Embed Size (px)
DESCRIPTION
Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus. 29. november 2011 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2011. aasta sügissemestril. Infoturbe haldus: miks on vaja?. - PowerPoint PPT Presentation
Citation preview
Andmeturve ja krüptoloogia, XIVAndmeturve ja krüptoloogia, XIV
Organisatsiooni turve ja Organisatsiooni turve ja
turbehaldusturbehaldus
Andmeturve ja krüptoloogia, XIVAndmeturve ja krüptoloogia, XIV
Organisatsiooni turve ja Organisatsiooni turve ja
turbehaldusturbehaldus
29. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
29. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
Infoturbe haldus: miks on vaja?Infoturbe haldus: miks on vaja?• Infoturve nagu informaatikagi on muutunud
väga paljude asutuste, organisatsioonide ja firmade tegevuse lahutamatuks koostisosaks – suur osa tähtsaid ülesandeid on usaldatud IT-le
• Kui on selge, mida me tahame saavutada, tuleb vastata küsimusele: milliste tegevuste tulemusena?
• Infoturbe tegelemine on pidev ja kompleksne tegevus, mitte ühekordne aktsioon
Infoturbe halduses Infoturbe halduses sisalduvad tegevused, Isisalduvad tegevused, I
1. Üleüldise infoturbe poliitika väljatöötamine
2. Rollide ja kohustuste piiritlemine organisatsioonis
3. Riskihaldus, sh kaitsmisele kuuluvate varade, ohtude, nõrkuste, toimete, riskide, turvameetmete, jääkriskide ja kitsenduste piiritlemine ning turvameetmete valimise põhimõtte valimine
Infoturbe halduses Infoturbe halduses sisalduvad tegevused, IIsisalduvad tegevused, II
4. Talitluse pidevuse plaanimine ja avariijärgse taaste plaanimine
5. Turvameetmete valimine ja teostamine
6. Turvateadlikkuse programm
7. Järeltegevused (hooldus, turvaaudit, seire, läbivaatus, intsidentide käsitlus, muutuste haldus)
Turvaprobleemi lahendamineTurvaprobleemi lahendamine
Turbehaldus: mida teha Turbehaldus: mida teha esmalt?esmalt?
Esmalt tuleb paika panna organisatsiooni sõltuvus ITst, sh infoturbest:
• Millised on tegevuse tähtsad või väga tähtsad osad, mida ei saa sooritada IT toeta?
• Millised on tööd, mida saab teha ainult IT abil?
• Millised olulised otsused sõltuvad ITga töödeldava teabe täpsusest, terviklusest. Käideldavusest või värskusest?
• Milline töödeldav konfidentsiaalne informatsioon vajab kaitset?
• Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile?
Organisatsiooni Organisatsiooni turbeturbe(halduse)(halduse) põhimõtted põhimõtted
Olulisim koht on organisatsioonilistel turvameetmetel
Organisatsiooni (andme)turbe edukaks realiseerimiseks tuleb valida sobiv riskihaldusmetoodika ja see ka ellu viia
Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral
Organisatsiooni turveOrganisatsiooni turve
Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
Mis on turvapoliitikaMis on turvapoliitikaMis on turvapoliitikaMis on turvapoliitika
(Info)turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, (peamiselt infovarade) haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides
(Info)turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, (peamiselt infovarade) haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides
Kui jätta eest ära eesliide info- (st turvapoliitika), siis peab infovarade asemel vaatama kõiki varasid
Miks on vaja Miks on vaja infoturvapoliitikat?infoturvapoliitikat?
Miks on vaja Miks on vaja infoturvapoliitikat?infoturvapoliitikat?
NB! Infoturvepoliitika ei ole mitte IT spetsialistide pärusmaa, vaid reeglina suure hulga erinevate elualade spetsialistide turbefoorumi koostöö tulem
(IT spetsialistid tunnevad reeglina ideaalselt ja detailselt vaid oma kitsast ala)
Peapõhjus – enamike (info)varade (eriti andmete) kaitse eeldab süstemaatilist tegevust kogu sellega seotud organisatsioonis, mis arvestab erinevate elualade spetsiifikaid ja nõudeid
Peapõhjus – enamike (info)varade (eriti andmete) kaitse eeldab süstemaatilist tegevust kogu sellega seotud organisatsioonis, mis arvestab erinevate elualade spetsiifikaid ja nõudeid
Tippjuhtkonna oluline osaTippjuhtkonna oluline osaTippjuhtkonna oluline osaTippjuhtkonna oluline osa
Seepärast peab just juhtkond olema see, kes paneb paika, millisel tasemel on erinevate (info)varade erinevaid omadusi on vaja kaitsta. Konkreetsed suunised pannakse aga kokku erinevate alade spetsialistide poolt
Vaid tippjuhtkond teab, kuivõrd tähtis osakaal on organisatsiooni tegevuses erinevate varade erinevate omadustel ning kui olulist kahju võib nende kadumine kogu organisatsioonile tekitada
Vaid tippjuhtkond teab, kuivõrd tähtis osakaal on organisatsiooni tegevuses erinevate varade erinevate omadustel ning kui olulist kahju võib nende kadumine kogu organisatsioonile tekitada
• kõrgem juhtkond • auditeerimine• rahandus• infosüsteemid (spetsialistid ja kasutajad)• tehnovõrgud ja infrastruktuur (st hoone ehitusliku osa eest vastutajad)
• personaliala• üleüldine turve
Infoturvapoliitika tuleks Infoturvapoliitika tuleks koostada järgmiste talituste koostada järgmiste talituste
esindajate osavõtul:esindajate osavõtul:
Infoturvapoliitika tuleks Infoturvapoliitika tuleks koostada järgmiste talituste koostada järgmiste talituste
esindajate osavõtul:esindajate osavõtul:
• Peab sätestama kõikide varade (omaduste) jaoks üldeesmärgid, kusjuures vajalik on kooskõla
• Selgelt peavad olema määratletud seos IT poliitikaga ja turunduspoliitikaga
• Peavad olema määratud teed (viisid), kuidas turvaülesanne erinevates valdkondades lahendatakse (riskianalüüs, etalonturbe metoodika)
• Selgelt peab paika olema pandud vastutus ja kohustused
Turvapoliitika muid olulisi Turvapoliitika muid olulisi elementeelemente
Turvapoliitika muid olulisi Turvapoliitika muid olulisi elementeelemente
1. Sissejuhatus • ülevaade • turvapoliitika rakendusala ja eesmärk
2. Turvaeesmärgid ja -põhimõtted • eesmärgid • põhimõtted
3. Turbe organisatsioon ja infrastruktuur • kohustused • (konkreetsete alamsüsteemide) turvapoliitikad • turvaintsidentidest teatamine
Turvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, I
4. Infoturbe ja riskianalüüsi strateegia • sissejuhatus • riskianalüüs ja riskihaldus • turbe vastavuse kontroll
5. Informatsiooni tundlikkus ja riskid • sissejuhatus • informatsiooni märgistuse süsteem • ülevaade organisatsiooni informatsioonist • informatsiooni väärtus ja tundlikkustasemed • ülevaade ohtudest, nõrkustest ja riskidest
Turvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, II
6. Riistvara ja tarkvara turve • identimine ja autentimine • pääsu reguleerimine • arvestus ja revisjonipäevik • täielik kustutus, ründetarkvara
• personaal- ja sülearvutite turve
7. Side turve • võrkude infrastruktuur • Internet • side krüpteerimine ja autentimine
Turvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, III
8.Füüsiline turve • hoone turvalisus ja kaitse, sh teenuste kaitse • volitamata hõive • juurdepääs arvutitele • juurdepääs andmekandjatele • personali kaitse • piksekaitse, kahjutule ja vee kaitse • ohtude avastamine ja teatamine • seadmete kaitse varguse eest • teeninduse ja hoolduse reguleerimine
Turvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IV
9. Personali turve • palkamistingimused • turvateadlikkus ja -koolitus • personal ja lepingulised töötajad • kolmandad osapooled
10. Dokumentide ja andmekandjate turve • säilitamine
• edastamine • kõrvaldamine (hävitamine)
Turvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, V
11.Tegevus eriolukordades • varundamine, sh varukoopiad • eriolukordade strateegia • olulisemate eriolukordade plaanid
12. Kaugtöö
13. Alltöövõtu poliitika
14. Muudatuste reguleerimine • turvapoliitika muutmispõhimõtted
• turvapoliitika staatus organisatsioonis
Turvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VI
Lisad: A. Turvajuhendite loend B. Seadused ja eeskirjad C. Organisatsiooni infoturbe eest vastutava isiku pädevus
D. Infoturbe foorumi pädevus E. Oluliste alamsüsteemide (komponentide) turvapoliitika sisukord
Turvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VII
Infoturbe halduse Infoturbe halduse organisatsioonilised aspektidorganisatsioonilised aspektid
Rollid ja kohustused. Hädavajalikud:
• infoturbe foorum
• üleüldise infoturbe ametnik
Järjekindel metoodika:
• tegelemine kogu (infosüsteemi) elutsükli vältel
• standardite järgimine
Infoturbe foorumi ülesandedInfoturbe foorumi ülesanded
• infotehnoloogia korralduskomisjoni nõustamine turbe strateegilise plaanimise alal
• infoturbe poliitika formuleerimine ja sellele kinnituse saamine infotehnoloogia korralduskomisjonilt
• infoturbe poliitika infoturbe programmiks muundamine
• infoturbe programmi täitmise seire
• infoturbe poliitika tõhususe kontroll
• infoturbe alase teadlikkuse tõstmine
Infoturbe ametniku Infoturbe ametniku kohustusedkohustused
• infoturbe programmi täitmise järelevalve
• side infoturbe foorumiga ja üleüldise turbe ametnikuga
• intsidentide uurimise koordineerimine
• üldise turvateadlikkusprogrammi juhtimine
• Konkreetsete IT projektide turbe ametnike (kui neid on) pädevuse määramine
Üleüldineturvapoliitika
. . .
Üleülidne infoturbepoliitika
Allüksuse infoturbepoliitika
Süsteemi B
Süsteemi Ainfoturbe poliitika
Üleüldine tegevuspoliitika,tuletatud eesmärkidest ja
strateegiatest
Üleüldineinfotehnoloogiapoliiitka
Üleüldineturunduspoliitika
IT SteeringCommittee
IT SecurityForum
CorporateIT Security
Officer
CorporateIT SecurityPolicy andDirectives
IT Projector SystemSecurityPolicy
CorporateManagement
Corporate Level*Department Level
System / Project Level
Legend:
CorporateSecurity Officer
* DepartmentIT Security
Officer
IT Project orSystem
Security Officer
*DepartmentIT SecurityPolicy andDirectives
only if the Department is of sufficient size*
roles
organisational
IT Representative(s)
IT UserRepresentative
Riskihaldus sisaldab neli Riskihaldus sisaldab neli põhitegevustpõhitegevust
• organisatsioonile üldise infoturbe poliitika kontekstis sobiva riskihalduse strateegia määramine (neli peamist alternatiivi)
• infotehnoloogiliste süsteemide turvameetmete valimine riskianalüüsi tegevuste tulemustena või vastavalt etalonmeetmetele (eeltoodud alternatiividele)
• infotehnoloogiliste süsteemide turvapoliitikate formuleerimine turbesoovituste põhjal ja vajadusel üldise infoturbe poliitika värskendamine
• infoturbeplaanide koostamine turvapoliitikate põhjal turvameetmete teostamiseks
Turbe majanduslik külgTurbe majanduslik külg
Riskihaldusmetoodika olemusRiskihaldusmetoodika olemus
• Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse
• Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud
Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse
Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse
Riskihaldusmetoodika Riskihaldusmetoodika praktilised alternatiividpraktilised alternatiivid
1. Detailne riskianalüüs. On ideaallahendus
2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel
3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides
4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele
Tekib kaks probleemi:
• Kuidas saada eelnevalt teada, kas ta tasub end?
• Kuidas toimida siis, kui on teada, et detailne analüüs pole tasuv?
Riskihaldusmetoodika Riskihaldusmetoodika valimise probleemvalimise probleem
Tõsiasi: detailne riskianalüüs on kulukas toiming, seda tasub sooritada ainult siis, kui ta on majanduslikult põhjendatud
Jäme riskianalüüs esialgse Jäme riskianalüüs esialgse indikaatorinaindikaatorina
Konkreetsetele oludele sobivaima riskhaldusmetoodika valimiseks tuleb kõigepealt teha jäme riskianalüüs
Konkreetsetele oludele sobivaima riskhaldusmetoodika valimiseks tuleb kõigepealt teha jäme riskianalüüs
Kui jäme riskianalüüs näitab, et algrisk on väärtustes mõõdetuna väga suur ja ta vähendamiseks tuleb rakendada kulukaid meetmeid ning tasub kulutada ressursse detailsele analüüsile
On välja töötatud tüüpseid turvameetmestikke, mille toime riski vähendamisel teatud tingimustes on teada, ja mida rakendatakse tingimuste jämeda võrdluse alusel
Nõutava kaitsetaseme saavutamiseks tuleb selline etalonmeetmestik rakendada täielikult, midagi välja jätmata
Millal valida Millal valida etalonturbemetoodika?etalonturbemetoodika?
Kui detailne riskianalüüs pole tasuv, sobib etalonturbe (baseline security) meetod
Infosüsteemi jäme riskianalüüsInfosüsteemi jäme riskianalüüs
Lähteandmed otsustamiseks, milline riskihaldusmetoodika sobib mingile infosüsteemile, võib saada järgmiste asjaolude kaalutlemisest:
• infosüsteemi abil saavutamisele kuuluvad (organisatsiooni) tegevuseesmärgid
• organisatsiooni tegevuse sõltuvuse määr infosüsteemist
• infosüsteemi investeerimise tase süsteemi väljatöötamise, hoolduse või asendamise terminites
• selle infosüsteemi varad, millele organisatsioon otseselt omistab väärtuse
Infoturbesoovitused Infoturbesoovitused
Peavad sisaldama:
• kriteeriumeid infotehniliste süsteemide aktsepteeritavate riskitasemete määramiseks
• riske aktsepteeritava tasemeni kahandavate turvameetmete valimist
• turvameetmete evitamisega seotud hüvesid ja riskide kahandamist
• turvameetmetega seotud jääkriskide aktsepteerimist
Tekivad riskihalduse strateegia käigus, juhtkond peab kinnitama
Infoturbeplaan, IInfoturbeplaan, I
Peab hõlmama:
• üldise turvaarhitektuuri ja lahenduse
• ülevaate IT süsteemi vastavusest organisatsiooni turvaeesmärkidele
• hinnangulistele riskidele vastavate turvameetmete piiritluse (juhtkonna poolt kehtestatult)
Infoturbeplaan on dokument, mis määratleb IT süsteemi turvapoliitika teostamiseks sooritamisele kuuluvad toimingud
Infoturbeplaan, IIInfoturbeplaan, II
Peab hõlmama (järg):
• turvameetme tegeliku usaldustaseme hinnangu
• ülevaate jääkriskide hindamisest
• turvameetmete evitamiseks vajalike toimingute loetelu
• detailse tööplaani turvameetmete evitamiseks, prioriteetide, eelarve ja ajakavaga
Turvameetmete teostamineTurvameetmete teostamine
Tuleb tagada, et:
• turvameetmete maksumus jääb kinnitatud piiridesse
• turvameetmed oleksid teostatud õigesti, vastavalt infoturbeplaanile
• turvameetmeid kasutatakse ja hallataks vastavalt infoturbeplaanile
Infoturbe plaani teostamise eest vastutab IT süsteemi turbe ametnik
Turvameetmete teostamineTurvameetmete teostamine
Turbeplaani teostamise lõpus tuleb turvameetmete evitus ametlikult kinnitada
NB! Alles peale seda võib IT süsteemi käiku lasta.
NB! Iga IT süsteemi kaaluka muudatusega peab kaasnema süsteemi turvaalane korduskontroll, testimine ja -kinnitamine.
Turvateadlikkuse programm, ITurvateadlikkuse programm, I
Programmis peab käsitlema:
• informatsiooni kaitse põhivajadusi
• turvaintsidentide tähtsust (nii kasutajale kui kogu organisatsioonile)
Turvateadlikkuse programm tuleks evitada kõikidel tasanditel, tippjuhtkonnast kasutajani. Programm peab andma teadmised üleüldise infoturbe poliitika kohta ning katma üleüldise turbeplaani eesmärgid.
Turvateadlikkuse programm, IITurvateadlikkuse programm, IIProgrammis peab käsitlema:
• üleüldise infoturbe poliitika ja riskihalduse strateegia aluseks olevaid eesmärke (koos selgitusega)
• infoturbeplaani turvameetmete evitamiseks ja kontrollimiseks
• informatsiooni turvaliigitust
• andmeomanike kohustusi
Turvateadlikkuse programm, IIITurvateadlikkuse programm, III
Programmis peab käsitlema:
• turvariketest (nende katsetest) teatamist ja nende uurimise vajadust
• volitamata tegevuste tagajärgi
• turbe vastavuse kontrollimist
• muutuse- ja konfiguratsioonihaldust
Infoturbe järeltegevusedInfoturbe järeltegevused
• hooldus
• turvaaudit
• seire
• intsidentide käsitlus
• muutuste haldus
HooldusHooldusJuhtkonna kõigi tasemete kohus on tagada:
• ressursside eraldamine turvameetmete hooldusele
• turvameetmete perioodiline taasvalideerimine• turvameetmete värskendamist (uute ilmnemisel)• hoolduskohustuste selge määratlus• turvameetmete toime muutumatus tark- ja
riistvara muutmisel• tehnoloogia täiustamisega kaasneda võivate
uute ohtude ja nõrkuste vältimine
NB! Turve ei ole ühekordne projekt, turve on pidev protsess!NB! Turve ei ole ühekordne projekt, turve on pidev protsess!
TurvaauditTurvaaudit
• On turbe vastavuse kontroll (ehk meetmete vastavus nõuetele)
• Tuleb läbi viia kas väliste subjektide kaasabil või oma personaliga
• Tuleks ühitada teiste plaaniliste tegevustega
TurvaseireTurvaseire
Annab juhtkonnale pildi sellest:
• mida on saavutatud võrreldes eesmärkidega ja tähtaegadega
• kas saavutused rahuldavad või mitte
Intsidentide käsitlusIntsidentide käsitlus
Intsidentide uurimise põhieesmärgid:• annab aluse intsidendile mõistlikule ja
tõhusale reageerimisele• aitab õppida intsidentidest nende
edaspidiseks vältimiseks
Analüüs tuleb dokumenteerida, fikseerides:• mis ja millal juhtus?• kas personal järgis plaani?• kas vajalik teave oli personalile õigel ajal
kättesaadav?• mida oleks tulnud teha teisiti?
Muutuste haldusMuutuste haldus
Muutuste halduse alla kuuluvad kõik:
• uued protseduurid
• uued omadused
• tarkvaratäiendid
• riistvara täiustused
• uued kasutajad
• võrkude laiendamine ja kokkuühendamine
KokkuvõtteksKokkuvõtteks1. Organisatsiooni (info)turbe eduka
realiseerimise eelduseks on õige turbehaldus
2. Turbega tuleb tegeleda kogu organisatsioonis
3. Initsiatiiv peab tulema organisatsiooni juhtkonnalt, kes peab olema asjast eluliselt huvitatud ja juhtima turbetööd kõrgemal tasemel
4. On vajalik teatud institutsioonide, dokumentide, töökohtade jm olemasolu
Mida on infoturbe halduse Mida on infoturbe halduse standardimise alal Eestis ja standardimise alal Eestis ja
maailmas tehtud?maailmas tehtud?• on koostatud standardpere
ISO/IEC TR 13335, mis on üle võetud Eesti rahvuslikeks standarditeks EVS-ISO/IEC TR 13335
• on olemas ka BS7799st üle võetud ISO/IEC 17799 ja selle uusvariant ISO/IEC 27002
• On olemas ka ISO/IEC 27001 (infoturbe halduse süsteemid)
Infoturbe eesmärgid, strateegia ja poliitika
Infoturbe strateegia ja eesmärgidÜleüldine infoturbepoliitika
Üleüldise riskianalüüsi strateegia variandid
Sega-metoodika
Detailneriski-
analüüs
Mitte-formaalnemetoodika
Etalon-turbe
metoodika
Segametoodika
Jäme riskianalüüs
Turvameetmete valimine
Riski aktsepteerimine
Infotehnoloogilise süsteemi turvapoliitika
Infoturbeplaan
Etalonturbe metoodikaDetailne riskianalüüs
Infoturbeplaani teostamine
Infotehnoloogiliste süsteemide kinnitamine
Turvameetmed Teadlikkus Koolitus
Järeltegevused
Seire
Intsidentidekäsitlus
Turbe vastavusekontroll
Muutustehaldus
Hooldus
