne VI ISKE tüüpmoodulid B1 Üldkomponendid B2 Infrastruktuur B3 IT-süsteemid B4 Võrgud B5 IT-rakendused Turvameetmete määramist tuleb alustada moodulirühmaga B1 ja mooduliga B1.0, mis määrab infoturbe halduse meetmed. Meetmed klassikalises mõistes 1/4 Füüsilised • Ehituslikud nõuded • Serveriruum • Valve • Sissepääsu süsteem • ... 16
Meetmed klassikalises mõistes 2/4 Organisatsioonilised • Poliitikad; • Reeglid; • Protseduurid; • Teavitus; • ... Meetmed klassikalises mõistes 3/4 Tehnoloogilised • Kasutajale nähtavad; • IT poolele kohustuslikud rakendada; • ... Meetmed klassikalises mõistes 4/4 Teine liigitus • Ennetavad – vajalikud infoturbe intsidentide ärahoidmiseks • Avastavad – lähevad käiku, kui intsident on aset leidnud või on kõrgendatud kahtlus • Parandavad – taastavad olukorra, mis oli enne intsidenti ja võiksid olla aluseks ennetavate meetmete täiendamisel (et sarnaseid intsidente tulevikus ära hoida) 17
VII Meetmete valimine 1/10 Ohud (B1.0 Infoturbe haldus) • G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne) • G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu) • G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb) • G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu VII Meetmete valimine 2/10 B1.0 Meetmed L • M2.192 Infoturbe poliitika koostamine • M2.335 Infoturbe eesmärkide ja strateegia kehtestamine • M2.193 Infoturbe sobiva organisatsioonilise struktuuri rajamine • M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste jälgimine ja neile reageerimine,..) • M2.200 Infoturbe aruanded juhtkonnale • M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine VII Meetmete valimine 3/10 Infoturbe poliitika • http://www.riso.ee/et/soovitused/tinfoturbpol.htm • Tegevused infoturbe poliitika koostamisel • Koostamine ja haldamine • Infoturbe dokumentatsioon • Infoturbe poliitika lühivariant • Pikem variant 18
VII Meetmete valimine 4/10 M2.195 Infoturbe kontseptsiooni koostamine 1. Vajaliku turbetaseme määramine 2. Praegune infoturbe olukord 3. Etalonmeetmete valimine 4. Riskianalüüs ja vajadusel lisameetmete valimine 5. Kõigi meetmete ühendamine ja koostoime hindamine 6. Turbekulude hindamine ja plaanimine 7. Jääkriski hindamine ja kinnitamine VII Meetmete valimine 5/10 M2.197 Infoturbe alase koolituse kontseptsiooni koostamine Kõigile IT kasutajaile: • IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid • organisatsiooni infoturbe poliitika ja sellest iseendale tulenev • turberollid ja teatamiskanalid organisatsioonis • kuidas anda oma panus infoturbesse • kuidas ära tunda turvaintsidenti ja kuidas sellest teatada • kuidas saada teadmisi ja teavet infoturbe alal Lisateemasid sihtgruppidele: • turvaline elektrooniline suhtlus • konkreetsete IT-süsteemide ja rakenduste turvaaspektid • turvaline tarkvaraarendus • infoturbe kontseptsioonide koostamine ja auditeerimine VII Meetmete valimine 6/10 M2.201 Infoturbe protsessi dokumenteerimine • infoturbe poliitika • infovarade spetsifikatsioonid ja plaanid • infoturbe kontseptsioon • turvameetmete evituse plaanid • IT-vahendite õige ja turvalise kasutamise protseduurid • läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed jms) • infoturbepersonali koosolekute protokollid ja otsused • infoturbe aruanded juhtkonnale • infoturbekoolituse plaanid • aruanded turvaintsidentide kohta 19
VII Meetmete valimine 7/10 B1.0 Meetmed M • M2.336 Koguvastutus infoturbe eest juhtkonna tasemel • M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse • M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne) • M2.339z Ressursside ökonoomne kasutamine infoturbeks • M2.380 Erandite kooskõlastamine VII Meetmete valimine 8/10 B1.0 Meetmed H, HK, HT Kohustuslikud üldmeetmed (HG) Teabe käideldavus (K), meetmed HK Teabe terviklus (T), meetmed HT • HT.11 Infoturbe aruanded juhtkonnale • HT.22 Kohustuslik turvaaudit • HT.23 Modifikatsioonide eelnev turvajuhi poolne kinnitamine • HT.29 Esemepõhine või kombineeritud autentimine VII Meetmete valimine 9/10 B1.0 Meetmed HS Teabe konfidentsiaalsus (S) , meetmed HS • HS.15 Turvaauditi kohustus (kord aastas) • HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine • HS.20 Esemepõhine või kombineeritud autentimine 20
VII Meetmete valimine 10/10 Praktiline ülesanne VIII Meetmete rakendamise plaan • Projekt – vajaliku tulemuse saavutamine ettenähtud tähtaja jooksul teatud ressursside piires • Programm – projektide kogum • Planeerimine: – Ajakava (ettenähtud aja jooksul) – Teostajad (ressursiks on tööaeg) – Tähtajad (vahetulemuste fikseerimine) – Ressursid (eelkõige rahalised ressursid) – Hindamise põhimõtted (tulemuse vastavus) VIII Meetmete rakendamise prioriteedid 1/2 • Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul • Hinnata reaalset seisu infoturbes – ei saa eeldada, et varem infoturbe osas mitte midagi tehtud ei oleks (uurida, kes mida teinud on) • ISKE etappidest esimesed 8 vähem ressurssi nõudvad 21
VIII Meetmete rakendamise prioriteedid 2/2 • Prioriteetide kohta anda hinnang ja märkida see rakendamise kavasse • Tulu/kulu hinnang – mis tegevus annab vajaliku tulemuse (vajalik järgmisteks sammudeks) ja kui palju see ressurssi võtab • Näiteks kriitiline-tähtis-vähemtähtis ja kulukas-keskmiselt kulukas-vähekulukas VIII Meetmete rakendamise vastutajad • Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest – ISKE koordinaator – Haldus – IT – Personal – Õigus –… VIII Meetmete rakendamise kulud 1/4 • Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse • Saab igal juhul ära teha ning nendest tuleks alustada • ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse • Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti 22
VIII Meetmete rakendamise kulud 2/4 • Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks • Kulud infoturbe koolitusele • Kulud lepingulisele tööjõule ja audititele • Kulud infoturbe personali suurendamisele • Jooksvad kulud infoturbele VIII Meetmete rakendamise kulud 3/4 Riskipõhine investeeringute arvutamine: • Hinnata infoturbe intsidentide aasta jooksul oodatavad tõenäosused ning maksumused • Hinnata niimoodi kõikide riskide maksumused ning liita need kokku • Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne) VIII Meetmete rakendamise kulud 4/4 K U L U Optimum D 23
Ressursid • Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist • Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas? – Juhtkonna kaasamine – Hinnangud – Prioriteedid – Ette planeerimine (eelarve) VIII Meetmete rakendamise plaan Praktiline ülesanne IX Meetmete rakendamine 1/5 Praktiline ülesanne 24
IX Meetmete rakendamine 2/5 Infoturbe poliitika IX Meetmete rakendamine 3/5 Paroolide kasutamine IX Meetmete rakendamine 4/5 Viirusetõrje eeskiri 25
IX Meetmete rakendamine 5/5 E-mailide eeskiri X Täiendav riskianalüüs 1/2 • Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras • Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid X Täiendav riskianalüüs 2/2 • Rakendatud: – B3.101 Server – B5.4 Veebiserver • Täiendav oht: – DDoS rünne (Distributed Denial of Service attack, hajutatud teenusetõkestamise rünne) • Täiendavad meetmed, näide: – Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt 26
ISKE auditeerimine 1/3 • Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida • Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool • Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid: – Rakendamise üldine audit – Mitmesugused eriotstarbelised auditid, mida nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid) – Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit ISKE auditeerimine 2/3 • Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul • Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA või sarnast sertifikaati • Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust • Audiitor peab olema auditeeritavast sõltumatu • Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu ISKE auditeerimine 3/3 Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd: 1. kontrollida teostatud infovarade inventuuri vastavust nõuetele 2. kontrollida turvaklasside ja turbeastmete määramist 3. kontrollida rakendamisele kuuluvate turvameetmete valimist 4. kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist 27
ISKE abivahendid ISKE tööriist (http://www.eesti.ee/est/iske_juhend) • Turvameetmete loetelu väljastamine valitud turbeastme ja moodulite põhjal • Meetmete otsing nimetuse, identifikaatori vms põhjal • Ohtude otsing nimetuse, identifikaatori vms põhjal • Mooduli otsing nimetuse, identifikaatori vms põhjal • Turbeastme määramine turvaklassi põhjal • Meetmete otsing etteantud mooduli põhjal • Ohtude otsing etteantud mooduli põhjal Resolutsioon • Üritada leida reaalne vajadus (riskide maandamiseks) • Meetmete valimisel üksikult üldisele, meetmete rakendamisel (kontrollimisel) üldiselt üksikule • Keskenduda olulisele ja vajalikule • Peaks alustama ja ka ära tegema B1.0 osas juhendi punktid 1…10, teiste osas 1…8 (kuna sõltub vähe rahalistest ressurssidest) • Küsida ja arvamust avaldada iske@ria.ee ISKE materjalid • Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Soovitused - http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid 28
Diskussioon 1/2 ISKE praktiline rakendamine praktikas: • Ca 10 “teemat” millega tuleb tegeleda: – Dokumentatsiooni koostamine – Tegevuste planeerimine ja läbiviimine • Projektipõhine lähenemine: • Soovitud tulemused, tegevused, ressursid, tähtajad • 1000 meedet ei tähenda 1000 dokumenti! Diskussioon 2/2 • Kuulajate kogemus: – Peamised probleemid ja kuidas neid lahendada? – Peamised takistused ja kuidas neid ületada? – Olulised lahendused ja kuidas need töötavad? • Näpunäiteid, julgustus kolleegidele • TIPS – vaatame üle, täiendame Koolituse lõpetamine • Küsimusi? • Tagasiside lehed! • Seotud koolitused: – Infoturbe sissejuhatus – ISKE praktiline rakendamine – ISKE audit – ISKE rakendustööriist 29
Kui on küsimusi? Andro Kull ConsultIT OÜ, juhatuse liige MSc, CRISC, CISA, CISM, ABCP E-mail: Andro@consultit.ee Telefon: 5093296 Skype: andro.kull EL sf programm „Infoühiskonna teadlikkuse tõstmine“ Tänan Teid! Lisainfo Tark e-riik projekti kohta : Elsa Neeme projektijuht elsa.neeme@ria.ee 30

Recommandé

Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline RakendamineSF programm "Infoühiskonna teadlikkuse tõstmine"
 
Infoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtInfoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtRiigi Infosüsteemi Amet
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)Riigi Infosüsteemi Amet
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimineLeego
 
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012dippler
 
Kuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaKuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaLeego
 
IKT koolijuhtimises 1: kooli IKT taristu arendamine
IKT koolijuhtimises 1: kooli IKT taristu arendamineIKT koolijuhtimises 1: kooli IKT taristu arendamine
IKT koolijuhtimises 1: kooli IKT taristu arendamineMart Laanpere
 

Recommandé

Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline RakendamineSF programm "Infoühiskonna teadlikkuse tõstmine"
 
Infoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtInfoturbe juhtimise süsteem ja turvajuht
Infoturbe juhtimise süsteem ja turvajuhtRiigi Infosüsteemi Amet
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)Riigi Infosüsteemi Amet
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimineLeego
 
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012
It tervikpilt, it arendusprojektid, haridustehnoloogia juhtimine 22 10 2012dippler
 
Kuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaKuidas turvalisusega mitte üle pingutada
Kuidas turvalisusega mitte üle pingutadaLeego
 
IKT koolijuhtimises 1: kooli IKT taristu arendamine
IKT koolijuhtimises 1: kooli IKT taristu arendamineIKT koolijuhtimises 1: kooli IKT taristu arendamine
IKT koolijuhtimises 1: kooli IKT taristu arendamineMart Laanpere
 
Andmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaAndmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaLeego
 
Ifi8003 mk
Ifi8003 mkIfi8003 mk
Ifi8003 mkmkusmin
 
Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring gerttusimm
 
Event 2014 digiturbelabor
Event 2014 digiturbelaborEvent 2014 digiturbelabor
Event 2014 digiturbelaborEdmund Laugasson
 
Kuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuksKuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuksWebit
 
IKT lasteaias
IKT lasteaiasIKT lasteaias
IKT lasteaiasElo Sepp
 
EDHS
EDHSEDHS
EDHSKaido Palu
 
Multimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmineMultimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmineSirle Budris
 
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri) KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri) Riigi Infosüsteemi Amet
 
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre) Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre) Riigi Infosüsteemi Amet
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaiasKaire Kollom
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaiasKaire Kollom
 
Tark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimiselTark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimiselMart Laanpere
 
Süsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüsSüsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüsPriit Potter
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis varaLeego
 
Joalaid Andrase lõputöö
Joalaid Andrase lõputööJoalaid Andrase lõputöö
Joalaid Andrase lõputööpirta
 
Kasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodidKasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodidHans Põldoja
 
Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves Primend
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaiasKaire Kollom
 
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...Riigi Infosüsteemi Amet
 
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)Riigi Infosüsteemi Amet
 

Contenu connexe

Similaire à ISKE praktiline rakendamine

Andmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaAndmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaLeego
 
Ifi8003 mk
Ifi8003 mkIfi8003 mk
Ifi8003 mkmkusmin
 
Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring gerttusimm
 
Kuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuksKuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuksWebit
 
IKT lasteaias
IKT lasteaiasIKT lasteaias
IKT lasteaiasElo Sepp
 
Multimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmineMultimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmineSirle Budris
 
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri) KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri) Riigi Infosüsteemi Amet
 
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre) Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre) Riigi Infosüsteemi Amet
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 
Tark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimiselTark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimiselMart Laanpere
 
Süsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüsSüsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüsPriit Potter
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis varaLeego
 
Joalaid Andrase lõputöö
Joalaid Andrase lõputööJoalaid Andrase lõputöö
Joalaid Andrase lõputööpirta
 
Kasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodidKasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodidHans Põldoja
 
Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves Primend
 

Similaire à ISKE praktiline rakendamine (20)

Andmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaAndmeturbe teooria ja praktika
Andmeturbe teooria ja praktika
 
Ifi8003 mk
Ifi8003 mkIfi8003 mk
Ifi8003 mk
 
Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring Välitingimustes kasutatavate nutiseadmete uuring
Välitingimustes kasutatavate nutiseadmete uuring
 
Event 2014 digiturbelabor
Event 2014 digiturbelaborEvent 2014 digiturbelabor
Event 2014 digiturbelabor
 
Kuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuksKuidas planeerida äri jätkusuutlikuks
Kuidas planeerida äri jätkusuutlikuks
 
IKT lasteaias
IKT lasteaiasIKT lasteaias
IKT lasteaias
 
EDHS
EDHSEDHS
EDHS
 
Multimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmineMultimeediumipõhiste õpiobjektide tootmine
Multimeediumipõhiste õpiobjektide tootmine
 
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri) KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
KOV vaade IT ja õiguse koostoimele (Evelyn Tohvri)
 
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre) Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
Miks riik propageerib vabavaralisi lahendusi (Anto Veldre)
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaias
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaias
 
Tark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimiselTark mees taskus: personaalsed nutiseadmed töökohal õppimisel
Tark mees taskus: personaalsed nutiseadmed töökohal õppimisel
 
Süsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüsSüsteemi nõuete esiletoomine ja analüüs
Süsteemi nõuete esiletoomine ja analüüs
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis vara
 
Joalaid Andrase lõputöö
Joalaid Andrase lõputööJoalaid Andrase lõputöö
Joalaid Andrase lõputöö
 
Kasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodidKasutatavus ja selle hindamise meetodid
Kasutatavus ja selle hindamise meetodid
 
Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves Primend Pilvekonverents - Ärianalüüsiteenus pilves
Primend Pilvekonverents - Ärianalüüsiteenus pilves
 
Ikt lasteaias
Ikt lasteaiasIkt lasteaias
Ikt lasteaias
 

Plus de Riigi Infosüsteemi Amet

Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...Riigi Infosüsteemi Amet
 
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)Riigi Infosüsteemi Amet
 
Katkematu side tagamise teenus (Mihkel Tammet)
Katkematu side tagamise teenus (Mihkel Tammet)Katkematu side tagamise teenus (Mihkel Tammet)
Katkematu side tagamise teenus (Mihkel Tammet)Riigi Infosüsteemi Amet
 
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)Riigi Infosüsteemi Amet
 
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt)
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt) Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt)
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt) Riigi Infosüsteemi Amet
 
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks Riigi Infosüsteemi Amet
 
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart)
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart) Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart)
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart) Riigi Infosüsteemi Amet
 
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus)
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus) Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus)
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus) Riigi Infosüsteemi Amet
 
Zimbra grupitöötarkvara (Andres Toomsalu)
Zimbra grupitöötarkvara (Andres Toomsalu)Zimbra grupitöötarkvara (Andres Toomsalu)
Zimbra grupitöötarkvara (Andres Toomsalu)Riigi Infosüsteemi Amet
 
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris Riigi Infosüsteemi Amet
 
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)Riigi Infosüsteemi Amet
 
Vaba tarkvara roll IKT õpetamisel (Margus Ernits)
Vaba tarkvara roll IKT õpetamisel (Margus Ernits) Vaba tarkvara roll IKT õpetamisel (Margus Ernits)
Vaba tarkvara roll IKT õpetamisel (Margus Ernits) Riigi Infosüsteemi Amet
 
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten)
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten) Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten)
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten) Riigi Infosüsteemi Amet
 
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...Riigi Infosüsteemi Amet
 
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)Riigi Infosüsteemi Amet
 
Ruumiandmete seadus - mis ja milleks? (Ülle Harak)
Ruumiandmete seadus - mis ja milleks? (Ülle Harak) Ruumiandmete seadus - mis ja milleks? (Ülle Harak)
Ruumiandmete seadus - mis ja milleks? (Ülle Harak) Riigi Infosüsteemi Amet
 
IT-õigus õiguskantsleri praktikas (Monika Mikiver)
IT-õigus õiguskantsleri praktikas (Monika Mikiver) IT-õigus õiguskantsleri praktikas (Monika Mikiver)
IT-õigus õiguskantsleri praktikas (Monika Mikiver) Riigi Infosüsteemi Amet
 

Plus de Riigi Infosüsteemi Amet (20)

Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
Hädaolukorra riskianalüüside kokkuvõte ulatuslik küberrünnaku hädaolukorra la...
 
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
Juhend mobiilsete seadmeteturvapoliitika loomiseks (Ragnar Rattas)
 
Katkematu side tagamise teenus (Mihkel Tammet)
Katkematu side tagamise teenus (Mihkel Tammet)Katkematu side tagamise teenus (Mihkel Tammet)
Katkematu side tagamise teenus (Mihkel Tammet)
 
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)
Elutähtsad teenused elektroonilise side valdkonnas (Oliver Gailan)
 
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt)
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt) Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt)
Ülevaade elutähtsate teenuste toimepidevuse korraldusest (Hannes Unt)
 
Olukorrast KII kaitses (Toomas Viira)
Olukorrast KII kaitses (Toomas Viira)Olukorrast KII kaitses (Toomas Viira)
Olukorrast KII kaitses (Toomas Viira)
 
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
RIA roll Eesti küberturbe korraldamisel_Toomas Vaks
 
E-arved Toomas Veersoo
E-arved Toomas Veersoo E-arved Toomas Veersoo
E-arved Toomas Veersoo
 
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart)
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart) Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart)
Valikuvõimaluste laiendamine Libre Office projekti näitel (Mehis Sihvart)
 
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus)
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus) Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus)
Vaba Tarkvara Ekspertide Võrgustik (Laur Mõtus)
 
Zimbra grupitöötarkvara (Andres Toomsalu)
Zimbra grupitöötarkvara (Andres Toomsalu)Zimbra grupitöötarkvara (Andres Toomsalu)
Zimbra grupitöötarkvara (Andres Toomsalu)
 
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris
Arvuti Traumapunkt – Arvutitööd Sinu kodus ja kontoris
 
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)
Vaba tarkvara Keskkonnaministeeriumis (Meelis Merilo)
 
Vaba tarkvara roll IKT õpetamisel (Margus Ernits)
Vaba tarkvara roll IKT õpetamisel (Margus Ernits) Vaba tarkvara roll IKT õpetamisel (Margus Ernits)
Vaba tarkvara roll IKT õpetamisel (Margus Ernits)
 
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten)
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten) Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten)
Kuidas me oleme 95% vabale platvormile läinud (Ott Maaten)
 
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...
Kuidas ma juhin projekte ja inimesi pilves olevat vaba tarkvara kasutades (An...
 
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)
Küberkuriteod Eesti ja rahvusvahelises õiguses (Markko Künnapu)
 
Ruumiandmete seadus - mis ja milleks? (Ülle Harak)
Ruumiandmete seadus - mis ja milleks? (Ülle Harak) Ruumiandmete seadus - mis ja milleks? (Ülle Harak)
Ruumiandmete seadus - mis ja milleks? (Ülle Harak)
 
Riigihanked RIA praktikas (Kairi Tammik)
Riigihanked RIA praktikas (Kairi Tammik) Riigihanked RIA praktikas (Kairi Tammik)
Riigihanked RIA praktikas (Kairi Tammik)
 
IT-õigus õiguskantsleri praktikas (Monika Mikiver)
IT-õigus õiguskantsleri praktikas (Monika Mikiver) IT-õigus õiguskantsleri praktikas (Monika Mikiver)
IT-õigus õiguskantsleri praktikas (Monika Mikiver)
 

ISKE praktiline rakendamine

  • 1. EL sf programm „Infoühiskonna teadlikkuse tõstmine“ ISKE praktiline rakendamine Andro Kull 13. juuni 2011 - TARTU Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames, mida rahastab Euroopa Regionaalarengu Fond. Koolituste ja infopäevade tellija on Riigi Infosüsteemi Amet ja koolitused viib läbi BCS Koolitus AS Päevakava 9.00–9.15 Kogunemine, registreerimine 9.15–10.45 Sessioon I 10.45–11.00 Kohvipaus 11.00–12.30 Sessioon II 12.30–13.30 Lõuna 13.30–15.00 Sessioon III 15.00–15.15 Energiapaus 15.15–16.45 Sessioon IV Teemad Sessioon I Sissejuhatus – ISKE eesmärk, rollid, rakendajad ja tähtajad; ülevaade etalonturbe kontseptsioonist; ISKE määrus ja rakendusjuhend. Sessioon II Infovarade inventuur ja spetsifitseerimine; turvaosaklasside ja turvaklasside määramine; turbeastme määramine ja tsoneerimine. Sessioon III ISKE tüüpmoodulid ja nende valik; turvameetmete rakendamine – plaan, prioriteedid, vastutajad, kulud. Sessioon IV Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine; rakendamistööriistad ja muud abimaterjalid; kokkuvõte, diskussioonid, tagasisidelehe täitmine, koolituse lõpetamine. 1
  • 2. Koolituse ülesehitus • Teooria – selgitame • Praktika – teeme/vaatame läbi • Terminid – kursiivis inglise keelsed vasted (kuna kõikide jaoks head eestikeelset vastet (veel) ei ole) • Allakriipsutus – viitab kas veebilehele või välisele allikale • Materjalid – peale slaidide ja märkmete jääb igaühele võimalus küsida praktiliste harjutuste tulemusi • TIPS – märksõnad, nõuanded, näpunäited, tähelepanekud (eraldi tahvlile) Lektor Haridus • Doktoriõpingud Tampere Ülikoolis, kraad omandamisel • IT juhtimine Tallinna Ülikoolis, magister • Rakendusinformaatika Tartu Ülikoolis, diplom Töökogemus • Infotehnoloogia alal üle 10 aasta, nii avalik-. kui erasektor • IT audiitor viimased 3,5 aastat, Finantsinspektsioon, ISKE auditid • Konsultant, konsultatsiooni- ja koolitusettevõttes ConsultIT OÜ Täiendkoolitus • IT audiitori ja infoturbe juhi rahvusvahelised sertifikaadid CISA ja CISM • Infotehnoloogia ja infoturbe alased konverentsid, täiendkoolitused Koolitaja kogemus • Lõppkasutajale suunatud andmeturbe koolitus, koostöös BCS Koolitusega • Infotehnoloogilise infrastruktuuri arendamine, Tallinna Ülikoolis IT juhtimise magistrantidele Osalejad Sihtgrupp • IT-juhid, IT-spetsialistid (arendajad, projektijuhid, analüütikud) avalikus sektoris Tutvustus • Asutus • Ametinimetus • Seos ISKEga, infoturbega • Ootused koolitusele 2
  • 3. Koolituse eesmärgid 1. Ülevaade ja arusaamine ISKEst 2. Teadmine, kuidas ISKEga alustada ja kuidas ISKE rakendada 3. Praktiline näide ISKE kohta 4. Kogemuste vahetamine 5. Probleemide lahendamine Koolituse mitte-eesmärgid 1. Kas ISKE on hea või halb? 2. Kas ISKE tasub ära? 3. Kas ISKE rakendamise tähtajad on piisavad? 4. … 5. Jne Äratundmine ISKE järgib klassikalist riskihindamist! 1. Infovarad ja turbeastmed 2. Ohud kataloogist 3. Meetmed kataloogist Nõrkused eraldi käsitletud ei ole, arvestades avaliku sektori asutusi võib eeldada et need on sarnased. ISKE lisab kohustusliku meetmete rakendamise ja järjepideva auditeerimise. 3
  • 4. Põhimõisteid 1/2 • etalonmeetmed – tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest • etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks • infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega • infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum • infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid Põhimõisteid 2/2 • turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks • turvaklass – andmete tähtsusest tulenev nõutav andmete turvalisuse tase väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina • turvaosaklass – andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal, kolmest infoturbe eesmärgist tuleneb kolm turvaosaklassi Kellele ja milleks ISKE • Teis(t)ele asutus(t)ele – ISKE kontrolli head tulemused • Asutusele endale – maandada IT riske • Kodanikule – turvalisemad teenused • Riigile – turvaline e-riik •? 4
  • 5. ISKE eesmärk ISKE rakendamise eesmärgiks on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. Vs ebapiisav või ülepingutatud. Rollid • ISKE koordinaator (korraldab, algatab) • Infoturbe spetsialist (aitab kaasa, rakendab) III-X • Asutuse IT eest vastutaja (aitab kaasa, rakendab tehnilised meetmed) I, III, V ja VIII • Andmete omanik (defineerib väärtuse) II • Juhtkonna esindaja (kooskõlastab, kinnitab) V, VIII ja IX • ISKE juurutaja (töötab välja, kooskõlastab, juurutab) IX • ISKE administraator asutuses (haldab, informeerib) ISKE koordinaator • ISKE koordinaator - ISKE rakendamise eest vastutav isik • ISKE rakendamine - kogu asutust läbiv programm ja tegevuste kogum • Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast • Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne • Soovitav hea side asutuse juhtkonna ning erinevate osakondadega 5
  • 6. Andmete omanik • Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes • Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele • IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi • Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks Rakendusala! • Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem. /ISKE määrus/ Tähtajad VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel 1. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a. 2. ... «M»… 1. detsembriks 2010. a. 3. … «L»… 1. märtsiks 2011. a. ISKE peaks olema rakendatud enne seda! 6
  • 7. Etalonturbe olemus • Välja töötatud praktika põhjal • Kohustuslikud (minimaalne) ja soovituslikud (z) meetmed • Pidev täiendamine (vers 5.00 – 2164 lk, vers 4.01 1024 lk) • Astmelisus ja kihilisus: L(madal)- >M(keskmine)->H(kõrge), kõrgema saavutamiseks tuleb enne saavutada madalamad tasemed Etalonturbe + ja - • Eelised - Jääb ära detailse riskianalüüsi ressursitarve ning turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse. • Puudused - Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu. ISKE määrus Infosüsteemide turvameetmete süsteem (jõustunud 1.01.2008) • Kellele? • Kuidas? • Millal? • Kontroll? • Vastutus? 7
  • 8. ISKE rakendusjuhend • INFOSÜSTEEMIDE KOLMEASTMELISE ETALONTURBE SÜSTEEM ISKE, versioon 5.00 (november 2009) – turvaklasside määramine – turbeastme määramine – infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B – ohtude kataloog G – turbeastmete L ja M turvameetmete kataloog M – turbeastme H turvameetmete kataloog H ISKE etapid I. Infovarade inventuur ja spetsifitseerimine II. Andmekogude turvaklasside määramine III. Muude infovarade turvaklasside määramine IV. Turvaklassiga infovarade turbeastme määramine V. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel VI. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse VII. Turbehalduse meetmete loetelu koostamine VIII. Turvameetmete rakendamise plaani koostamine IX. Turvameetmete rakendamine X. Tegeliku turvaolukorra kontroll, ohtude hindamine, vajadusel täiendavate meetmete rakendamine ISKE etappide realiseerimine • I – VII analüüs – selgitab välja infovarade väärtuse ja infoturbe vajaduse • VIII planeerimine – paneb paika, kuidas võiks meetmed rakendada ja turvalisus tagada • IX rakendamine – meetmete tööle panek: dokumentide koostamine (andmeturbe poliitika) ja tegevused (andmeturbe koolitus) • X kontroll – rakendamise kontroll rakendaja poolt 8
  • 9. Infoturbe põhimõisteid • Vara: miski, millel on organisatsiooni jaoks väärtus • Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkus: vara või vararühma nõrk koht, mida oht saab ära kasutada • Risk: võimalus (tõenäosus), et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede: riski kahandav teoviis, protseduur või mehhanism • Jääkrisk: risk, mis säilib pärast turvameetmete teostamist Riskianalüüs ja -haldus • Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess Eesmärk: hinnata riske • Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna Eesmärk: maandada riske Näide: Riskide hindamine ja maandamine • Vara: maja, maksab 2,000,000 kr • Oht: tulekahju, tõenäosus on 1% aastas • Nõrkused: puumaja, kindlustamata, piksevarras puudub • Tulekahju riski aastane maksumus? • Mõistlik kulutus turbele selle riski osas? • Meetmed? • Jääkrisk? 9
  • 10. I Infovara 1/2 • Informatsioon ehk teave on igasugune teadmine, mis puudutab objekte - näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus • Andmed on informatsiooni taastõlgendatav esitus, mis sobib edastuseks, tõlgenduseks või töötluseks I Infovara 2/2 • Andmetel on reeglina: – Tähendus, st andmetest on võimalik välja lugeda informatsiooni, mis on aluseks otsuste langetamisel – Väärtus, kas selges rahalises mõttes, õigusaktidest tulenevalt vms • Kellegi või millegi jaoks – töötaja, kolleeg, teine infosüsteem, kodanik • Ja selle tõttu on infovaradel väärtus, mida tuleb kaitsta. I Infovarade inventuur ja spetsifitseerimine 1/2 • Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT- rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv • Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne) • Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem 10
  • 11. I Infovarade inventuur ja spetsifitseerimine 2/2 Võimalusi: • Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks (moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne) • Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks I Inventuur ja spetsifitseerimine praktikas Praktiline ülesanne II Turvaklasside määramine - korraldamine • Infovara omaniku poolt – peaks teadma kõige paremini selle vara väärtust • Vajadusel konsultatsioon IT poolega – spetsialisti arvamus, IT terminid • Juhtkonna kinnitusega – on üldvastutaja, peaks andma ja ka saama kindlust koos kinnitusega 11
  • 12. II Turvaklasside määramine - meetod Käideldavus: • K0 – töökindlus – pole oluline; jõudlus – pole oluline; • K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10) • K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10) • K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10) II Turvaklasside määramine - meetod Terviklus: • T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud • T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele • T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid • T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas II Turvaklasside määramine - meetod Konfidentsiaalsus (salastus): • S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega) • S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral 12
  • 13. II Turvaklass • Tekib osaklasside kombinatsioonina • Kokku 4x4x4 = 64 erinevat turvaklassi • Näiteks K3T2S1 – kõrge käideldavus ja madal konfidentsiaalsus (salastus) • Turvaklassi määramine on sisuliselt analüüs turvalisuse vajaduse väljaselgitamiseks • Andmete turvaklassid märgitakse spetsifikatsioonidesse vastavate andmeliikide või süsteemi rakenduste nimetuste juurde II Turvaklasside määramine – nõuded 1/3 • Seadusest/lepingust tulenevad nõuded: – avalik (S0) – asutusesiseseks kasutamiseks (S1, AK) – juurdepääsupiiranguga (S1-S3) – delikaatsed isikuandmed (S2) • Põhitegevusest tulenevad nõuded – mis on kliendile ehk kodanikule eelnevalt lubatud? II Turvaklasside määramine – nõuded 2/3 Tagajärgede kaalukus • R0 – turvaintsidendiga ei kaasne märkimisväärseid kahjusid • R1 – kaasnevad vähe olulised kahjud, esineb märkimisväärseid takistusi asutuse funktsiooni täitmisele või märkimisväärseid rahalisi kaotusi • R2 - kaasnevad olulised kahjud, tõenäoliselt oluline takistus asutuse funktsiooni täitmisele või ohtu inimeste tervisele või keskkonnasaaste ohtu või olulisi rahalisi kaotusi • R3 - kaasnevad väga olulised (missioonikriitilised) kahjud, tõenäoliselt asutuse funktsiooni täitmatajätmise või märkimisväärseid häireid riigikorralduses või ohtu inimelule või keskkonnasaastet või väga olulisi rahalisi kaotusi 13
  • 14. II Turvaklasside määramine – nõuded 3/3 III Muud infovarad -> Andmed -> infosüsteemid (kõrgema klassi andmeid töötlevast alates) -> riistvara-tarkvara-rakendus (kui süsteemiga seotud siis selle turvaklass): infrastruktuur, andmekandjad, sidevahendid, protseduurid jm -> kaudsed süsteemid (tugisüsteemid): IT koostöös vastavalt kriteeriumitele: – Toetav (saab ilma) – Asjakohane – Väga tähtis – Eluliselt tähtis (ilma ei saa) II Turvaklasside määramine praktikas Praktiline ülesanne 14
  • 15. IV Turbeastme määramine 1/2 • Lähtekoht – kõikidel spetsifitseeritud infovaradel on turvaklass määratud! • Tehniline töö – 64 erinevat võimalikku turvaklassi ja neile seatakse vastavusse kolm etalonturbe astet: – madal turbeaste (L) – keskmine turbeaste (M) – kõrge turbeaste (H) IV Turbeastme määramine 2/2 Teeme läbi kõrge käideldavuse ja madala konfidentsiaalsuse näite K3T2S1 Saame astmeks? V Tsoneerimine • Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil • Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks • Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne • Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste 15
  • 16. IV Turbeastme määramine praktikas Praktiline ülesanne VI ISKE tüüpmoodulid B1 Üldkomponendid B2 Infrastruktuur B3 IT-süsteemid B4 Võrgud B5 IT-rakendused Turvameetmete määramist tuleb alustada moodulirühmaga B1 ja mooduliga B1.0, mis määrab infoturbe halduse meetmed. Meetmed klassikalises mõistes 1/4 Füüsilised • Ehituslikud nõuded • Serveriruum • Valve • Sissepääsu süsteem • ... 16
  • 17. Meetmed klassikalises mõistes 2/4 Organisatsioonilised • Poliitikad; • Reeglid; • Protseduurid; • Teavitus; • ... Meetmed klassikalises mõistes 3/4 Tehnoloogilised • Kasutajale nähtavad; • IT poolele kohustuslikud rakendada; • ... Meetmed klassikalises mõistes 4/4 Teine liigitus • Ennetavad – vajalikud infoturbe intsidentide ärahoidmiseks • Avastavad – lähevad käiku, kui intsident on aset leidnud või on kõrgendatud kahtlus • Parandavad – taastavad olukorra, mis oli enne intsidenti ja võiksid olla aluseks ennetavate meetmete täiendamisel (et sarnaseid intsidente tulevikus ära hoida) 17
  • 18. VII Meetmete valimine 1/10 Ohud (B1.0 Infoturbe haldus) • G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne) • G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu) • G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb) • G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu VII Meetmete valimine 2/10 B1.0 Meetmed L • M2.192 Infoturbe poliitika koostamine • M2.335 Infoturbe eesmärkide ja strateegia kehtestamine • M2.193 Infoturbe sobiva organisatsioonilise struktuuri rajamine • M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste jälgimine ja neile reageerimine,..) • M2.200 Infoturbe aruanded juhtkonnale • M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine VII Meetmete valimine 3/10 Infoturbe poliitika • http://www.riso.ee/et/soovitused/tinfoturbpol.htm • Tegevused infoturbe poliitika koostamisel • Koostamine ja haldamine • Infoturbe dokumentatsioon • Infoturbe poliitika lühivariant • Pikem variant 18
  • 19. VII Meetmete valimine 4/10 M2.195 Infoturbe kontseptsiooni koostamine 1. Vajaliku turbetaseme määramine 2. Praegune infoturbe olukord 3. Etalonmeetmete valimine 4. Riskianalüüs ja vajadusel lisameetmete valimine 5. Kõigi meetmete ühendamine ja koostoime hindamine 6. Turbekulude hindamine ja plaanimine 7. Jääkriski hindamine ja kinnitamine VII Meetmete valimine 5/10 M2.197 Infoturbe alase koolituse kontseptsiooni koostamine Kõigile IT kasutajaile: • IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid • organisatsiooni infoturbe poliitika ja sellest iseendale tulenev • turberollid ja teatamiskanalid organisatsioonis • kuidas anda oma panus infoturbesse • kuidas ära tunda turvaintsidenti ja kuidas sellest teatada • kuidas saada teadmisi ja teavet infoturbe alal Lisateemasid sihtgruppidele: • turvaline elektrooniline suhtlus • konkreetsete IT-süsteemide ja rakenduste turvaaspektid • turvaline tarkvaraarendus • infoturbe kontseptsioonide koostamine ja auditeerimine VII Meetmete valimine 6/10 M2.201 Infoturbe protsessi dokumenteerimine • infoturbe poliitika • infovarade spetsifikatsioonid ja plaanid • infoturbe kontseptsioon • turvameetmete evituse plaanid • IT-vahendite õige ja turvalise kasutamise protseduurid • läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed jms) • infoturbepersonali koosolekute protokollid ja otsused • infoturbe aruanded juhtkonnale • infoturbekoolituse plaanid • aruanded turvaintsidentide kohta 19
  • 20. VII Meetmete valimine 7/10 B1.0 Meetmed M • M2.336 Koguvastutus infoturbe eest juhtkonna tasemel • M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse • M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne) • M2.339z Ressursside ökonoomne kasutamine infoturbeks • M2.380 Erandite kooskõlastamine VII Meetmete valimine 8/10 B1.0 Meetmed H, HK, HT Kohustuslikud üldmeetmed (HG) Teabe käideldavus (K), meetmed HK Teabe terviklus (T), meetmed HT • HT.11 Infoturbe aruanded juhtkonnale • HT.22 Kohustuslik turvaaudit • HT.23 Modifikatsioonide eelnev turvajuhi poolne kinnitamine • HT.29 Esemepõhine või kombineeritud autentimine VII Meetmete valimine 9/10 B1.0 Meetmed HS Teabe konfidentsiaalsus (S) , meetmed HS • HS.15 Turvaauditi kohustus (kord aastas) • HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine • HS.20 Esemepõhine või kombineeritud autentimine 20
  • 21. VII Meetmete valimine 10/10 Praktiline ülesanne VIII Meetmete rakendamise plaan • Projekt – vajaliku tulemuse saavutamine ettenähtud tähtaja jooksul teatud ressursside piires • Programm – projektide kogum • Planeerimine: – Ajakava (ettenähtud aja jooksul) – Teostajad (ressursiks on tööaeg) – Tähtajad (vahetulemuste fikseerimine) – Ressursid (eelkõige rahalised ressursid) – Hindamise põhimõtted (tulemuse vastavus) VIII Meetmete rakendamise prioriteedid 1/2 • Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul • Hinnata reaalset seisu infoturbes – ei saa eeldada, et varem infoturbe osas mitte midagi tehtud ei oleks (uurida, kes mida teinud on) • ISKE etappidest esimesed 8 vähem ressurssi nõudvad 21
  • 22. VIII Meetmete rakendamise prioriteedid 2/2 • Prioriteetide kohta anda hinnang ja märkida see rakendamise kavasse • Tulu/kulu hinnang – mis tegevus annab vajaliku tulemuse (vajalik järgmisteks sammudeks) ja kui palju see ressurssi võtab • Näiteks kriitiline-tähtis-vähemtähtis ja kulukas-keskmiselt kulukas-vähekulukas VIII Meetmete rakendamise vastutajad • Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest – ISKE koordinaator – Haldus – IT – Personal – Õigus –… VIII Meetmete rakendamise kulud 1/4 • Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse • Saab igal juhul ära teha ning nendest tuleks alustada • ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse • Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti 22
  • 23. VIII Meetmete rakendamise kulud 2/4 • Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks • Kulud infoturbe koolitusele • Kulud lepingulisele tööjõule ja audititele • Kulud infoturbe personali suurendamisele • Jooksvad kulud infoturbele VIII Meetmete rakendamise kulud 3/4 Riskipõhine investeeringute arvutamine: • Hinnata infoturbe intsidentide aasta jooksul oodatavad tõenäosused ning maksumused • Hinnata niimoodi kõikide riskide maksumused ning liita need kokku • Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne) VIII Meetmete rakendamise kulud 4/4 K U L U Optimum D 23
  • 24. Ressursid • Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist • Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas? – Juhtkonna kaasamine – Hinnangud – Prioriteedid – Ette planeerimine (eelarve) VIII Meetmete rakendamise plaan Praktiline ülesanne IX Meetmete rakendamine 1/5 Praktiline ülesanne 24
  • 25. IX Meetmete rakendamine 2/5 Infoturbe poliitika IX Meetmete rakendamine 3/5 Paroolide kasutamine IX Meetmete rakendamine 4/5 Viirusetõrje eeskiri 25
  • 26. IX Meetmete rakendamine 5/5 E-mailide eeskiri X Täiendav riskianalüüs 1/2 • Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras • Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid X Täiendav riskianalüüs 2/2 • Rakendatud: – B3.101 Server – B5.4 Veebiserver • Täiendav oht: – DDoS rünne (Distributed Denial of Service attack, hajutatud teenusetõkestamise rünne) • Täiendavad meetmed, näide: – Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt 26
  • 27. ISKE auditeerimine 1/3 • Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida • Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool • Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid: – Rakendamise üldine audit – Mitmesugused eriotstarbelised auditid, mida nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid) – Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit ISKE auditeerimine 2/3 • Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul • Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA või sarnast sertifikaati • Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust • Audiitor peab olema auditeeritavast sõltumatu • Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu ISKE auditeerimine 3/3 Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd: 1. kontrollida teostatud infovarade inventuuri vastavust nõuetele 2. kontrollida turvaklasside ja turbeastmete määramist 3. kontrollida rakendamisele kuuluvate turvameetmete valimist 4. kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist 27
  • 28. ISKE abivahendid ISKE tööriist (http://www.eesti.ee/est/iske_juhend) • Turvameetmete loetelu väljastamine valitud turbeastme ja moodulite põhjal • Meetmete otsing nimetuse, identifikaatori vms põhjal • Ohtude otsing nimetuse, identifikaatori vms põhjal • Mooduli otsing nimetuse, identifikaatori vms põhjal • Turbeastme määramine turvaklassi põhjal • Meetmete otsing etteantud mooduli põhjal • Ohtude otsing etteantud mooduli põhjal Resolutsioon • Üritada leida reaalne vajadus (riskide maandamiseks) • Meetmete valimisel üksikult üldisele, meetmete rakendamisel (kontrollimisel) üldiselt üksikule • Keskenduda olulisele ja vajalikule • Peaks alustama ja ka ära tegema B1.0 osas juhendi punktid 1…10, teiste osas 1…8 (kuna sõltub vähe rahalistest ressurssidest) • Küsida ja arvamust avaldada iske@ria.ee ISKE materjalid • Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Soovitused - http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid 28
  • 29. Diskussioon 1/2 ISKE praktiline rakendamine praktikas: • Ca 10 “teemat” millega tuleb tegeleda: – Dokumentatsiooni koostamine – Tegevuste planeerimine ja läbiviimine • Projektipõhine lähenemine: • Soovitud tulemused, tegevused, ressursid, tähtajad • 1000 meedet ei tähenda 1000 dokumenti! Diskussioon 2/2 • Kuulajate kogemus: – Peamised probleemid ja kuidas neid lahendada? – Peamised takistused ja kuidas neid ületada? – Olulised lahendused ja kuidas need töötavad? • Näpunäiteid, julgustus kolleegidele • TIPS – vaatame üle, täiendame Koolituse lõpetamine • Küsimusi? • Tagasiside lehed! • Seotud koolitused: – Infoturbe sissejuhatus – ISKE praktiline rakendamine – ISKE audit – ISKE rakendustööriist 29
  • 30. Kui on küsimusi? Andro Kull ConsultIT OÜ, juhatuse liige MSc, CRISC, CISA, CISM, ABCP E-mail: Andro@consultit.ee Telefon: 5093296 Skype: andro.kull EL sf programm „Infoühiskonna teadlikkuse tõstmine“ Tänan Teid! Lisainfo Tark e-riik projekti kohta : Elsa Neeme projektijuht elsa.neeme@ria.ee 30