1. EL sf programm „Infoühiskonna teadlikkuse tõstmine“
ISKE praktiline rakendamine
Andro Kull
13. juuni 2011 - TARTU
Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames,
mida rahastab Euroopa Regionaalarengu Fond.
Koolituste ja infopäevade tellija on Riigi Infosüsteemi Amet ja koolitused viib läbi BCS Koolitus AS
Päevakava
9.00–9.15 Kogunemine, registreerimine
9.15–10.45 Sessioon I
10.45–11.00 Kohvipaus
11.00–12.30 Sessioon II
12.30–13.30 Lõuna
13.30–15.00 Sessioon III
15.00–15.15 Energiapaus
15.15–16.45 Sessioon IV
Teemad
Sessioon I
Sissejuhatus – ISKE eesmärk, rollid, rakendajad ja tähtajad; ülevaade
etalonturbe kontseptsioonist; ISKE määrus ja rakendusjuhend.
Sessioon II
Infovarade inventuur ja spetsifitseerimine; turvaosaklasside ja turvaklasside
määramine; turbeastme määramine ja tsoneerimine.
Sessioon III
ISKE tüüpmoodulid ja nende valik; turvameetmete rakendamine – plaan,
prioriteedid, vastutajad, kulud.
Sessioon IV
Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine;
rakendamistööriistad ja muud abimaterjalid; kokkuvõte, diskussioonid,
tagasisidelehe täitmine, koolituse lõpetamine.
1
2. Koolituse ülesehitus
• Teooria – selgitame
• Praktika – teeme/vaatame läbi
• Terminid – kursiivis inglise keelsed vasted (kuna
kõikide jaoks head eestikeelset vastet (veel) ei ole)
• Allakriipsutus – viitab kas veebilehele või välisele
allikale
• Materjalid – peale slaidide ja märkmete jääb
igaühele võimalus küsida praktiliste harjutuste
tulemusi
• TIPS – märksõnad, nõuanded, näpunäited,
tähelepanekud (eraldi tahvlile)
Lektor
Haridus
• Doktoriõpingud Tampere Ülikoolis, kraad omandamisel
• IT juhtimine Tallinna Ülikoolis, magister
• Rakendusinformaatika Tartu Ülikoolis, diplom
Töökogemus
• Infotehnoloogia alal üle 10 aasta, nii avalik-. kui erasektor
• IT audiitor viimased 3,5 aastat, Finantsinspektsioon, ISKE auditid
• Konsultant, konsultatsiooni- ja koolitusettevõttes ConsultIT OÜ
Täiendkoolitus
• IT audiitori ja infoturbe juhi rahvusvahelised sertifikaadid CISA ja CISM
• Infotehnoloogia ja infoturbe alased konverentsid, täiendkoolitused
Koolitaja kogemus
• Lõppkasutajale suunatud andmeturbe koolitus, koostöös BCS Koolitusega
• Infotehnoloogilise infrastruktuuri arendamine, Tallinna Ülikoolis IT juhtimise
magistrantidele
Osalejad
Sihtgrupp
• IT-juhid, IT-spetsialistid (arendajad, projektijuhid,
analüütikud) avalikus sektoris
Tutvustus
• Asutus
• Ametinimetus
• Seos ISKEga, infoturbega
• Ootused koolitusele
2
3. Koolituse eesmärgid
1. Ülevaade ja arusaamine ISKEst
2. Teadmine, kuidas ISKEga alustada ja kuidas ISKE
rakendada
3. Praktiline näide ISKE kohta
4. Kogemuste vahetamine
5. Probleemide lahendamine
Koolituse mitte-eesmärgid
1. Kas ISKE on hea või halb?
2. Kas ISKE tasub ära?
3. Kas ISKE rakendamise tähtajad on piisavad?
4. …
5. Jne
Äratundmine
ISKE järgib klassikalist riskihindamist!
1. Infovarad ja turbeastmed
2. Ohud kataloogist
3. Meetmed kataloogist
Nõrkused eraldi käsitletud ei ole, arvestades avaliku sektori
asutusi võib eeldada et need on sarnased. ISKE lisab
kohustusliku meetmete rakendamise ja järjepideva
auditeerimise.
3
4. Põhimõisteid 1/2
• etalonmeetmed – tüüpsed katalogiseeritud ja
valimismetoodikaga varustatud turvameetmed, mille hulgast
tehtav valik sõltub turvaklassist ja andmeid töötleva
infosüsteemi koostisest
• etalonturve – turvameetmestik, mille rakendamine on vajalik
andmete turvalisuse saavutamiseks ja säilitamiseks
• infosüsteem – andmeid töötlev, salvestav või edastav
tehniline süsteem koos tema normaalseks talitluseks vajalike
vahendite, ressursside ja protsessidega
• infoturve – turvameetmete loomise, valimise ja rakendamise
protsesside kogum
• infovara – informatsioon, andmed ja nende töötlemiseks
vajalikud infotehnoloogilised rakendused ning tehnilised
vahendid
Põhimõisteid 2/2
• turvameetmed – organisatsioonilised toimingud ja vahendid,
tehnilised protsessid ja tehniliste vahendite rakendamine
andmete ja infosüsteemide andmete turvalisuse
saavutamiseks ja säilitamiseks
• turvaklass – andmete tähtsusest tulenev nõutav andmete
turvalisuse tase väljendatuna neljaastmelisel skaalal ning
kolmekomponendilisena, st kolme turvaosaklassi ühendina
• turvaosaklass – andmete tähtsusest tulenev infoturbe
eesmärgi saavutamise nõutav tase väljendatuna
neljaastmelisel skaalal, kolmest infoturbe eesmärgist tuleneb
kolm turvaosaklassi
Kellele ja milleks ISKE
• Teis(t)ele asutus(t)ele – ISKE kontrolli head
tulemused
• Asutusele endale – maandada IT riske
• Kodanikule – turvalisemad teenused
• Riigile – turvaline e-riik
•?
4
5. ISKE eesmärk
ISKE rakendamise eesmärgiks on tagada
infosüsteemides töödeldavatele andmetele
piisava tasemega turvalisus. Süsteem on
loodud eelkõige riigi ja kohaliku omavalitsuse
andmekogude pidamisel kasutatavatele
infosüsteemidele ning nendega seotud
infovaradele turvalisuse tagamiseks.
Vs ebapiisav või ülepingutatud.
Rollid
• ISKE koordinaator (korraldab, algatab)
• Infoturbe spetsialist (aitab kaasa, rakendab) III-X
• Asutuse IT eest vastutaja (aitab kaasa, rakendab
tehnilised meetmed) I, III, V ja VIII
• Andmete omanik (defineerib väärtuse) II
• Juhtkonna esindaja (kooskõlastab, kinnitab) V, VIII ja IX
• ISKE juurutaja (töötab välja, kooskõlastab, juurutab) IX
• ISKE administraator asutuses (haldab, informeerib)
ISKE koordinaator
• ISKE koordinaator - ISKE rakendamise eest vastutav isik
• ISKE rakendamine - kogu asutust läbiv programm ja
tegevuste kogum
• Ei pea olema infoturbe eest vastutav isik (aga võib seda
olla) ega ei pea ka tingimata olema isik IT osakonnast
• Pigem projektijuhi tüüpi, kes koordineerib ja korraldab
ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja
kontrollib rakendamisplaani täitmist jne
• Soovitav hea side asutuse juhtkonna ning erinevate
osakondadega
5
6. Andmete omanik
• Andmete omanik on isik, kes vastutab andmete eest terve elutsükli
jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku
omandiõigust varade suhtes
• Andmete omanik delegeerib üldjuhul andmete ja süsteemide,
milles andmed paiknevad, tehnilise administreerimise IT
osakonnale - haldab ja administreerib infovarasid andmete
omaniku eest ja vastavalt andmete omaniku poolt esitatud
nõuetele
• IT osakond võib omakorda delegeerida mõningaid haldamise ja
administreerimise aspekte edasi
• Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma
ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes
andmete omanikuks
Rakendusala!
• Määrusega kehtestatakse riigi ja kohaliku
omavalitsuse andmekogudes sisalduvate
andmekoosseisude töötlemiseks kasutatavate
infosüsteemide ning nendega seotud
infovarade turvameetmete süsteem.
/ISKE määrus/
Tähtajad
VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“,
11. Turvameetmete süsteemi rakendamise auditeerimise
tähtajad riigi infosüsteemi kuuluvate riigi andmekogude
pidamisel
1. Andmekogu vastutav töötleja, kelle andmekogu kuulub
turbeastmesse «H», on kohustatud esmakordse
turvameetmete süsteemi rakendamise auditeerimise läbi
viima hiljemalt 1. märtsiks 2010. a.
2. ... «M»… 1. detsembriks 2010. a.
3. … «L»… 1. märtsiks 2011. a.
ISKE peaks olema rakendatud enne seda!
6
7. Etalonturbe olemus
• Välja töötatud praktika põhjal
• Kohustuslikud (minimaalne) ja soovituslikud
(z) meetmed
• Pidev täiendamine (vers 5.00 – 2164 lk, vers
4.01 1024 lk)
• Astmelisus ja kihilisus: L(madal)-
>M(keskmine)->H(kõrge), kõrgema
saavutamiseks tuleb enne saavutada
madalamad tasemed
Etalonturbe + ja -
• Eelised - Jääb ära detailse riskianalüüsi ressursitarve
ning turvameetmete valimisele kulub vähem aega ja
vaeva. Harilikult ei vaja etalonmeetmete
väljaselgitamine märkimisväärseid ressursse.
• Puudused - Kui etalontase on seatud liiga kõrgele,
võivad etalonmeetmed mõnedele süsteemidele olla
liiga kallid või kitsendavad. Kui etalontase on liiga
madal, võib turve mõnedele süsteemidele olla
piisamatu.
ISKE määrus
Infosüsteemide turvameetmete süsteem
(jõustunud 1.01.2008)
• Kellele?
• Kuidas?
• Millal?
• Kontroll?
• Vastutus?
7
8. ISKE rakendusjuhend
• INFOSÜSTEEMIDE KOLMEASTMELISE ETALONTURBE
SÜSTEEM ISKE, versioon 5.00 (november 2009)
– turvaklasside määramine
– turbeastme määramine
– infovarade tüüpmoodulite turvaspetsifikatsioonide
kataloog B
– ohtude kataloog G
– turbeastmete L ja M turvameetmete kataloog M
– turbeastme H turvameetmete kataloog H
ISKE etapid
I. Infovarade inventuur ja spetsifitseerimine
II. Andmekogude turvaklasside määramine
III. Muude infovarade turvaklasside määramine
IV. Turvaklassiga infovarade turbeastme määramine
V. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel
VI. Tüüpmoodulite märkimine infovarade
spetsifikatsioonidesse
VII. Turbehalduse meetmete loetelu koostamine
VIII. Turvameetmete rakendamise plaani koostamine
IX. Turvameetmete rakendamine
X. Tegeliku turvaolukorra kontroll, ohtude hindamine,
vajadusel täiendavate meetmete rakendamine
ISKE etappide realiseerimine
• I – VII analüüs – selgitab välja infovarade väärtuse ja
infoturbe vajaduse
• VIII planeerimine – paneb paika, kuidas võiks
meetmed rakendada ja turvalisus tagada
• IX rakendamine – meetmete tööle panek:
dokumentide koostamine (andmeturbe poliitika) ja
tegevused (andmeturbe koolitus)
• X kontroll – rakendamise kontroll rakendaja poolt
8
9. Infoturbe põhimõisteid
• Vara: miski, millel on organisatsiooni jaoks väärtus
• Oht: süsteemi või organsatsiooni kahjustada võiva
soovimatu intsidendi potentsiaalne põhjus
• Nõrkus: vara või vararühma nõrk koht, mida oht saab ära
kasutada
• Risk: võimalus (tõenäosus), et vaadeldav oht kasutab ära
mingi vara või vararühma nõrkused, põhjustades varade
kaotuse või kahjustuse
• Turvameede: riski kahandav teoviis, protseduur või
mehhanism
• Jääkrisk: risk, mis säilib pärast turvameetmete
teostamist
Riskianalüüs ja -haldus
• Riskianalüüs: turvariskide tuvastuse, nende suuruse
määramise ja turvameetmeid vajavate alade
tuvastuse protsess
Eesmärk: hinnata riske
• Riskihaldus: infotehnoloogilise süsteemi ressursse
mõjutada võivate määramatute sündmuste
tuvastuse, ohje ja välistamise või minimeerimise
protsess tervikuna
Eesmärk: maandada riske
Näide: Riskide hindamine ja maandamine
• Vara: maja, maksab 2,000,000 kr
• Oht: tulekahju, tõenäosus on 1% aastas
• Nõrkused: puumaja, kindlustamata,
piksevarras puudub
• Tulekahju riski aastane maksumus?
• Mõistlik kulutus turbele selle riski osas?
• Meetmed?
• Jääkrisk?
9
10. I Infovara 1/2
• Informatsioon ehk teave on igasugune
teadmine, mis puudutab objekte - näiteks
fakte, sündmusi, asju, protsesse või ideid ja
millel on teatavas kontekstis eritähendus
• Andmed on informatsiooni taastõlgendatav
esitus, mis sobib edastuseks, tõlgenduseks või
töötluseks
I Infovara 2/2
• Andmetel on reeglina:
– Tähendus, st andmetest on võimalik välja lugeda
informatsiooni, mis on aluseks otsuste
langetamisel
– Väärtus, kas selges rahalises mõttes, õigusaktidest
tulenevalt vms
• Kellegi või millegi jaoks – töötaja, kolleeg,
teine infosüsteem, kodanik
• Ja selle tõttu on infovaradel väärtus, mida
tuleb kaitsta.
I Infovarade inventuur ja spetsifitseerimine 1/2
• Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-
rakendused, andmesideaparatuur, arvutid,
ühiskasutatavad välisseadmed, autonoomsed
infovarad ja muud asutuse infotööga seonduv
• Iga objekti kohta: identifikaator, nimetus ja tüüp,
samuti muud tunnusandmed vastavalt vajadusele
(näiteks otstarve, andmete liik, operatsioonisüsteem
jne)
• Spetsifikatsioonid peavad sisaldama turvaklassi,
turbeastme ja tüüpmoodulite tähiste lahtreid, mis
täidetakse hiljem
10
11. I Infovarade inventuur ja spetsifitseerimine 2/2
Võimalusi:
• Spetsifitseerida sellise detailsusega, nagu seda
on vaja ISKE rakendamiseks (moodulite
määramiseks, ISKE rakendamise tööde
planeerimiseks ja täitjate kaasamiseks jne)
• Spetsifitseerida sellise detailsusega, nagu on
vaja IT keskkonna haldamiseks ja/või
süsteemide konfiguratsioonihalduseks
I Inventuur ja spetsifitseerimine praktikas
Praktiline ülesanne
II Turvaklasside määramine - korraldamine
• Infovara omaniku poolt – peaks teadma kõige
paremini selle vara väärtust
• Vajadusel konsultatsioon IT poolega –
spetsialisti arvamus, IT terminid
• Juhtkonna kinnitusega – on üldvastutaja,
peaks andma ja ka saama kindlust koos
kinnitusega
11
12. II Turvaklasside määramine - meetod
Käideldavus:
• K0 – töökindlus – pole oluline; jõudlus – pole oluline;
• K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~
ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel –
tunnid (1-10)
• K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2
tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel –
minutid (1-10)
• K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~
10 minutit); lubatav nõutava reaktsiooniaja kasv
tippkoormusel – sekundid (1-10)
II Turvaklasside määramine - meetod
Terviklus:
• T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole
olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid
pole vajalikud
• T1 – info allikas, selle muutmise ja hävitamise fakt peavad
olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse
kontrollid erijuhtudel ja vastavalt vajadusele
• T2 – info allikas, selle muutmise ja hävitamise fakt peavad
olema tuvastatavad; vajalikud on perioodilised info õigsuse,
täielikkuse ja ajakohasuse kontrollid
• T3 – infol allikal, selle muutmise ja hävitamise faktil peab
olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja
ajakohasuse kontroll reaalajas
II Turvaklasside määramine - meetod
Konfidentsiaalsus (salastus):
• S0 – avalik info: juurdepääsu teabele ei piirata (st
lugemisõigus kõigil huvitatutel, muutmise õigus määratletud
tervikluse nõuetega)
• S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele
on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S2 – salajane info: info kasutamine lubatud ainult teatud
kindlatele kasutajate gruppidele, juurdepääs teabele on
lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S3 – ülisalajane info: info kasutamine lubatud ainult teatud
kindlatele kasutajatele, juurdepääs teabele on lubatav
juurdepääsu taotleva isiku õigustatud huvi korral
12
13. II Turvaklass
• Tekib osaklasside kombinatsioonina
• Kokku 4x4x4 = 64 erinevat turvaklassi
• Näiteks K3T2S1 – kõrge käideldavus ja madal
konfidentsiaalsus (salastus)
• Turvaklassi määramine on sisuliselt analüüs
turvalisuse vajaduse väljaselgitamiseks
• Andmete turvaklassid märgitakse
spetsifikatsioonidesse vastavate andmeliikide või
süsteemi rakenduste nimetuste juurde
II Turvaklasside määramine – nõuded 1/3
• Seadusest/lepingust tulenevad nõuded:
– avalik (S0)
– asutusesiseseks kasutamiseks (S1, AK)
– juurdepääsupiiranguga (S1-S3)
– delikaatsed isikuandmed (S2)
• Põhitegevusest tulenevad nõuded – mis on
kliendile ehk kodanikule eelnevalt lubatud?
II Turvaklasside määramine – nõuded 2/3
Tagajärgede kaalukus
• R0 – turvaintsidendiga ei kaasne märkimisväärseid kahjusid
• R1 – kaasnevad vähe olulised kahjud, esineb
märkimisväärseid takistusi asutuse funktsiooni täitmisele või
märkimisväärseid rahalisi kaotusi
• R2 - kaasnevad olulised kahjud, tõenäoliselt oluline takistus
asutuse funktsiooni täitmisele või ohtu inimeste tervisele või
keskkonnasaaste ohtu või olulisi rahalisi kaotusi
• R3 - kaasnevad väga olulised (missioonikriitilised) kahjud,
tõenäoliselt asutuse funktsiooni täitmatajätmise või
märkimisväärseid häireid riigikorralduses või ohtu inimelule
või keskkonnasaastet või väga olulisi rahalisi kaotusi
13
14. II Turvaklasside määramine – nõuded 3/3
III Muud infovarad
-> Andmed
-> infosüsteemid (kõrgema klassi andmeid töötlevast
alates)
-> riistvara-tarkvara-rakendus (kui süsteemiga seotud
siis selle turvaklass): infrastruktuur, andmekandjad,
sidevahendid, protseduurid jm
-> kaudsed süsteemid (tugisüsteemid): IT koostöös
vastavalt kriteeriumitele:
– Toetav (saab ilma)
– Asjakohane
– Väga tähtis
– Eluliselt tähtis (ilma ei saa)
II Turvaklasside määramine praktikas
Praktiline ülesanne
14
15. IV Turbeastme määramine 1/2
• Lähtekoht – kõikidel spetsifitseeritud
infovaradel on turvaklass määratud!
• Tehniline töö – 64 erinevat võimalikku
turvaklassi ja neile seatakse vastavusse kolm
etalonturbe astet:
– madal turbeaste (L)
– keskmine turbeaste (M)
– kõrge turbeaste (H)
IV Turbeastme määramine 2/2
Teeme läbi kõrge
käideldavuse ja madala
konfidentsiaalsuse
näite K3T2S1
Saame astmeks?
V Tsoneerimine
• Kui kõikidel varadel on ühesugune turbeaste, võib määrata
turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja
turvameetmete kataloogi abil
• Erinevad turbeastmed: analüüsida tulemust asutuse võrkude
skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks
tsoneerimiseks
• Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi
süsteemide funktsioonides ja paigutuses, ruumide funktsioonides
jne
• Kaitset vajavad ka töökorraldusprotsessid ja muud
organisatsioonilised ressursid, ka infoturbe haldus ise sõltub
nõutavast turbetasemest. Sellistele spetsifitseerimata varadele
tuleb määrata kõrgeim eelnevalt määratud turbeaste
15
16. IV Turbeastme määramine praktikas
Praktiline ülesanne
VI ISKE tüüpmoodulid
B1 Üldkomponendid
B2 Infrastruktuur
B3 IT-süsteemid
B4 Võrgud
B5 IT-rakendused
Turvameetmete määramist tuleb alustada
moodulirühmaga B1 ja mooduliga B1.0, mis
määrab infoturbe halduse meetmed.
Meetmed klassikalises mõistes 1/4
Füüsilised
• Ehituslikud nõuded
• Serveriruum
• Valve
• Sissepääsu süsteem
• ...
16
17. Meetmed klassikalises mõistes 2/4
Organisatsioonilised
• Poliitikad;
• Reeglid;
• Protseduurid;
• Teavitus;
• ...
Meetmed klassikalises mõistes 3/4
Tehnoloogilised
• Kasutajale nähtavad;
• IT poolele kohustuslikud rakendada;
• ...
Meetmed klassikalises mõistes 4/4
Teine liigitus
• Ennetavad – vajalikud infoturbe intsidentide
ärahoidmiseks
• Avastavad – lähevad käiku, kui intsident on aset
leidnud või on kõrgendatud kahtlus
• Parandavad – taastavad olukorra, mis oli enne
intsidenti ja võiksid olla aluseks ennetavate
meetmete täiendamisel (et sarnaseid intsidente
tulevikus ära hoida)
17
18. VII Meetmete valimine 1/10
Ohud (B1.0 Infoturbe haldus)
• G2.66 Infoturbe halduse puudumine või
puudulikkus (vastutused, juhtkonna tugi, ressursid
jne)
• G2.105 Õigusaktide ja lepingute sätete rikkumine
(nt puuduliku turbe tõttu)
• G2.106 Tööprotsesside häiringud
infoturbeintsidentide tõttu (nt teenus katkeb)
• G2.107 Ressursside ebaökonoomne kasutamine
puuduliku infoturbehalduse tõttu
VII Meetmete valimine 2/10
B1.0 Meetmed L
• M2.192 Infoturbe poliitika koostamine
• M2.335 Infoturbe eesmärkide ja strateegia
kehtestamine
• M2.193 Infoturbe sobiva organisatsioonilise struktuuri
rajamine
• M2.195 Infoturbe kontseptsiooni koostamine
• M2.197 Infoturbe alase koolituse kontseptsiooni
koostamine
• M2.199 Infoturbe käigushoid (auditid, muutuste
jälgimine ja neile reageerimine,..)
• M2.200 Infoturbe aruanded juhtkonnale
• M2.201 Infoturbe protsessi dokumenteerimine
• M2.340 Õiguslike raamtingimuste järgimine
VII Meetmete valimine 3/10
Infoturbe poliitika
• http://www.riso.ee/et/soovitused/tinfoturbpol.htm
• Tegevused infoturbe poliitika koostamisel
• Koostamine ja haldamine
• Infoturbe dokumentatsioon
• Infoturbe poliitika lühivariant
• Pikem variant
18
19. VII Meetmete valimine 4/10
M2.195 Infoturbe kontseptsiooni koostamine
1. Vajaliku turbetaseme määramine
2. Praegune infoturbe olukord
3. Etalonmeetmete valimine
4. Riskianalüüs ja vajadusel lisameetmete valimine
5. Kõigi meetmete ühendamine ja koostoime
hindamine
6. Turbekulude hindamine ja plaanimine
7. Jääkriski hindamine ja kinnitamine
VII Meetmete valimine 5/10
M2.197 Infoturbe alase koolituse kontseptsiooni koostamine
Kõigile IT kasutajaile:
• IT kasutamise ohud ja riskid
• infoturbe põhiterminid ja -parameetrid
• organisatsiooni infoturbe poliitika ja sellest iseendale tulenev
• turberollid ja teatamiskanalid organisatsioonis
• kuidas anda oma panus infoturbesse
• kuidas ära tunda turvaintsidenti ja kuidas sellest teatada
• kuidas saada teadmisi ja teavet infoturbe alal
Lisateemasid sihtgruppidele:
• turvaline elektrooniline suhtlus
• konkreetsete IT-süsteemide ja rakenduste turvaaspektid
• turvaline tarkvaraarendus
• infoturbe kontseptsioonide koostamine ja auditeerimine
VII Meetmete valimine 6/10
M2.201 Infoturbe protsessi dokumenteerimine
• infoturbe poliitika
• infovarade spetsifikatsioonid ja plaanid
• infoturbe kontseptsioon
• turvameetmete evituse plaanid
• IT-vahendite õige ja turvalise kasutamise protseduurid
• läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed
jms)
• infoturbepersonali koosolekute protokollid ja otsused
• infoturbe aruanded juhtkonnale
• infoturbekoolituse plaanid
• aruanded turvaintsidentide kohta
19
20. VII Meetmete valimine 7/10
B1.0 Meetmed M
• M2.336 Koguvastutus infoturbe eest juhtkonna
tasemel
• M2.337 Infoturbe integreerimine
üleorganisatsioonilistesse tegevustesse ja
protsessidesse
• M2.338z Sihtrühmakohase infoturbepoliitika
koostamine (nt IT-personalile, IT kasutajaile jne)
• M2.339z Ressursside ökonoomne kasutamine
infoturbeks
• M2.380 Erandite kooskõlastamine
VII Meetmete valimine 8/10
B1.0 Meetmed H, HK, HT
Kohustuslikud üldmeetmed (HG)
Teabe käideldavus (K), meetmed HK
Teabe terviklus (T), meetmed HT
• HT.11 Infoturbe aruanded juhtkonnale
• HT.22 Kohustuslik turvaaudit
• HT.23 Modifikatsioonide eelnev turvajuhi
poolne kinnitamine
• HT.29 Esemepõhine või kombineeritud
autentimine
VII Meetmete valimine 9/10
B1.0 Meetmed HS
Teabe konfidentsiaalsus (S) , meetmed HS
• HS.15 Turvaauditi kohustus (kord aastas)
• HS.16 Muudatuste eelnev turvajuhi poolne
kinnitamine
• HS.20 Esemepõhine või kombineeritud
autentimine
20
21. VII Meetmete valimine 10/10
Praktiline ülesanne
VIII Meetmete rakendamise plaan
• Projekt – vajaliku tulemuse saavutamine ettenähtud
tähtaja jooksul teatud ressursside piires
• Programm – projektide kogum
• Planeerimine:
– Ajakava (ettenähtud aja jooksul)
– Teostajad (ressursiks on tööaeg)
– Tähtajad (vahetulemuste fikseerimine)
– Ressursid (eelkõige rahalised ressursid)
– Hindamise põhimõtted (tulemuse vastavus)
VIII Meetmete rakendamise prioriteedid 1/2
• Rakendamise prioriteedid - kõigepealt
olulised ning realistlikud (vähem ressursse
nõudvad) tegevused, sh haldusmoodul
• Hinnata reaalset seisu infoturbes – ei saa
eeldada, et varem infoturbe osas mitte midagi
tehtud ei oleks (uurida, kes mida teinud on)
• ISKE etappidest esimesed 8 vähem ressurssi
nõudvad
21
22. VIII Meetmete rakendamise prioriteedid 2/2
• Prioriteetide kohta anda hinnang ja märkida
see rakendamise kavasse
• Tulu/kulu hinnang – mis tegevus annab
vajaliku tulemuse (vajalik järgmisteks
sammudeks) ja kui palju see ressurssi võtab
• Näiteks kriitiline-tähtis-vähemtähtis ja
kulukas-keskmiselt kulukas-vähekulukas
VIII Meetmete rakendamise vastutajad
• Igale meetmele või meetmete grupile tuleks
määrata vastutaja, kes viib läbi ja jälgib
meetme rakendamist ning teeb kokkuvõtte
tulemustest
– ISKE koordinaator
– Haldus
– IT
– Personal
– Õigus
–…
VIII Meetmete rakendamise kulud 1/4
• Kümnest rakendamise tööst esimesed kaheksa on seotud
pigem süsteemide analüüsi ja ISKE rakendamise
kavandamisega ning ei nõua eriti suuri rahalisi ressursse
• Saab igal juhul ära teha ning nendest tuleks alustada
• ISKE esmakordsel rakendamisel siiski suhteliselt suuremad
ressursid kui hiljem - ette planeerida ning taotleda vajadusel
vastavate ressursside eraldamist eelarvesse
• Edasine asutuse IT keskkonna vastavus ISKE metoodikale
tuleks tagada hoolduse ja arenduse raamides, planeerides
näiteks vastavad vahendid vajadusel igasse algatatavasse
projekti
22
23. VIII Meetmete rakendamise kulud 2/4
• Kulud tehniliste turvameetmete
väljaehituseks, seadmete ja tarkvara
soetamiseks
• Kulud infoturbe koolitusele
• Kulud lepingulisele tööjõule ja audititele
• Kulud infoturbe personali suurendamisele
• Jooksvad kulud infoturbele
VIII Meetmete rakendamise kulud 3/4
Riskipõhine investeeringute arvutamine:
• Hinnata infoturbe intsidentide aasta jooksul
oodatavad tõenäosused ning maksumused
• Hinnata niimoodi kõikide riskide maksumused
ning liita need kokku
• Saadud summa on aluseks kulutuste infoturbe
määramiseks infoturbe meetmetele (sh
organisatsioonilised ja tehnoloogilised
meetmed, kindlustamine jne)
VIII Meetmete rakendamise kulud 4/4
K
U
L
U
Optimum
D
23
24. Ressursid
• Osa ISKE meetmeid nõuavad põhiliselt
rakendaja aega (väljatöötamine,
dokumenteerimine) + organisatsioonis
rakendamist
• Osa ISKE meetmeid nõuavad põhiliselt raha –
kuidas?
– Juhtkonna kaasamine
– Hinnangud
– Prioriteedid
– Ette planeerimine (eelarve)
VIII Meetmete rakendamise plaan
Praktiline ülesanne
IX Meetmete rakendamine 1/5
Praktiline ülesanne
24
25. IX Meetmete rakendamine 2/5
Infoturbe poliitika
IX Meetmete rakendamine 3/5
Paroolide kasutamine
IX Meetmete rakendamine 4/5
Viirusetõrje eeskiri
25
26. IX Meetmete rakendamine 5/5
E-mailide eeskiri
X Täiendav riskianalüüs 1/2
• Infoturbe koordinaator või spetsialist kontrollib
pärast iga infovara turvameetmete evitamist vastava
tüüpmooduli turvaspetsifikatsiooni ja ohtude
kataloogi alusel tegelikku turvaolukorda, arvestades
tegelikke ohte konkreetses olukorras
• Kui ilmneb mingeid ohte, mida tüüpmooduli
turvaspetsifikatsioon ei arvesta, kontrollib ta
rakendatud turvameetmete piisavust tegelikes
tingimustes ning rakendab vajaduse korral
täiendavaid turvameetmeid
X Täiendav riskianalüüs 2/2
• Rakendatud:
– B3.101 Server
– B5.4 Veebiserver
• Täiendav oht:
– DDoS rünne (Distributed Denial of Service attack,
hajutatud teenusetõkestamise rünne)
• Täiendavad meetmed, näide:
– Varuserveri võimsuse rentimine väljaspool Eestit
asuvalt teenusepakkujalt
26
27. ISKE auditeerimine 1/3
• Asutuse süsteemide ja andmete turvalisus võib olla oluline
mitmetele kolmandatele osapooltele, kellel ei ole võimalusi
ega volitusi turvalisuse tegelikku olukorda kontrollida
• Seepärast tuleb selline kontroll läbi viia auditi käigus, mida
viib läbi sõltumatu osapool
• Auditi läbiviija võib olla asutuse sisene või väline. ISKE
rakendamise protsessis on järgmist põhilist liiki auditid:
– Rakendamise üldine audit
– Mitmesugused eriotstarbelised auditid, mida nõuavad ISKE
rakendamise meetmed (nt WiFI võrgu,
auditeerimisprotseduuride jm auditid)
– Vastavalt vajadusele ka andmekaitse ja IT turvalisuse
siseaudit
ISKE auditeerimine 2/3
• Üks kord kahe (turbeastme H puhul), kolme (turbeastme M
puhul) või nelja (turbeastme L puhul) aasta jooksul
• Rakendamise auditi viib läbi väline auditeerija. Audiitoriks
peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA
või sarnast sertifikaati
• Audiitor on kohustatud säilitama oma kohustuste täitmise
käigus omandatud informatsiooni konfidentsiaalsust
• Audiitor peab olema auditeeritavast sõltumatu
• Ühe kuu jooksul pärast auditi teostamist edastab andmekogu
vastutav töötleja riigi infosüsteemi halduse infosüsteemi
kaudu Majandus- ja Kommunikatsiooniministeeriumile
audiitori hinnangu
ISKE auditeerimine 3/3
Turvameetmete süsteemi rakendamise auditeerimine viiakse
läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse.
Auditeerimise käigus tuleb teha järgmised tööd:
1. kontrollida teostatud infovarade inventuuri vastavust
nõuetele
2. kontrollida turvaklasside ja turbeastmete määramist
3. kontrollida rakendamisele kuuluvate turvameetmete valimist
4. kontrollida kõigi rakendamisele kuuluvate turvameetmete
rakendamist
27
28. ISKE abivahendid
ISKE tööriist (http://www.eesti.ee/est/iske_juhend)
• Turvameetmete loetelu väljastamine valitud turbeastme ja
moodulite põhjal
• Meetmete otsing nimetuse, identifikaatori vms põhjal
• Ohtude otsing nimetuse, identifikaatori vms põhjal
• Mooduli otsing nimetuse, identifikaatori vms põhjal
• Turbeastme määramine turvaklassi põhjal
• Meetmete otsing etteantud mooduli põhjal
• Ohtude otsing etteantud mooduli põhjal
Resolutsioon
• Üritada leida reaalne vajadus (riskide maandamiseks)
• Meetmete valimisel üksikult üldisele, meetmete
rakendamisel (kontrollimisel) üldiselt üksikule
• Keskenduda olulisele ja vajalikule
• Peaks alustama ja ka ära tegema B1.0 osas juhendi
punktid 1…10, teiste osas 1…8 (kuna sõltub vähe
rahalistest ressurssidest)
• Küsida ja arvamust avaldada iske@ria.ee
ISKE materjalid
• Rakendusjuhend - http://www.ria.ee/27220
• ISKE KKK - http://www.ria.ee/28416
• Pilootprojekt – http://www.ria.ee/26501
• Soovitused -
http://www.riso.ee/et/infopoliitika/soovitused
• Seadused, määrused, standardid
28
29. Diskussioon 1/2
ISKE praktiline rakendamine praktikas:
• Ca 10 “teemat” millega tuleb tegeleda:
– Dokumentatsiooni koostamine
– Tegevuste planeerimine ja läbiviimine
• Projektipõhine lähenemine:
• Soovitud tulemused, tegevused, ressursid, tähtajad
• 1000 meedet ei tähenda 1000 dokumenti!
Diskussioon 2/2
• Kuulajate kogemus:
– Peamised probleemid ja kuidas neid lahendada?
– Peamised takistused ja kuidas neid ületada?
– Olulised lahendused ja kuidas need töötavad?
• Näpunäiteid, julgustus kolleegidele
• TIPS – vaatame üle, täiendame
Koolituse lõpetamine
• Küsimusi?
• Tagasiside lehed!
• Seotud koolitused:
– Infoturbe sissejuhatus
– ISKE praktiline rakendamine
– ISKE audit
– ISKE rakendustööriist
29
30. Kui on küsimusi?
Andro Kull
ConsultIT OÜ, juhatuse liige
MSc, CRISC, CISA, CISM, ABCP
E-mail: Andro@consultit.ee
Telefon: 5093296
Skype: andro.kull
EL sf programm „Infoühiskonna teadlikkuse tõstmine“
Tänan Teid!
Lisainfo Tark e-riik projekti kohta :
Elsa Neeme
projektijuht
elsa.neeme@ria.ee
30