ISKE praktiline rakendamine

1

EL sf programm „Infoühiskonna teadlikkuse tõstmine“

ISKE praktiline rakendamine

Andro Kull

13. juuni 2011 - TARTU

Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames,

mida rahastab Euroopa Regionaalarengu Fond.

Koolituste ja infopäevade tellija on Riigi Infosüsteemi Amet ja koolitused viib läbi BCS Koolitus AS

Päevakava

9.00–9.15 Kogunemine, registreerimine

9.15–10.45 Sessioon I

10.45–11.00 Kohvipaus

11.00–12.30 Sessioon II

12.30–13.30 Lõuna

13.30–15.00 Sessioon III

15.00–15.15 Energiapaus

15.15–16.45 Sessioon IV

Teemad

Sessioon I

Sissejuhatus – ISKE eesmärk, rollid, rakendajad ja tähtajad; ülevaade etalonturbe kontseptsioonist; ISKE määrus ja rakendusjuhend.

Sessioon II

Infovarade inventuur ja spetsifitseerimine; turvaosaklasside ja turvaklasside määramine; turbeastme määramine ja tsoneerimine.

Sessioon III

ISKE tüüpmoodulid ja nende valik; turvameetmete rakendamine – plaan, prioriteedid, vastutajad, kulud.

Sessioon IV

Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine; rakendamistööriistad ja muud abimaterjalid; kokkuvõte, diskussioonid, tagasisidelehe täitmine, koolituse lõpetamine.

2

Koolituse ülesehitus

• Teooria – selgitame• Praktika – teeme/vaatame läbi• Terminid – kursiivis inglise keelsed vasted (kuna

kõikide jaoks head eestikeelset vastet (veel) ei ole)• Allakriipsutus – viitab kas veebilehele või välisele

allikale• Materjalid – peale slaidide ja märkmete jääb

igaühele võimalus küsida praktiliste harjutuste tulemusi

• TIPS – märksõnad, nõuanded, näpunäited, tähelepanekud (eraldi tahvlile)

Lektor

Haridus• Doktoriõpingud Tampere Ülikoolis, kraad omandamisel• IT juhtimine Tallinna Ülikoolis, magister• Rakendusinformaatika Tartu Ülikoolis, diplomTöökogemus• Infotehnoloogia alal üle 10 aasta, nii avalik-. kui erasektor• IT audiitor viimased 3,5 aastat, Finantsinspektsioon, ISKE auditid• Konsultant, konsultatsiooni- ja koolitusettevõttes ConsultIT OÜTäiendkoolitus• IT audiitori ja infoturbe juhi rahvusvahelised sertifikaadid CISA ja CISM• Infotehnoloogia ja infoturbe alased konverentsid, täiendkoolitusedKoolitaja kogemus• Lõppkasutajale suunatud andmeturbe koolitus, koostöös BCS Koolitusega• Infotehnoloogilise infrastruktuuri arendamine, Tallinna Ülikoolis IT juhtimise

magistrantidele

Osalejad

Sihtgrupp

• IT-juhid, IT-spetsialistid (arendajad, projektijuhid, analüütikud) avalikus sektoris

Tutvustus

• Asutus

• Ametinimetus

• Seos ISKEga, infoturbega

• Ootused koolitusele

3

Koolituse eesmärgid

1. Ülevaade ja arusaamine ISKEst

2. Teadmine, kuidas ISKEga alustada ja kuidas ISKE rakendada

3. Praktiline näide ISKE kohta

4. Kogemuste vahetamine

5. Probleemide lahendamine

Koolituse mitte-eesmärgid

1. Kas ISKE on hea või halb?

2. Kas ISKE tasub ära?

3. Kas ISKE rakendamise tähtajad on piisavad?

4. …

5. Jne

Äratundmine

ISKE järgib klassikalist riskihindamist!

1. Infovarad ja turbeastmed2. Ohud kataloogist3. Meetmed kataloogist

Nõrkused eraldi käsitletud ei ole, arvestades avaliku sektori asutusi võib eeldada et need on sarnased. ISKE lisab kohustusliku meetmete rakendamise ja järjepideva auditeerimise.

4

Põhimõisteid 1/2

• etalonmeetmed – tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest

• etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks

• infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega

• infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum

• infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid

Põhimõisteid 2/2

• turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks

• turvaklass – andmete tähtsusest tulenev nõutav andmete turvalisuse tase väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina

• turvaosaklass – andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal, kolmest infoturbe eesmärgist tuleneb kolm turvaosaklassi

Kellele ja milleks ISKE

• Teis(t)ele asutus(t)ele – ISKE kontrolli head tulemused

• Asutusele endale – maandada IT riske

• Kodanikule – turvalisemad teenused

• Riigile – turvaline e-riik

• ?

5

ISKE eesmärk

ISKE rakendamise eesmärgiks on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks.

Vs ebapiisav või ülepingutatud.

Rollid

• ISKE koordinaator (korraldab, algatab)

• Infoturbe spetsialist (aitab kaasa, rakendab) III-X

• Asutuse IT eest vastutaja (aitab kaasa, rakendab tehnilised meetmed) I, III, V ja VIII

• Andmete omanik (defineerib väärtuse) II

• Juhtkonna esindaja (kooskõlastab, kinnitab) V, VIII ja IX

• ISKE juurutaja (töötab välja, kooskõlastab, juurutab) IX

• ISKE administraator asutuses (haldab, informeerib)

ISKE koordinaator

• ISKE koordinaator - ISKE rakendamise eest vastutav isik• ISKE rakendamine - kogu asutust läbiv programm ja

tegevuste kogum• Ei pea olema infoturbe eest vastutav isik (aga võib seda

olla) ega ei pea ka tingimata olema isik IT osakonnast• Pigem projektijuhi tüüpi, kes koordineerib ja korraldab

ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne

• Soovitav hea side asutuse juhtkonna ning erinevate osakondadega

6

Andmete omanik

• Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes

• Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele

• IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi

• Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks

Rakendusala!

• Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.

/ISKE määrus/

Tähtajad

VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“,

11. Turvameetmete süsteemi rakendamise auditeerimise

tähtajad riigi infosüsteemi kuuluvate riigi andmekogude

pidamisel

1. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.

2. ... «M»… 1. detsembriks 2010. a.

3. … «L»… 1. märtsiks 2011. a.

ISKE peaks olema rakendatud enne seda!

7

Etalonturbe olemus

• Välja töötatud praktika põhjal

• Kohustuslikud (minimaalne) ja soovituslikud (z) meetmed

• Pidev täiendamine (vers 5.00 – 2164 lk, vers 4.01 1024 lk)

• Astmelisus ja kihilisus: L(madal)->M(keskmine)->H(kõrge), kõrgema saavutamiseks tuleb enne saavutada madalamad tasemed

Etalonturbe + ja -

• Eelised - Jääb ära detailse riskianalüüsi ressursitarve ning turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse.

• Puudused - Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu.

ISKE määrus

Infosüsteemide turvameetmete süsteem

(jõustunud 1.01.2008)

• Kellele?

• Kuidas?

• Millal?

• Kontroll?

• Vastutus?

8

ISKE rakendusjuhend

• INFOSÜSTEEMIDE KOLMEASTMELISE ETALONTURBE SÜSTEEM ISKE, versioon 5.00 (november 2009)

– turvaklasside määramine

– turbeastme määramine

– infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B

– ohtude kataloog G

– turbeastmete L ja M turvameetmete kataloog M

– turbeastme H turvameetmete kataloog H

ISKE etapid

I. Infovarade inventuur ja spetsifitseerimineII. Andmekogude turvaklasside määramineIII. Muude infovarade turvaklasside määramineIV. Turvaklassiga infovarade turbeastme määramineV. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajaduselVI. Tüüpmoodulite märkimine infovarade

spetsifikatsioonidesseVII. Turbehalduse meetmete loetelu koostamineVIII. Turvameetmete rakendamise plaani koostamineIX. Turvameetmete rakendamineX. Tegeliku turvaolukorra kontroll, ohtude hindamine,

vajadusel täiendavate meetmete rakendamine

ISKE etappide realiseerimine

• I – VII analüüs – selgitab välja infovarade väärtuse ja infoturbe vajaduse

• VIII planeerimine – paneb paika, kuidas võiks meetmed rakendada ja turvalisus tagada

• IX rakendamine – meetmete tööle panek: dokumentide koostamine (andmeturbe poliitika) ja tegevused (andmeturbe koolitus)

• X kontroll – rakendamise kontroll rakendaja poolt

9

Infoturbe põhimõisteid

• Vara: miski, millel on organisatsiooni jaoks väärtus

• Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus

• Nõrkus: vara või vararühma nõrk koht, mida oht saab ära kasutada

• Risk: võimalus (tõenäosus), et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse

• Turvameede: riski kahandav teoviis, protseduur või mehhanism

• Jääkrisk: risk, mis säilib pärast turvameetmete teostamist

Riskianalüüs ja -haldus

• Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess

Eesmärk: hinnata riske

• Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna

Eesmärk: maandada riske

Näide: Riskide hindamine ja maandamine

• Vara: maja, maksab 2,000,000 kr• Oht: tulekahju, tõenäosus on 1% aastas• Nõrkused: puumaja, kindlustamata,

piksevarras puudub• Tulekahju riski aastane maksumus?• Mõistlik kulutus turbele selle riski osas? • Meetmed?• Jääkrisk?

10

I Infovara 1/2

• Informatsioon ehk teave on igasugune teadmine, mis puudutab objekte - näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus

• Andmed on informatsiooni taastõlgendatav esitus, mis sobib edastuseks, tõlgenduseks või töötluseks

I Infovara 2/2

• Andmetel on reeglina:– Tähendus, st andmetest on võimalik välja lugeda

informatsiooni, mis on aluseks otsuste langetamisel

– Väärtus, kas selges rahalises mõttes, õigusaktidest tulenevalt vms

• Kellegi või millegi jaoks – töötaja, kolleeg, teine infosüsteem, kodanik

• Ja selle tõttu on infovaradel väärtus, mida tuleb kaitsta.

I Infovarade inventuur ja spetsifitseerimine 1/2

• Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv

• Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne)

• Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem

11

I Infovarade inventuur ja spetsifitseerimine 2/2

Võimalusi:

• Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks (moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne)

• Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks

I Inventuur ja spetsifitseerimine praktikas

Praktiline ülesanne

II Turvaklasside määramine - korraldamine

• Infovara omaniku poolt – peaks teadma kõige paremini selle vara väärtust

• Vajadusel konsultatsioon IT poolega –spetsialisti arvamus, IT terminid

• Juhtkonna kinnitusega – on üldvastutaja, peaks andma ja ka saama kindlust koos kinnitusega

12

II Turvaklasside määramine - meetod

Käideldavus:

• K0 – töökindlus – pole oluline; jõudlus – pole oluline;

• K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel –tunnid (1-10)

• K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel –minutid (1-10)

• K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10)


Terviklus:

• T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud

• T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele

• T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid

• T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas


Konfidentsiaalsus (salastus):

• S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega)

• S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

• S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

• S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

13

II Turvaklass

• Tekib osaklasside kombinatsioonina

• Kokku 4x4x4 = 64 erinevat turvaklassi

• Näiteks K3T2S1 – kõrge käideldavus ja madal konfidentsiaalsus (salastus)

• Turvaklassi määramine on sisuliselt analüüs turvalisuse vajaduse väljaselgitamiseks

• Andmete turvaklassid märgitakse spetsifikatsioonidesse vastavate andmeliikide või süsteemi rakenduste nimetuste juurde

II Turvaklasside määramine – nõuded 1/3

• Seadusest/lepingust tulenevad nõuded:

– avalik (S0)

– asutusesiseseks kasutamiseks (S1, AK)

– juurdepääsupiiranguga (S1-S3)

– delikaatsed isikuandmed (S2)

• Põhitegevusest tulenevad nõuded – mis on kliendile ehk kodanikule eelnevalt lubatud?


Tagajärgede kaalukus• R0 – turvaintsidendiga ei kaasne märkimisväärseid kahjusid• R1 – kaasnevad vähe olulised kahjud, esineb

märkimisväärseid takistusi asutuse funktsiooni täitmisele või märkimisväärseid rahalisi kaotusi

• R2 - kaasnevad olulised kahjud, tõenäoliselt oluline takistus asutuse funktsiooni täitmisele või ohtu inimeste tervisele või keskkonnasaaste ohtu või olulisi rahalisi kaotusi

• R3 - kaasnevad väga olulised (missioonikriitilised) kahjud, tõenäoliselt asutuse funktsiooni täitmatajätmise või märkimisväärseid häireid riigikorralduses või ohtu inimelule või keskkonnasaastet või väga olulisi rahalisi kaotusi

14


III Muud infovarad

-> Andmed -> infosüsteemid (kõrgema klassi andmeid töötlevast

alates) -> riistvara-tarkvara-rakendus (kui süsteemiga seotud

siis selle turvaklass): infrastruktuur, andmekandjad, sidevahendid, protseduurid jm

-> kaudsed süsteemid (tugisüsteemid): IT koostöös vastavalt kriteeriumitele:– Toetav (saab ilma)– Asjakohane– Väga tähtis– Eluliselt tähtis (ilma ei saa)

II Turvaklasside määramine praktikas


15

IV Turbeastme määramine 1/2

• Lähtekoht – kõikidel spetsifitseeritud infovaradel on turvaklass määratud!

• Tehniline töö – 64 erinevat võimalikku turvaklassi ja neile seatakse vastavusse kolm etalonturbe astet:

– madal turbeaste (L)

– keskmine turbeaste (M)

– kõrge turbeaste (H)

IV Turbeastme määramine 2/2

Teeme läbi kõrge

käideldavuse ja madala

konfidentsiaalsuse

näite K3T2S1

Saame astmeks?

V Tsoneerimine

• Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil

• Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks

• Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne

• Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste

16

IV Turbeastme määramine praktikas


VI ISKE tüüpmoodulid

B1 Üldkomponendid

B2 Infrastruktuur

B3 IT-süsteemid

B4 Võrgud

B5 IT-rakendused

Turvameetmete määramist tuleb alustada moodulirühmaga B1 ja mooduliga B1.0, mis määrab infoturbe halduse meetmed.

Meetmed klassikalises mõistes 1/4

Füüsilised

• Ehituslikud nõuded

• Serveriruum

• Valve

• Sissepääsu süsteem

• ...

17


Organisatsioonilised• Poliitikad;• Reeglid;• Protseduurid;• Teavitus;• ...


Tehnoloogilised

• Kasutajale nähtavad;

• IT poolele kohustuslikud rakendada;

• ...


Teine liigitus

• Ennetavad – vajalikud infoturbe intsidentide ärahoidmiseks

• Avastavad – lähevad käiku, kui intsident on aset leidnud või on kõrgendatud kahtlus

• Parandavad – taastavad olukorra, mis oli enne intsidenti ja võiksid olla aluseks ennetavate meetmete täiendamisel (et sarnaseid intsidente tulevikus ära hoida)

18

VII Meetmete valimine 1/10

Ohud (B1.0 Infoturbe haldus)

• G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne)

• G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu)

• G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb)

• G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu


B1.0 Meetmed L• M2.192 Infoturbe poliitika koostamine• M2.335 Infoturbe eesmärkide ja strateegia

kehtestamine• M2.193 Infoturbe sobiva organisatsioonilise struktuuri

rajamine• M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni

koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste

jälgimine ja neile reageerimine,..)• M2.200 Infoturbe aruanded juhtkonnale• M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine


Infoturbe poliitika

• http://www.riso.ee/et/soovitused/tinfoturbpol.htm

• Tegevused infoturbe poliitika koostamisel

• Koostamine ja haldamine

• Infoturbe dokumentatsioon

• Infoturbe poliitika lühivariant

• Pikem variant

19


M2.195 Infoturbe kontseptsiooni koostamine

1. Vajaliku turbetaseme määramine

2. Praegune infoturbe olukord

3. Etalonmeetmete valimine

4. Riskianalüüs ja vajadusel lisameetmete valimine

5. Kõigi meetmete ühendamine ja koostoime hindamine

6. Turbekulude hindamine ja plaanimine

7. Jääkriski hindamine ja kinnitamine


M2.197 Infoturbe alase koolituse kontseptsiooni koostamineKõigile IT kasutajaile:• IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid• organisatsiooni infoturbe poliitika ja sellest iseendale tulenev• turberollid ja teatamiskanalid organisatsioonis• kuidas anda oma panus infoturbesse• kuidas ära tunda turvaintsidenti ja kuidas sellest teatada• kuidas saada teadmisi ja teavet infoturbe alalLisateemasid sihtgruppidele:• turvaline elektrooniline suhtlus• konkreetsete IT-süsteemide ja rakenduste turvaaspektid• turvaline tarkvaraarendus• infoturbe kontseptsioonide koostamine ja auditeerimine


M2.201 Infoturbe protsessi dokumenteerimine

• infoturbe poliitika • infovarade spetsifikatsioonid ja plaanid• infoturbe kontseptsioon• turvameetmete evituse plaanid• IT-vahendite õige ja turvalise kasutamise protseduurid• läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed

jms)• infoturbepersonali koosolekute protokollid ja otsused• infoturbe aruanded juhtkonnale• infoturbekoolituse plaanid• aruanded turvaintsidentide kohta

20


B1.0 Meetmed M• M2.336 Koguvastutus infoturbe eest juhtkonna

tasemel• M2.337 Infoturbe integreerimine

üleorganisatsioonilistesse tegevustesse ja protsessidesse

• M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne)

• M2.339z Ressursside ökonoomne kasutamine infoturbeks

• M2.380 Erandite kooskõlastamine


B1.0 Meetmed H, HK, HT

Kohustuslikud üldmeetmed (HG)Teabe käideldavus (K), meetmed HKTeabe terviklus (T), meetmed HT• HT.11 Infoturbe aruanded juhtkonnale• HT.22 Kohustuslik turvaaudit• HT.23 Modifikatsioonide eelnev turvajuhi

poolne kinnitamine • HT.29 Esemepõhine või kombineeritud

autentimine


B1.0 Meetmed HS

Teabe konfidentsiaalsus (S) , meetmed HS

• HS.15 Turvaauditi kohustus (kord aastas)

• HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine

• HS.20 Esemepõhine või kombineeritud autentimine

21



VIII Meetmete rakendamise plaan

• Projekt – vajaliku tulemuse saavutamine ettenähtud tähtaja jooksul teatud ressursside piires

• Programm – projektide kogum

• Planeerimine:

– Ajakava (ettenähtud aja jooksul)

– Teostajad (ressursiks on tööaeg)

– Tähtajad (vahetulemuste fikseerimine)

– Ressursid (eelkõige rahalised ressursid)

– Hindamise põhimõtted (tulemuse vastavus)

VIII Meetmete rakendamise prioriteedid 1/2

• Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul

• Hinnata reaalset seisu infoturbes – ei saa eeldada, et varem infoturbe osas mitte midagi tehtud ei oleks (uurida, kes mida teinud on)

• ISKE etappidest esimesed 8 vähem ressurssi nõudvad

22

VIII Meetmete rakendamise prioriteedid 2/2

• Prioriteetide kohta anda hinnang ja märkida see rakendamise kavasse

• Tulu/kulu hinnang – mis tegevus annab vajaliku tulemuse (vajalik järgmisteks sammudeks) ja kui palju see ressurssi võtab

• Näiteks kriitiline-tähtis-vähemtähtis ja kulukas-keskmiselt kulukas-vähekulukas

VIII Meetmete rakendamise vastutajad

• Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest– ISKE koordinaator

– Haldus

– IT

– Personal

– Õigus

– …

VIII Meetmete rakendamise kulud 1/4

• Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse

• Saab igal juhul ära teha ning nendest tuleks alustada • ISKE esmakordsel rakendamisel siiski suhteliselt suuremad

ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse

• Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti

23


• Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks

• Kulud infoturbe koolitusele

• Kulud lepingulisele tööjõule ja audititele

• Kulud infoturbe personali suurendamisele

• Jooksvad kulud infoturbele


Riskipõhine investeeringute arvutamine:• Hinnata infoturbe intsidentide aasta jooksul

oodatavad tõenäosused ning maksumused• Hinnata niimoodi kõikide riskide maksumused

ning liita need kokku• Saadud summa on aluseks kulutuste infoturbe

määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne)


Optimum

K

U

L

U

D

24

Ressursid

• Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist

• Osa ISKE meetmeid nõuavad põhiliselt raha –kuidas?– Juhtkonna kaasamine– Hinnangud– Prioriteedid– Ette planeerimine (eelarve)

VIII Meetmete rakendamise plaan


IX Meetmete rakendamine 1/5


25


Infoturbe poliitika


Paroolide kasutamine


Viirusetõrje eeskiri

26


E-mailide eeskiri

X Täiendav riskianalüüs 1/2

• Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras

• Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid

X Täiendav riskianalüüs 2/2

• Rakendatud:

– B3.101 Server

– B5.4 Veebiserver

• Täiendav oht:

– DDoS rünne (Distributed Denial of Service attack,hajutatud teenusetõkestamise rünne)

• Täiendavad meetmed, näide:

– Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt

27

ISKE auditeerimine 1/3

• Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida

• Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool

• Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid:– Rakendamise üldine audit– Mitmesugused eriotstarbelised auditid, mida nõuavad ISKE

rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid)

– Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit


• Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul

• Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA või sarnast sertifikaati

• Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust

• Audiitor peab olema auditeeritavast sõltumatu

• Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu


Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse.

Auditeerimise käigus tuleb teha järgmised tööd:

1. kontrollida teostatud infovarade inventuuri vastavust nõuetele

2. kontrollida turvaklasside ja turbeastmete määramist3. kontrollida rakendamisele kuuluvate turvameetmete valimist4. kontrollida kõigi rakendamisele kuuluvate turvameetmete

rakendamist

28

ISKE abivahendid

ISKE tööriist (http://www.eesti.ee/est/iske_juhend)

• Turvameetmete loetelu väljastamine valitud turbeastme ja moodulite põhjal

• Meetmete otsing nimetuse, identifikaatori vms põhjal

• Ohtude otsing nimetuse, identifikaatori vms põhjal

• Mooduli otsing nimetuse, identifikaatori vms põhjal

• Turbeastme määramine turvaklassi põhjal

• Meetmete otsing etteantud mooduli põhjal

• Ohtude otsing etteantud mooduli põhjal

Resolutsioon

• Üritada leida reaalne vajadus (riskide maandamiseks)

• Meetmete valimisel üksikult üldisele, meetmete rakendamisel (kontrollimisel) üldiselt üksikule

• Keskenduda olulisele ja vajalikule

• Peaks alustama ja ka ära tegema B1.0 osas juhendi punktid 1…10, teiste osas 1…8 (kuna sõltub vähe rahalistest ressurssidest)

• Küsida ja arvamust avaldada [email protected]

ISKE materjalid

• Rakendusjuhend - http://www.ria.ee/27220

• ISKE KKK - http://www.ria.ee/28416

• Pilootprojekt – http://www.ria.ee/26501

• Soovitused -http://www.riso.ee/et/infopoliitika/soovitused

• Seadused, määrused, standardid

29

Diskussioon 1/2

ISKE praktiline rakendamine praktikas:

• Ca 10 “teemat” millega tuleb tegeleda:

– Dokumentatsiooni koostamine

– Tegevuste planeerimine ja läbiviimine

• Projektipõhine lähenemine:• Soovitud tulemused, tegevused, ressursid, tähtajad

• 1000 meedet ei tähenda 1000 dokumenti!

Diskussioon 2/2

• Kuulajate kogemus:

– Peamised probleemid ja kuidas neid lahendada?

– Peamised takistused ja kuidas neid ületada?

– Olulised lahendused ja kuidas need töötavad?

• Näpunäiteid, julgustus kolleegidele

• TIPS – vaatame üle, täiendame

Koolituse lõpetamine

• Küsimusi?

• Tagasiside lehed!

• Seotud koolitused:– Infoturbe sissejuhatus

– ISKE praktiline rakendamine

– ISKE audit

– ISKE rakendustööriist

30

Kui on küsimusi?

Andro Kull

ConsultIT OÜ, juhatuse liige

MSc, CRISC, CISA, CISM, ABCP

E-mail: [email protected]

Telefon: 5093296

Skype: andro.kull

EL sf programm „Infoühiskonna teadlikkuse tõstmine“

Tänan Teid!

Lisainfo Tark e-riik projekti kohta :Elsa Neemeprojektijuht

[email protected]

Business

ISKE praktiline rakendamine