-
Tallinnas, 2. novembril 2009Jaak TepandiTellija: Euroopa Liidu
struktuurifondide programm Infohiskonna teadlikkuse tstmineISKE
audit*
-
Koolitusprojekti meeskondTellija: Korraldaja: Koolitaja:
Koolitaja:*
-
Eesmrgid ja lbivad ideedEesmrgidAnda levaade ISKE rakendamise
auditistArutada probleeme, htlustada seisukohtiMitte-eesmrgid
(lhilevaade + seosed pidevalt)ISKE rakendamise koolitusInfoturbe
koolitusAuditi vi COBIT koolitus Lbivad ideedInfoturbe
vajalikkusISKEISACA juhendid / COBITTerve mistus*
-
Philised teemad (+ISKE td)ISKE auditi phimtted ISKE, rollid,
osalejadAuditISKE auditi alusedInfovarade inventuuri nuetele
vastavuse kontroll (1) Turvaklasside ja turbeastmete mramise
kontroll (2-5) Rakendamisele kuuluvate turvameetmete valimise
kontroll (6-8) Turvameetmete rakendamise kontroll (9-10). Auditi
jreldus, koolituse kokkuvte+ Juhtumianalsid, arutelud,
probleemid*
-
Lhendeid ja snaseletusi (1)RIA Riigi Infossteemide
ArenduskeskusISKE - Infossteemide kolmeastmelise etalonturbe ssteem
RIHA Riigi infossteemide haldusssteemX-tee - Infossteemide
andmevahetuskihtIT, IS infotehnoloogia, infossteemBSI - Saksamaa
Infoturbeamet, Bundesamt fr Sicherheit in der Informationstechnik
IT Grundschutzhandbuch - IT etalonturbe ksiraamat*
-
Lhendeid ja snaseletusi (2)ISACA Infossteemide Auditi ja
Juhtimise Assotsiatsioon (Information Systems Audit and Control
Association) COBIT - Info- ja sidustehnoloogia juhtimiseesmrgid
(Control Objectives for Information and related Technology) CISA
infossteemide sertifitseeritud audiitor, Certified Information
Systems AuditorEISA Eesti Infossteemide Audiitorite hingAvTS
Avaliku teabe seadus
*
-
ISKE, rollid, osalejad*2. taseme pealkirija pilt
-
Etalonturbe ja ISKE rakendusala Etalonturve - kikjal, kus on
tegemist helaadiliste infoturbe nuetega vi infossteemi
komponentidega Infossteemide kolmeastmelise etalonturbe ssteem
(ISKE): Andmekogude pidamisel kasutatavate infossteemide ja nendega
seotud infovarade turvalisuse saavutamiseks ja
silitamiseksRakendatav ka muudes organisatsioonidesEi ole meldud
riigisaladust kitlevate infossteemide turbeks*
-
AllikadISKE phineb Saksamaa Infoturbeameti (Bundesamt fr
Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval
IT etalonturbe ksiraamatul (IT Grundschutzhandbuchil)Tiendatakse
regulaarselt kord aastasLisateave BSI ksiraamatustTavaliselt on
asutuses kasutusel turvanuete taseme poolest ksteisest erinevaid
ssteeme - rakendada vastavalt erineva tugevusega turvameetmestikke
*
-
ISKE ja selle alusmaterjalidVV mrus nr252 "Infossteemide
turvameetmete ssteemRakendusjuhend - http://www.ria.ee/27220 ISKE
KKK - http://www.ria.ee/28416 Pilootprojekt maavalitsuses
http://www.ria.ee/26501 Pilootprojekt vallavalitsuses
http://www.ria.ee/29943 Ingliskeelne juhend IT Baseline Protection
Manual: http://www.bsi.de/english/gshb/index.htm Saksakeelne juhend
IT-Grundschutzhandbuch: http://www.bsi.de/gshb/downloads/index.htm
Standardid, eriti ISO/IEC 27000 seeria -
http://www.riso.ee/et/it-standardimine/eesti-infotehnoloogia-standardid,
lisaks ISO/IEC 27005 (e.k. kavand)Soovitused -
http://www.riso.ee/et/infopoliitika/soovitused *
-
ISKE struktuurRakendamise juhend, vt jaotis 1.5Infovarade
spetsifitseerimise ja turvaanalsi juhised , vt jaotis 2.1,
2.2Etaloninstrumendid:turvaklasside mramise 4-tasemeline skaala, vt
jaotis 2.3tabel nutava turbeastme (L/M/H) mramiseks turvaklassi
jrgi, vt jaotis 3.1(misted ja lhendid, jaotis 4)infovarade
tpmoodulite turvaspetsifikatsioonide kataloog B, vt jaotis 5ohtude
kataloog G, vt jaotis 6turvameetmete kataloog, vt jaotis 7*
-
ISKE rakendamise tegevusedInfovarade inventuur ja
spetsifitseerimineAndmekogude turvaklasside mramineMuude infovarade
turvaklasside mramineTurvaklassiga infovarade turbeastme
mramineTsoonide vajaduse anals, asutuse tsoneerimine
vajaduselTpmoodulite mrkimine infovarade
spetsifikatsioonidesseTurbehalduse meetmete loetelu
koostamineTurvameetmete rakendamise plaani koostamineTurvameetmete
rakendamineTegeliku turvaolukorra kontroll, ohtude hindamine,
vajadusel tiendavate meetmete rakendamine*
-
ISKE rakendamise rollid Mningaid rolle vib tita ks ja sama
inimene:ISKE koordinaator asutuses Infoturbe spetsialistAsutuse IT
eest vastutajaAndmete omanikJuhtkonna esindajaISKE juurutaja
(niteks asutuste struktuuriksuste esindaja)ISKE administraator
asutuses (kasutajate haldamine asutuses, vajadusel muudatuste
laadimine ning kasutajate informeerimine)*
-
Osalejate tutvustamineNimi, asutus (,roll ISKE
juurutamisel)(Hinnang ISKE rakendamisele asutuses (nt: rakendatud
ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne)
)(Ksimus / probleem, millele tahaks koolituselt vastust leida)*
-
IT audit*2. taseme pealkirija pilt
-
IT auditi ldised alusmaterjalidISACA standardid ja
suunisedCOBITEriti IT Assurance Guide Using COBITEriti DS 5 Ensure
Systems Security EISA materjalid*
-
IT audit (1)FormaalneKas regulatsioone, standardeid, juhtnre
jlgitakse?Andmed on korrektsed?Efektiivsuse ja thususe eesmrgid
saavutatud?Vlis- vi siseaudit ISACA Glossary of Terms
*
-
IT audit (2)levaade, hinnang ja nuandedinfossteemile (vi selle
osadele) ssteemiarenduselekasutamise tehnoloogiale ja
korralduseleseostele automatiseerimata protsessidegaseostele
organisatsioonilise struktuurigaEISA infossteemide
audiitorkontrolli eeskirjad
*
-
ISACA terminoloogia: audit, assurance, control jtAssurance
(tagamine, kinnitus sltuvalt kontekstist)AuditControl: juhtimine,
meede (sltuvalt kontekstist)Effectiveness / efficiency: toimivus /
thususISACA Glossary of Terms, 1 June 2008
*
-
IT auditi ldine skeem PlaneerimineMratle auditi valdkondVali IT
halduse raamistikVii lbi riskiphine auditi planeerimineAnna
krgtaseme hinnangudPstita krgtaseme sihidUlatuse piiritlemine:
risihid IT sihid kesksed protsessid ja ressursid kesksed meetmed
kohandatud kesksed meetmedTitmine: vt allpoolIT Assurance Guide
Using COBIT, fig 9 ja lk 19*
-
IT auditi tegevuste niteid - planeerimineVii lbi kiire
riskihinnangAnalsi ohtusid, nrkusi ja rimjuDiagnoosi operatsiooni-
ja projektiriskiPlaneeri riskiphised kinnituse
tegevusedIdentifitseeri kriitilised IT protsessidHinda protsessi
kpsust*IT Assurance Guide Using COBIT, fig 9 ja lk 19
-
IT auditi tegevuste niteid ulatuse piiritleminePiiritle ja
planeeri tegevusedVali kriitiliste protsesside
juhtimiseesmrgidTpsusta juhtimiseesmrke*IT Assurance Guide Using
COBIT lk 19
-
IT auditi sammud titmineTpsusta arusaamist kinnituse
subjektistTpsusta kriitiliste juhtimiseesmrkide ulatustTesti
kesksete juhtimiseesmrkide meetmete kavandamise toimivustTesti
kesksete juhtimiseesmrkide vljunditDokumenteeri juhtimise nrkuste
mjuKoosta ja edasta jreldused ja soovitused*IT Assurance Guide
Using COBIT lk 19
-
Auditi ldine skeem 2: IAASBMratle osapooledMratle auditi olemus
/ valdkondMratle ja koosklasta hindamiskriteeriumidKogu
tendusmaterjaleHinda tendusmaterjaleTee jreldusedKoosta ja edasta
jreldused ja soovitusedIT Assurance Guide Using COBIT, Fig
13International Auditing and Assurance Standards Board (IAASB)*
-
Tnane ksitlus: IAASB + COBIT Auditeeritav valdkondMratle
osapooledMratle valdkond - teema ja nudedMratle ja koosklasta
hindamiskriteeriumidHindamise / auditi kikKogu tendusmaterjaleHinda
tendusmaterjaleTee jreldusedKoosta ja edasta jreldused ja
soovitusedNited, arutelu, tulemus*
-
ISKE auditi alused2. taseme pealkirija pilt
*
-
Auditi valdkond: Infossteemide igapevase kasutamisega /
infoturbega seotud seadused Avaliku teabe seadusIsikuandmete kaitse
seadusAutoriiguse seadusKaristusseadustikInfohiskonna teenuse
seadusKonkreetsete registrite seadused jms nt Rahvastikuregistri
seadusMuud infossteemidega seotud - Riigisaladuse seadus,
Arhiiviseadus, Digitaalallkirja seadus, elektroonilise side seadus
jneVeel (info)turvet puudutavad, niteks hdaolukorraks valmisoleku
seadus, psteseadus jneKonkreetse ssteemi valdkonna kohta kiv
seadusandlus*
-
(Info)turbega seotud mrused, poliitikad jm VV mrus nr252
"Infossteemide turvameetmete ssteem,ISKE auditi juhendInfoturbe
koosvime raamistik Infohiskonna Arengukava 2013 Riigi IT koosvime
raamistikRiigi IT arhitektuurSemantilise koosvime raamistikVeebide
koosvime raamistikInfoturbega seotud muud regulatsioonid, nt
siseministri mrus "Tuleohutuse ldnuded
*
-
levaade ISKE rakendamise kontrollist ja hindamisest Otsese
rakendaja poolt lbi viidav kontrollInfoturbe koordinaatori vi
spetsialisti poolt lbi viidav spetsifitseeritud meetmete
kontrollInfoturbe koordinaatori vi spetsialisti poolt lbi viidav
tiendav riskianals ja lisameetmete rakendamine
vajaduselMitmesugused sise- ja vlisauditidKolmanda osapoole poolt
lbi viidav asutuse sertifitseerimine*
-
Auditid ISKE rakendamise protsessis Asutuse ssteemide ja andmete
turvalisus vib olla oluline mitmetele kolmandatele osapooltele,
kellel ei ole vimalusi ega volitusi turvalisuse tegelikku olukorda
kontrollidaSeeprast tuleb selline kontroll lbi viia auditi kigus,
mida viib lbi sltumatu osapoolAuditi lbiviija vib olla asutuse
sisene vi vline. ISKE rakendamise protsessis on jrgmist philist
liiki auditid:ldine asutuse vline ISKE rakendamise
auditEriotstarbelised auditid, mida nuavad ISKE rakendamise meetmed
(nt WiFI vrgu, auditeerimisprotseduuride jm auditid) Vastavalt
vajadusele ka andmekaitse ja IT turvalisuse siseaudit*
-
VV mrus nr 252 2. Turvameetmete ssteemi rakendamine
Turvameetmete ssteemi rakendamine seisneb infoturbe eesmrkidele
vastavate turvaklasside mramises ja nendele vastavate turvameetmete
valimises vastavalt infossteemide kolmeastmelise etalonturbe
ssteemi (edaspidi ISKE) rakendamisjuhendile ja nende rakendamises
ning rakendamise auditeerimises*
-
Milliseid ssteeme auditeeritakse 91. Turvameetmete ssteemi
rakendamise auditeerimine riigi infossteemi kuuluvate riigi
andmekogude pidamisel (4) Turvameetmete ssteemi rakendamise
auditeerimine viiakse lbi infossteemi osas, kus andmekogu andmeid
tdeldakse. *
-
AvTS 432. Riigi infossteem(1) Riigi infossteemi kuuluvad
andmekogud, mis on riigi infossteemi andmevahetuskihiga liidestatud
ja riigi infossteemi haldusssteemis registreeritud, ning
andmekogude pidamist kindlustavad ssteemid. (2) Majandus- ja
kommunikatsiooniminister vib mrusega kehtestada riigi infossteemi
infotehnoloogilise auditeerimise korra ja nuded riigi infossteemiga
seotud arendusprojektide algatamisele, lbiviimisele ja
aruandlusele. RIHA: https://riha.eesti.ee/riha/main *
-
Infossteemide andmevahetuskihtInfossteemide andmevahetuskiht
(edaspidi X-tee) on asutuste ja isikute vahelist turvalist ja
testusvrtust tagavat internetiphist andmevahetust ning riigi
infossteemile turvalist juurdepsu vimaldav tehniline infrastruktuur
ja organisatsiooniline keskkond. *
-
KOV IS audit 92. Turvameetmete ssteemi rakendamise auditeerimine
kohalikuomavalitsuse riigi infossteemi kuuluvate andmekogude
pidamisel (1) Kohalike omavalitsuste andmekogude auditi tellib
Majandus- ja Kommunikatsiooniministeerium arvestades 91 ligetes48
stestatud tingimusi ja nudeid ning lhtuvalt vajadusest. (2) he kuu
jooksul prast auditi teostamist edastab andmekogu vastutav ttleja
riigi infossteemi halduse infossteemi kaudu Majandus- ja
Kommunikatsiooniministeeriumile audiitori hinnangu.RIHA: riigi
infossteemi kuuluvad KOV andmekogud?*
-
ISKE auditi osapooled TellijaAudiitorISKE rakendamisega seotud
osapooledISKE koordinaator asutuses Infoturbe spetsialistAsutuse IT
eest vastutajaAndmete omanikJuhtkonna esindajaISKE juurutaja
(niteks asutuste struktuuriksuste esindaja)ISKE administraator
asutuses*
-
ISKE auditi eesmrkISKE auditi eesmrgiks on hinnata, kas riigi
infossteemi kuuluva riigi andmekogu(de) pidamisel on ISKE
turvameetmed rakendatud Siin ja edasi selles osas on materjal
enamasti ISKE auditi juhendist (vib muutuda) vi VV mrusest nr
252*
-
ISKE auditi tellimine ISKE auditi peavad tellima riigi
infossteemi kuuluvate riigi andmekogude pidajad sltuvalt andmekogu
turbeastmest vastavalt ISKE mruse 91 (1) (3)Andmekogu vastutav
ttleja, kelle andmekogu turbeaste onH, peab turvameetmete ssteemi
rakendamise kohta lbi viima sltumatu auditi iga kahe aasta
jrelAndmekogu vastutav ttleja, kelle andmekogu turbeaste onM, peab
turvameetmete ssteemi rakendamise kohta lbi viima sltumatu auditi
iga kolme aasta jrelAndmekogu vastutav ttleja, kelle andmekogu
turbeaste onL, peab turvameetmete ssteemi rakendamise kohta lbi
viima sltumatu auditi iga nelja aasta jrel*
-
TellijaISKE auditi tellib soovitavalt IT osakonnast sltumatu
osapool nt. asutuse siseauditi osakond ja/vi siseaudiitor. Kui
sltumatu osapoole leidmine ei osutu vimalikuks, siis vib ISKE
auditi tellida ka IT osakond*
-
Auditeerimise ulatus ja td 91. Turvameetmete ssteemi rakendamise
auditeerimine riigi infossteemi kuuluvate riigi andmekogude
pidamisel (4) Turvameetmete ssteemi rakendamise auditeerimine
viiakse lbi infossteemi osas, kus andmekogu andmeid tdeldakse.
Auditeerimise kigus tuleb teha jrgmised td: 1) kontrollida
teostatud infovarade inventuuri vastavust nuetele; 2) kontrollida
turvaklasside ja turbeastmete mramist; 3) kontrollida rakendamisele
kuuluvate turvameetmete valimist; 4) kontrollida kigi rakendamisele
kuuluvate turvameetmete rakendamist. *
-
Auditi korraldus Iga andmekogu eraldi / kogu asutus /
turbeastmete phjal / ?Seletuskirjast VV Mruse Infossteemide
turvameetmete ssteem muutmine eelnu juurde Ligikaudu maksavad he
andmekogu ja sellega seotud fsilise ja tehnilise infrastruktuuri
auditid vahemikus 50000120000 kroonini. Auditi maksumus sltub
asutuse suurusest, asutuse IT alase dokumentatsiooni tasemest, IT
riistvara ja tarkvara mitmekesisusest jmt. Samas ei pea histele
komponentidele, milleks vivad olla niteks infossteemi
organisaatorne osa vi fsilise infrastruktuuri osad, erinevate
andmekogude likes mitu korda auditit tellima. *
-
Eelnev tutvumine dokumentatsioonigaAuditi tde teostamisele
eelnevalt tutvub audiitor asutuse infoturbealase dokumentatsiooniga
ning hindab, kas asutusel on olemas eeldused ISKE auditi edukaks
lbimiseksKui dokumentatsiooniga tutvumisel selgub, et auditi
edukaks lbimiseks puuduvad vajalikud eeldused, siis soovitab
audiitor ISKE auditi projektiga mitte jtkata ning anda asutusel
vimalus krvaldada esmased puudused ning alles seejrel tellida
uuesti ISKE audit*
-
Korduvad auditidErinevatel aegadel andmekogudele ISKE auditite
tellimisel ei pea nn. hiseid komponente (nt. organisatoorne pool,
fsiline turvalisus) mitmekordselt auditeerima juhul kui eelmisest
auditist ei ole mdunud enam aega kui selleks nutav andmekogude
auditeerimise kohustus kehtestab*
-
Rakendamisele kuuluvate turvameetmete rakendamise kontroll
Turvameetme rakendamise kontrolli kigus tuleb kontrollida jrgmiste
moodulite rakendamistKigi B1.0 moodulisse kuuluvate turvameetmete
rakendamist;Tiendavalt eelnevale audiitori poolt mooduligruppidest
B1, B2, B3, B4, B5 valitud moodulite kigi turvameetmete
rakendamist. Igast nimetatud mooduligrupist valitakse kaks
moodulit. Moodulid valitakse juhusliku valimi meetodit kasutades.
Kokku valitakse sel meetodil tiendavalt kmme moodulitTiendavalt
eelnevale audiitori poolt mooduligruppidest B1, B2, B3, B4, B5
valitud moodulite kigi turvameetmete rakendamist. Igast nimetatud
mooduligrupist valitakse ks moodul. Moodulid valitakse lhtudes
kriitilisuse hinnangust. Kokku valitakse sel meetodil tiendavalt
viis moodulit *
-
AudiitorRakendamise auditi viib lbi vline auditeerija Andmekogu
vastutav ttleja peab auditeerimise lbiviimisel veenduma, et
audiitor omaks auditi lbiviimise ajal kehtivat Rahvusvahelist
Infossteemide Auditi ja Juhtimise Assotsiatsiooni (Information
Systems Audit and Control Association) vljaantud infossteemide
sertifitseeritud audiitori (Certified Information Systems Auditor,
CISA) sertifikaati, Briti Standardi Instituudi (British Standards
Institute) vljaantud ISO27001 juhtiva audiitori sertifikaati vi
Saksa Infoturbeagentuuri (Bundesamt fr Sicherheit in der
Informationstechnik) vljaantud ISO27001IT Grundschutzi baasil
sertifitseeritud audiitori sertifikaati *
-
Audiitor ja hinnang Audiitor jrgib tde tegemisel Rahvusvahelise
Infossteemide Auditi ja Juhtimise Assotsiatsiooni kutse-eetika
koodeksit, standardeid, suuniseid, protseduurireegleid ja hid
tavasid. Audiitor peab olema auditeeritavast sltumatu. Audiitoriks
ei tohi olla isik, kes on auditeerimisele eelnenud kahe aasta
jooksul asutust konsulteerinud auditeeritavas valdkonnas. Audiitori
sltumatus peab olema kinnitatud audiitori poolt allkirjastatud
dokumendiga. Audiitor peab silitama oma kohustuste titmise kigus
omandatud informatsiooni konfidentsiaalsuse. he kuu jooksul prast
auditi teostamist edastab andmekogu vastutav ttleja riigi
infossteemi halduse infossteemi kaudu Majandus- ja
Kommunikatsiooniministeeriumile audiitori hinnangu. *
-
Mitu audiitoritISKE auditi projektis vib osaleda mitu punktis
7.1 nimetatud sertifikaati omavat audiitorit. Sellisel juhul tuleb
mrata ks audiitor, kes juhib auditi meeskonna td, vastutab auditi
kigus teostatavate tde eest ja kes allkirjastab auditi
lppraportiAudiitor vib ISKE auditis kasutada teiste asjatundjate
td, jrgides seejuures ISACA standardeid*
-
ISKE auditi raportAuditi lppraportis annab audiitor hinnangu
jrgmistele asjaoludele:kas teostatud infovarade inventuur on viidud
lbi vastavalt ISKE rakendusjuhendis esitatud nuetelekas
andmekogu(de)le on turvaklassid/turbeaste mratud asjakohaseltkas
rakendamisele kuuluvad turvameetmed on valitud korrektselt ja
vastavalt ISKE rakendusjuhendis esitatud nuetele kas rakendamisele
kuuluvad turvameetmed on rakendatud *
-
Krge riskiastmega meetmed raportisTiendavalt toob audiitor ISKE
auditi lppraportis vlja rakendamata ja/vi osaliselt rakendamata
turvameetmed, mille mitte rakendamisest ja/vi osalisest mitte
rakendamisest tulenevad krge riskiastmega riskid andmekogu
pidamiselIga punktis 8.2 nimetatud turvameetme kohta annab audiitor
soovituse ja/vi soovitusi, kuidas tuleks nimetatud meetmeid
rakendadaKrge riskiastmega meetmete rakendamise on andmekogu pidaja
kohustatud korraldama vimalikult kiiresti*
-
Raporti koostajad ja lisadISKE auditi raportis mrgitakse ra kigi
ISKE auditis osalevate audiitorite ja asjatundjate nimedISKE auditi
lppraporti lisasse tuleb panna kigi auditeeritud turvameetmete
tabel, milles on audiitori poolt muuhulgas iga turvameetme jrgi
mrgitud, kas turvameede on rakendatud, on osaliselt rakendatud, ei
ole rakendatud, ei saa rakendada, ei rakendata*
-
Mrkused meetmete kohtaJuhul kui andmekogu pidaja on otsustanud
mnda turvameedet mitte rakendada s.t. eelmises punktis nimetatud
staatus ei rakenda, siis audiitor hindab selle turvameetme
mitterakendamise phjenduse piisavust ning selle mitterakendamisest
tulenevaid riske ja annab seejrel oma hinnangu, kas turvameetme
mitterakendamine on phjendatudIga osaliselt rakendatud turvameetme
jrgi kirjutab audiitor puuduse(d), mis osas on turvameede
rakendamataISKE auditi lppraporti lisadesse tuleb panna auditi
meeskonna poolt ISKE auditi kigus loodavad muud dokumendid ja/vi
kogutud asitendid nt. testimiste tulemused, vaatluste tulemused,
intervjuude kokkuvtted jmt*
-
Auditi jrgsed tegevusedVastutav ttleja on kohustatud vimalikult
kiiresti rakendama auditi lppraportis mrgitud krge riskiastmega
meetmed ja lejnud rakendamata meetmed rakendama mistliku aja
jooksulKrge riskiastmega meetmete rakendamise kohta tuleb tellida
koheselt peale nende rakendamist jrelauditJrelauditi kigus
auditeeritakse ainult nende turvameetmete rakendamist, mille kohta
tehti krge riskiastmega mrkus(i)he kuu jooksul prast auditi
teostamist mrgib andmekogu vastutav ttleja riigi infossteemi
halduse infossteemi ISKE auditi tulemuse*
-
Auditi thtajad 11. Turvameetmete ssteemi rakendamise
auditeerimise thtajad riigi infossteemi kuuluvate riigi andmekogude
pidamisel (1) Andmekogu vastutav ttleja, kelle andmekogu kuulub
turbeastmesseH, on kohustatud esmakordse turvameetmete ssteemi
rakendamise auditeerimise lbi viima hiljemalt 1.mrtsiks 2010.a. (2)
Andmekogu vastutav ttleja, kelle andmekogu kuulub turbeastmesseM,
on kohustatud esmakordse turvameetmete ssteemi rakendamise
auditeerimise lbi viima hiljemalt 1.detsembriks 2010.a. (3)
Andmekogu vastutav ttleja, kelle andmekogu kuulub turbeastmesseL,
on kohustatud esmakordse turvameetmete ssteemi rakendamise
auditeerimise lbi viima hiljemalt 1.mrtsiks 2011.a.*
-
ISKE auditi hindamiskriteeriumidVastavus
regulatsioonideleVastavus ISKE raamistikuleISKE raamistiku
korrektne rakendamineAsutuse infossteemide turvalisus *
-
Milleks audit?Kuna Vabariigi Valitsuse 20.detsembri 2007.a mrus
nr252 "Infossteemide turvameetmete ssteem" nuab auditit?Saada
selgust ssteemide infoturbe tegelikus tasemes?Edukate premeerimine,
sdlaste selgitamine?Selgitada ISKE rakendamise kvaliteet?*
-
Millal audit?Olulised asjad rakendatud Kui thtajad nuavad:
rakendatud vi reaalne plaan olemas Ettevalmistused: ISKE
rakendamine on dokumenteeritud ja jlgitavAudit ei asenda ISKE
rakendamist!*
-
Philised teemad (+ISKE td)ISKE auditi phimttedInfovarade
inventuuri nuetele vastavuse kontroll (1) Turvaklasside ja
turbeastmete mramise kontroll (2-5) Rakendamisele kuuluvate
turvameetmete valimise kontroll (6-8) Turvameetmete rakendamise
kontroll (9-10). Auditi jreldus, koolituse kokkuvte.+
Juhtumianalsid, arutelud, ksimused, nited, ISKE auditi ja hindamise
probleemid. *
-
Philised osapooledAudiitorISKE rakendamisega seotud
osapooledISKE koordinaator asutuses Asutuse IT eest
vastutajaJuhtkonna esindaja(Infoturbe spetsialist)*
-
Valdkond: varad ja infovarad Vara - objekt, mis omab
organisatsiooni jaoks vrtust: andmed, tarkvara, arvutitkoht,
arvutivrk, server, inimene, ruum, immateriaalne vara (nt.
mainevrtus) jmtVara eriliik on infovara IT-ssteemidega seonduv
vara: andmed, andmebaasid, rakendustarkvara, ssteemitarkvara,
arvutid, serverid, arvutivrk, marsruuterid, kommutaatorid,
andmekandjad jmtInfovarasid hoitakse hoonetes, ruumides jne, mis
ldjuhul ise ei ole infovarad*
-
IT ssteemide ja rakenduste inventuur Ettevalmistav t - loob
lhteandmed infossteemide turvaanalsiks ja selle dokumenteerimiseks
Dokumenteeritakse IT-ssteemid, arvutivrgud, IT-rakendused,
andmesideaparatuur, arvutid, hiskasutatavad vlisseadmed,
autonoomsed infovarad ja muud asutuse infotga seonduv Iga objekti
kohta: identifikaator, nimetus ja tp, samuti muud tunnusandmed
vastavalt vajadusele (niteks otstarve, andmete liik,
operatsioonissteem jne)Spetsifikatsioonid peavad sisaldama
turvaklassi, turbeastme ja tpmoodulite thiste lahtreid, mis
tidetakse hiljem*
-
Inventuuri ja spetsifitseerimise detailsus Detailsus sltub
asutuse vajadustestDetailsuse aste peaks vimaldama ISKE
rakendamistEi tohiks tekitada asutusele asjatut aja- ja
tkuluVimalusiSpetsifitseerida sellise detailsusega, nagu seda on
vaja ISKE rakendamiseks moodulite mramiseks, ISKE rakendamise tde
planeerimiseks ja titjate kaasamiseks jneSpetsifitseerida sellise
detailsusega, nagu on vaja IT keskkonna haldamiseks ja/vi ssteemide
konfiguratsioonihalduseksJlgida ISKE rakendusjuhendis stestatud
nudeid*
-
Hindamiskriteeriumid: millal vime lugeda korrektselt
tehtuks?Infovarade inventuur on tehtud ja dokumenteeritudISKE
rakendamise seisukohast olulised varad on korrektselt arvesse
vetudInventuur toetab ISKE rakendamise kiki edasisi tegevusiISKE
rakendusjuhendi nuded on tidetud*
-
Nited ja aruteluMaavalitsuse pilootprojekt?KOV
pilootprojekt?Arvutid rhmitatult vaid allksuste kaupa? Vaid
platvormide kaupa?Kuulajate nited*
-
Philised teemad (+ISKE td)ISKE auditi phimttedInfovarade
inventuuri nuetele vastavuse kontroll (1) Turvaklasside ja
turbeastmete mramise kontroll (2-5) Rakendamisele kuuluvate
turvameetmete valimise kontroll (6-8) Turvameetmete rakendamise
kontroll (9-10). Auditi jreldus, koolituse kokkuvte.+
Juhtumianalsid, arutelud, ksimused, nited, ISKE auditi ja hindamise
probleemid. *
-
Philised osapooledAudiitorISKE rakendamisega seotud
osapooledAndmete omanikISKE koordinaator asutuses Infoturbe
spetsialistAsutuse IT eest vastutajaJuhtkonna esindaja*
-
Valdkond: turvaklasside mramise 4-tasemeline skaalaISKE phineb
kolmel turvaeesmrgil (kideldavus, terviklus, konfidentsiaalsus) ja
neljapallilisel skaalal (0-3)Lisaks hindamisskaalale rakendatakse
lisakriteeriume (seadustest, talitlusprotsessidest ja tagajrgede
kaalukusest tulenevad kriteeriumid)Turvaosaklassi this:
turvaeesmrgi this + turvataseme vrtusAndmete turvaklass on kolme
turvaosaklassi konkreetne kombinatsioon. Nende kikvimalike
kombinatsioonide arv on 444, seega on erinevaid turvaklasse
64Andmete turvaklassi this moodustatakse osaklasside thistest nende
jrjestuses K-T-S, nt K2T3S1*
-
Turbeastme mramine turvaklassi jrgi Tabel nutava turbeastme
(L/M/H) mramiseks turvaklassi jrgi, vt jaotis 3.1*
-
TurbeastmedTavaliselt on asutuses kasutusel turvanuete taseme
poolest ksteisest erinevaid ssteeme - rakendada vastavalt erineva
tugevusega turvameetmestikke ISKE pakub kolme turbeastet: madalat
(L), keskmist (M) ja krget (H). Meetmestik on ehitatud kihilisena,
nii et keskmine aste saadakse teatud meetmete lisamise teel madala
astme omadele ja krge aste saadakse teatud meetmete lisamisel
keskmise astme omadele*
-
Hindamiskriteeriumid: millal vime lugeda korrektselt
tehtuks?Turvaosaklassid, turvaklassid ja turbeastmed on mratletud
ja dokumenteeritudMratlused on korrektsed ja/ vi
piisavadTurvaosaklassid, turvaklassid ja turbeastmed on korrektselt
mratletud?Turvaosaklassid, turvaklassid ja turbeastmed on mratletud
ISKE rakendamiseks piisava tpsusega?ISKE rakendusjuhendi nuded on
tidetudTurvaklassid juhtkonna poolt kinnitatud? Rak-juhend lk
15*
-
Nited ja aruteluMaavalitsuse pilootprojekt?KOV
pilootprojekt?RIHA andmed
Kuulajate nited*
-
Philised teemad (+ISKE td)ISKE auditi phimttedInfovarade
inventuuri nuetele vastavuse kontroll (1) Turvaklasside ja
turbeastmete mramise kontroll (2-5) Rakendamisele kuuluvate
turvameetmete valimise kontroll (6-8) Turvameetmete rakendamise
kontroll (9-10). Auditi jreldus, koolituse kokkuvte.+
Juhtumianalsid, arutelud, ksimused, nited, ISKE auditi ja hindamise
probleemid. *
-
Turvameetmete valimise kontroll: philised osapooled AudiitorISKE
rakendamisega seotud osapooledInfoturbe spetsialistAsutuse IT eest
vastutajaJuhtkonna esindaja(ISKE koordinaator asutuses)
*
-
Valdkond: ISKE moodulite rhmad B1 ldkomponendid ldjuhul hised
kigi IT-varade jaoksB2 Infrastruktuur samuti hised suurte IT varade
gruppide puhulB3 IT-ssteemid vimaldavad grupeerimist
tehnoloogilisel aluselB4 Vrgud B5 IT-rakendused*
-
Rnded ja muud ohud (ISKE klassifikatsioon)
G1 vramatu judG2 organisatsioonilised puudusedG3 inimveadG4
tehnilised rikked ja defektidG5 rndedG6 andmekaitseohud*
-
Hindamiskriteeriumid: millal vime lugeda korrektselt
tehtuks?Moodulid on korrektselt valitud vastavalt varadeleMeetmed
on korrektselt valitud vastavalt moodulitele, turbeastmele ja
vajadusteleISKE rakendusjuhendi nuded on tidetud*
-
Nited ja aruteluMaavalitsuse pilootprojekt?KOV
pilootprojekt?Meede ei ole asjakohane, sest on tlkimata ISKE
rakendusjuhendis?Meede ei ole asjakohane, sest pole kasutuses?M
5.121 Turvaline side mobiilseadme ja tkoha vahelM 2.192
Infoturbepoliitika koostamineMeede ei ole rakendatud, sest on
dokumenteerimata?50% meetmetest ei ole asjakohased?Kuulajate
nited*
-
Philised teemad (+ISKE td)ISKE auditi phimttedInfovarade
inventuuri nuetele vastavuse kontroll (1) Turvaklasside ja
turbeastmete mramise kontroll (2-5) Rakendamisele kuuluvate
turvameetmete valimise kontroll (6-8) Turvameetmete rakendamise
kontroll / jreldusedlevaadeB 1.0 Infoturbe haldusTurvameetmete
rakendamise kontroll: muud meetmedAuditi jreldus*
-
Peamised osapooled AudiitorISKE rakendamisega seotud
osapooledISKE koordinaator asutuses Infoturbe spetsialistAsutuse IT
eest vastutajaAndmete omanikJuhtkonna esindajaISKE rakendaja
(niteks asutuste struktuuriksuste esindaja)*
-
Valdkond: turvameetmed - ISKE rhmad ja nited M1 infrastruktuur
(nt Aknad ja uksed suletud)M2 organisatsioon (nt Ssteemi ja vrgu
psuigused)M3 personal (nt Vljape enne programmi kasutamist)M4
riistvara ja tarkvara (nt Perioodiline viiruseotsing)M5 side (nt
Tarbetute liinide krvaldamine vi lhistamine ja maandamine)M6
avariijrgne taaste (nt IT-rakenduste vimsusnuete
dokumenteerimine)HG: Kohustuslikud ldmeetmedHK: Teabe kideldavuse
turvameetmedHT: Teabe tervikluse turvameetmedHS: Teabe
konfidentsiaalsuse turvameetmed *
-
Turvameetmete rakendamise kontroll: B1.0. Infoturbe haldus *2.
taseme pealkirija sisukord(pilt?)
-
Rakendamise kontrolli ldskeemValik meetmetestIga valitud meetme
puhul:Hinnang korrektne?Vaja + tielikult rakendatud?Vaja +
mittetielikult / rakendamata:Rakendusjuhendis
kirjeldatud?Abistavates standardites kirjeldatud? ISKE RJ lk 9,10:
EVS-ISO/IEC 27001, EVS-ISO/IEC TR 13335 (27005), EVS-ISO/IEC 17799
(27002)Kirjeldatud vaid meetme pealkirja tasemel: BSI materjalid,
standardid, head tavad jm
*
-
Turbehalduse meetmete loetelu koostamine Turbehaldus on lejnud
tegevuste aluseksInfoturbe spetsialist koostab krgeimast mratud
turbeastmest lhtudes turbehalduse meetmete loetelu, leides need
meetmed mooduli B1.0 turvaspetsifikatsiooni phjalNiteks,
turvaklassi K3T2S1 puhul valitakse mooduli B1.0 L- ja M-taseme
meetmed, kuna HG- ja HK-meetmeid moodulis ei oleValitud meetmetest
kaks (M2.338z ja M2.339z) on tingimuslikud, neid vib rakendada
sltuvalt konkreetsetest tingimustest ja vajadustest*
-
B1.0 Meetmed (L,M)Planeerimine ja kontseptsioon-M2.192 (L)
Infoturbepoliitika koostamine-M2.335 (L) Infoturbe eesmrkide ja
strateegia kindlaks mramine-M2.336 (M) Koguvastutus infoturbe eest
juhtkonna tasemelRakendamine-M2.193 (L) Infoturbe sobiva
organisatsioonilise struktuuri rajamine-M2.195 (L) Infoturbe
kontseptsiooni koostamine-M2.197 (L) Infoturbealase koolituse
kontseptsiooni koostamine*
-
B1.0 Meetmed (L,M - jtkub)Rakendamine-M2.337 (M)Infoturbe
integreerimine leorganisatsioonilistesse tegevustesse ja
protsessidesse-M2.338z (M) Sihtrhmakohase infoturbepoliitika
koostamine-M2.339z (M) Ressursside konoomne kasutamine
infoturbeksKasutamine-M2.199 (L) Infoturbe kigushoidmine-M2.200 (L)
Infoturbe aruanded juhtkonnale-M2.201 (L) Infoturbe protsessi
dokumenteerimine-M2.340 (L) iguslike raamtingimuste jrgimine-M2.380
(M) Erandite koosklastamine*
-
M 2.192. Infoturbe poliitika koostamineJuhtkonna toetus
infoturbele ja infoturbe alusphimttedPeab olema lhike ja selge,
sisu vhemalt:IT ja infoturbe vrtus organisatsioonileInfoturbe
sihid, seos risihtide ja organisatsiooni eesmrkidegaInfoturbe
strateegia phielemendidKinnitus, et juhtkond rakendab infoturbe
poliitikat, jlgimise phimtted, kigi ttajate kohustusInfoturbe
protsessi organisatsiooniline struktuur*
-
Jreldus infoturbe poliitika kohta (1)Vastab meetmele M2.192 (BSI
versioon) - korrasOn olemas, laiem kui M2.192 (BSI versioon) -
korrasOn olemas, ei sisalda kike M2.192 (BSI versioon) poolt nutut
Kui nutud teemad on rakendusjuhendi teistes osades lahti
kirjutatud, kas nad on asutuse dokumentatsioonis mujal
kajastatud?Nide. Moodulist B 1.13: Juhtkonna toetus on vajalik kogu
infoturbeprotsessiks. Eelduseks on, et juhtkond oleks infoturbe
vajalikkusest piisavalt teadlik.Nide: M2.336*
-
Saab kasutada M 2.192 puhul: M 2.336 Koguvastutus infoturbe eest
juhtkonna tasemel Juhtkond peab endale vtma ldvastutuse infoturbe
eest, pidades silmas jrgmist.Infoturbealgatus peab lhtuma
juhtkonnalt.Infoturve tuleb llitada kigisse protsessidesse ja
projektidesse.Mrata kohustused ning hoolitseda kvalifikatsiooni ja
ressursside eest.Juhtkond peab aktiivselt suunama ja jlgima
infoturbeprotsesse.Tuleb seada mdetavad eesmrgid.Tuleb anda eeskuju
turvaeeskirjade jrgimisega.Turvet tuleb pidevalt tiustada.Ttajaid
motiveerida, teadvustada, koolitada, informeerida.*
-
Jreldus infoturbe poliitika kohta (2)Infoturbe poliitika on
olemas, ei sisalda kike M2.192 (BSI versioon) poolt nutut Kui nutud
teemad ei ole rakendusjuhendi teistes osades lahti kirjutatud, kas
nad vivad jrelduda toetavatest dokumentidest?Nide. ISO/IEC 17799
(viide ISKE lk 10)Jah kas on kajastatud asutuse infoturbe
poliitikas vi muudes regulatsioonides?*
-
Saab kasutada M 2.192 puhul: ISO/IEC 17799 (ISO/ IEC 27002):
infoturbe poliitikaInfoturbepoliitika dokument peaks deklareerima
juhtkonna phendumust ning esitama organisatsiooni lhenemisviisi
infoturbe haldusele. Peaks sisaldama:Infoturbe mratlus, ta ldised
eesmrgid ja ksitlusala ning turbe thtsus teabe hiskasutust
vimaldava mehhanisminaJuhtkonna seisukoht infoturbe eesmrkide ja
phimtete toetuseks, koosklas tegevuse strateegia ja
eesmrkidegaRaamstruktuur juhtimise eesmrkide ja meetmete
seadmiseks, sealhulgas riski kaalutlemise ja riskihalduse
struktuurOrganisatsioonile eriti thtsate turvapoliitikate,
-phimtete ja -standardite ning vastavusnuete lhike seletus jne*
-
Infoturbe poliitika, strateegia, kontseptsioon Infoturbe
kontseptsioon - ISKE keskne misteISKE spetsiifiline: infoturbe
poliitika + strateegia + kontseptsiooninfoturbe standardites
enamasti infoturbe poliitikaMned nendest vib hendada. Lhidalt (BSI
tlgendus):Infoturbe poliitika esitab juhtkonna toetuse infoturbele
ja infoturbe alusphimttedInfoturbe strateegia - infoturbe sihid ja
sihtide ldised saavutamise teed. Viks olla infoturbe poliitika
osaInfoturbe kontseptsioon stestab, kuidas strateegiat ellu
viiakse*
-
M2.335 Infoturbe eesmrkide ja strateegia kehtestamineEesti
keeles pealkirja tasemelM2.201 (verifitseerimata): Krgeim juhatus
peab kindlaks mrama ja avaldama ametiasutuse vi ettevtte infoturbe
poliitika, mis sisaldab muuhulgas infoturbe eesmrke ja
infoturbestrateegiatAbistavates standardites kirjeldamataInglise /
saksa keelesMrab infoturbe sihid ja sihtide ldised saavutamise teed
(infoturbe eesmrkide saavutamise teed)Strateegia sisu ja detailsus
on otseses sltuvuses organisatsiooni spetsiifikast (phitegevuse
sltuvus ITst)Infoturbe eesmrgid ja strateegia viksid sisalduda
infoturbe poliitika dokumendis*
-
Jreldus M2.335 rakendamise kohta Asutuse infoturbe eesmrgid ja
strateegia on snastatud, ei sisalda kike M2.335 (BSI versioon)
poolt nutut Nutud teemad ei ole rakendusjuhendi teistes osades
lahti kirjutatud ja ei jreldu toetavatest dokumentidest=> BSI
materjalid, standardid, head tavad jm
*
-
M 2.336 Koguvastutus infoturbe eest juhtkonna tasemel Juhtkond
peab endale vtma ldvastutuse infoturbe eest, pidades silmas
jrgmist.Infoturbealgatus peab lhtuma juhtkonnalt.Infoturve tuleb
llitada kigisse protsessidesse ja projektidesse.Mrata kohustused
ning hoolitseda kvalifikatsiooni ja ressursside eest.Juhtkond peab
aktiivselt suunama ja jlgima infoturbeprotsesse.Tuleb seada
mdetavad eesmrgid.Tuleb anda eeskuju turvaeeskirjade
jrgimisega.Turvet tuleb pidevalt tiustada.Ttajaid tuleb
motiveerida, teadvustada, koolitada ja informeerida.Piisab auditi
otsuseks?*
-
M2.193 Infoturbe sobiva organisatsioonilise struktuuri
rajamineMeetmed_M2_82_2_298_verifitseerimata_12022009.docIT-turvaosakonna
planeerimine ja juurutamineIT turvalisuse eest vastutavate ttajate
funktsioonIT-turvalisuse eest vastutavate ttajate
selekteerimineIT-turvaosakonna meeskonna loomineIT-turvaosakonna
meeskonna ttajate valimineVastutava juhi ametissenimetamineIT-turbe
organisatoorse poole kontrollimineIT-turvaosakonna t kohandamine ja
thustamineDokumenteeriminePiisab auditi otsuseks?
*
-
M2.195 Infoturbe kontseptsiooni koostamineOrganisatsiooni
infoturbe kontseptsioon Kontseptsioon = Krgtaseme spetsifikatsioon
ISKE juurutamise eesmrkidele ja protsessilePhineb ISKE rakendamise
protsessilSellest jrelduvad teised infoturbe
alamkontseptsioonid
BSI kasutab tihti sna concept", viks ka "poliitika", "plaan"
vms*
-
Organisatsiooni infoturbe kontseptsiooni sisuVajaliku
turbetaseme mraminePraeguse infoturbe olukorra
kaardistamineEtalonmeetmete valimineRiskianals ja vajadusel
lisameetmete valimineKigi meetmete hendamine ja koostoime
hindamineTurbekulude hindamine ja plaanimineJkriski hindamine ja
kinnitaminePiisab auditi otsuseks?Vt ka
Meetmed_M2_82_2_298_verifitseerimata_12022009.doc*
-
M2.197 Infoturbealase koolituse kontseptsiooni koostamineKigile
IT kasutajaile:IT kasutamise ohud ja riskid infoturbe phiterminid
ja -parameetridorganisatsiooni infoturbe poliitika ja sellest
iseendale tulenevturberollid ja teatamiskanalid
organisatsiooniskuidas anda oma panus infoturbessekuidas ra tunda
turvaintsidenti ja kuidas sellest teatadakuidas saada teadmisi ja
teavet infoturbe alal+ Lisateemasid sihtgruppidele: turvaline
elektrooniline suhtlus, konkreetsete IT-ssteemide ja rakenduste
turvaaspektid, turvaline tarkvaraarendus Piisab auditi otsuseks? Vt
ka Meetmed_M2_82_2_298_verifitseerimata_12022009.doc*
-
M2.337 Infoturbe integreerimine leorganisatsioonilistesse
tegevustesse ja protsessidesseMratleda kohustused ja igused,
kohustuste lahusus, tegevusalade esindajadTeavituskanalid,
teavitamise kordMrata vastutus tprotsesside, teabe, IT rakenduste,
IT-ssteemide, hoonete ja ruumide eestKaasata kik ttajad
turbeprotsessiLlitada turvaaspektid kigisse tprotsessidesseMrata
psuigusedPlaanida ja hallata muudatusiHallata objektide ja
protsesside konfiguratsiooniPiisab auditi otsuseks?*
-
M2.199 Infoturbe kigushoidmineIT-kontseptsiooni jrgimine
(IT-audit)Infoturbe kontseptsiooni pidev tiustamine (tielikkuse vi
uuendamise kontroll)IT-turvameetmete omandamine ja
efektiivsusKontrolli teostamineKorrektuurmeetmedPiisab auditi
otsuseks?Vt ka
Meetmed_M2_82_2_298_verifitseerimata_12022009.doc*
-
M2.200 Infoturbe aruanded juhtkonnaleRegulaarsed aruanded
juhtkonnaleParandusettepanekudViimase infoturbele antud hinnangu
jrelseireVajadusephised infoturbearuandedlhike ja arusaadavOtsuse
projektKoost juhatusega Infoturbealane
hinnangDokumentatsioonKonfidentsiaalsusPiisab auditi otsuseks?Vt ka
Meetmed_M2_82_2_298_verifitseerimata_12022009.doc*
-
M2.201 Infoturbe protsessi dokumenteerimine (ISKE
rakendusjuhend)Miinimumdokumentatsioon:infoturbe poliitika,
infoturbe kontseptsiooninfovarade spetsifikatsioonid ja
plaanidturvameetmete evituse plaanidIT-vahendite ige ja turvalise
kasutamise protseduuridlbivaatuste dokumentatsioon
(kontroll-loetelud, ksitlusmrkmed jms)infoturbepersonali
koosolekute protokollid ja otsusedinfoturbe aruanded
juhtkonnaleinfoturbekoolituse plaanidaruanded turvaintsidentide
kohtaPiisab auditi otsuseks?Vt ka
Meetmed_M2_82_2_298_verifitseerimata_12022009.doc*
-
M2.201 Infoturbe protsessi dokumenteerimine (lisaks
verifitseerimata meetmetes)Valdkonna- ja ssteemispetsiifilised
turvasuunisedTetapid, organisatsioonilised eeskirjad ja tehnilised
IT-turvameetmedTehniline dokumentatsioon: nt installatsioonide ja
konfiguratsioonide juhendid, juhendid infoturbe uuesti kivitamiseks
prast turvaintsidenti, testimise ja kikulaskmise meetodite
dokumendid ja juhised rikete ja turvaintsidentide korral
tegutsemiseksJuhised IT-kasutajale: kehtivad turvasuunised,
levaatlikud infolehed IT-ssteemide turvalise kasutamise ja
turvaintsidentide kohta, IT-ssteemide ja rakenduste ksiraamatud ja
juhendid.Vt ka
Meetmed_M2_82_2_298_verifitseerimata_12022009.docKumb vtta
aluseks?*
-
M2.340 iguslike raamtingimuste jrgimineISKE materjalides vaid
pealkiriPris hea levaade: ISO/IEC 17799 (ISO/ IEC 27002)Sama
lhidalt: ISO/ IEC 27001*
-
Saab kasutada M 2.340 puhul: ISO/IEC 17799 (ISO/ IEC 27002)15.1
Vastavus iguslikele nuetele Kohaldatavate igusaktide
vljaselgitamineIntellektuaalse omandi igusedOrganisatsiooni
andmestike kaitseAndmekaitse ja isikuteabe
privaatsusInfottlusvahendite vrkasutuse vltimineKrptograafiliste
meetmete reguleerimine Piisab auditi otsuseks?*
-
M2.380 Erandite koosklastamineksikutel juhtudel. Erandid
sagenevad => muuta juhendit?Erandid koosklastada, hinnata riske,
luua dokumenteeritud protsessPhjendus, miks on vajalik
turvajuhendist krvale kalduda.Erandi olemus ja selle mjud, lisaks
ka riski hindamine.Erandi rakendamise aegErandi taotleja ja
koosklastajaErandi thtajadKrvalekaldest tuleb informeerida kiki
asjassepuutuvaid ttajaid. Piisab auditi otsuseks?*
-
Nited ja aruteluMaavalitsuse pilootprojekt?KOV
pilootprojekt?Kuidas hinnata rakendamist, kui ISKE rakendusjuhendis
on tlgitud pealkiri?Kuidas hinnata rakendamist, kui rakendamine on
dokumenteerimata?Kuulajate nited*
-
Turvameetmete rakendamise kontroll: muud meetmed *2. taseme
pealkirija sisukord(pilt?)
-
Kik moodulid Kokku le 1200 meetme (kordusteta)Osa jb vlja,
reaalne on 600900 meedetKui kogu auditi maht 50120
tundi:Materjalide / olukorraga tutvumineEelnevad auditi
tegevusedTurvameetmete rakendamise kontroll X h?Jreldused ja
soovitusedAuditi aruande koostamineAruande tutvustamine=>
Rakendada valimikontrolli*
-
ISACA suunis G 10. Valimikontroll auditeerimisel2.1.3 Auditi
valimkontroll mratletakse kui auditiprotseduuride rakendamine
vhemale kui 100 protsendile ldkogumist, nii et IS audiitoril oleks
vimalik hinnata auditi asitendeid valitud objektide mingi omaduse
jrgi ja et see kujundaks vi aitaks kujundada jreldust kogu ldkogumi
kohta.2.3.3 Et valim oleks ldkogumi suhtes representatiivne,
peaksid kigil valimiksustel ldkogumis olema vrdne vi teadaolev
valimisse sattumise tenosus, st tuleks kasutada statistilisi
valimivtu meetodeid.2.3.1 Statistilised valimivtu meetodid:juhuslik
valimivtt tagab, et kigil valimiksuste kombinatsioonidel ldkogumis
on hesugune vimalus sattuda valimisse;sstemaatiline valimivtt
seisneb valimiksuste vtus mingi ettemratud vahemiku jrel, kusjuures
esimese vahemiku algus on juhuslik. *
-
ISACA suunis G 10. Valimikontroll auditeerimisel (2)2.2.6
Kihitamine. Valimi thusa ja toimiva kavandamise soodustamiseks vib
olla kasu kihitamisest. Kihitamine on protsess, millega ldkogum
jagatakse hesuguste selgelt mratletud omadustega alamkogumiteks,
nii et iga valimiksus saab kuuluda ainult hte kihti.2.2.7 Valimi
maht. Valimi mahu mramisel peaks IS audiitor arvestama
valimiriski,aktsepteeritavat vea suurust ja oodatavate vigade
ulatust.2.2.8 Valimirisk. Valimirisk tekib vimalusest, et IS
audiitori jreldused vivad erineda jreldustest, milleni jutaks sama
auditiprotseduuri rakendamisel kogu ldkogumile.*
-
Meetmete valik auditiksISKE auditi juhendB1.0Juhuslik valim a 2
moodulit gruppidest B1B5Prioriteetsuse alusel a 1 moodul gruppidest
B1B5Tiendavalt krge riskiastmega turvameetmed*
-
ldkomponentide moodulid B 1.x (x>0)B1.1 OrganisatsioonB1.2
PersonalB1.3 Valmisolek hdaolukorraksB1.4
AndmevarunduspoliitikaB1.5 AndmekaitseB1.6Viirustrje
kontseptsioonB1.7 KrptokontseptsioonB1.8 Turvaintsidentide
ksitlusB1.9 Riistvara ja tarkvara haldusB1.10 TptarkvaraB1.11
VljasttellimineB1.12 ArhiveerimineB1.13 Infoturbe teadlikkus ja
koolitusB 1.14 Turvapaikade ja muudatuste haldus*
-
Nited teiste mooduligruppide / meetmete kohtaldkomponendid
Infrastruktuur IT-ssteemid VrgudRakendused *
-
Piki meetmeid Piki meetmeid: nudmised? Olukord? Hinnang? Kui
sgavale minna? Pikk meetme tekst, palju nudeid: millal vastab?
Millal mrkustega? Millal ei vasta?Valida juhuslik meede,
auditeerida?Nide osaliselt rakendatud meetmest, auditeerida?*
-
Hindamiskriteeriumid: millal vime lugeda korrektselt
tehtuks?Meetmed on korrektselt rakendatud vastavalt plaanileISKE
rakendusjuhendi nuded on tidetudLisariskid hinnatud*
-
Hindamiskriteeriumid: millal vime lugeda korrektselt
tehtuks?Moodulid on korrektselt valitud vastavalt varadeleMeetmed
on korrektselt valitud vastavalt moodulitele ja turbeastmeleMeetmed
on korrektselt rakendatud vastavalt plaanileISKE rakendusjuhendi
nuded on tidetudLisariskid on hinnatud
*
-
Nited ja aruteluMaavalitsuse pilootprojekt?KOV
pilootprojekt?Meede ei ole asjakohane, sest on tlkimata ISKE
rakendusjuhendis?Meede ei ole rakendatud, sest on
dokumenteerimata?50% meetmetest ei ole asjakohased?Kuulajate
nited*
-
Auditi jreldus *2. taseme pealkirija sisukord(pilt?)
-
ISKE triista projekt: variandidEi kuulu rakendamisele.Kuulub
rakendamisele, rakendamist ei ole alustatud.Rakendamist on
alustatud, rakendatud kuni 25%.Rakendatud le 25%.Rakendatud le
50%.Rakendatud le75%.Rakendatud 100%, auditeerimata =>
Rakendatud, auditeerimata.Rakendatud, auditeeritud, ei lbinud
auditit.Rakendatud, auditeeritud mrkustega vi
soovitustega.Rakendatud, auditeeritud mrkusteta ja
soovitusteta.*
-
RIHA ja audit: praegu ja edasiRIHA: praegu sama. Olemasolevaid
variante Rakendatud, auditeerimata (Tervise IS, H)Rakendatud le 50%
(Isikut tendavate, H)Rakendatud le 25% (Mrgistusteabe, H), Kuulub
rakendamisele, rakendamist ei ole alustatud (Asukohaphise
teavitusteenuse infrastruktuur, M)Auditi tulemuste mju*
-
Probleemide parandamine auditi ajal?Lubatav?Auditi
jreldusotsus?Riskid?Vt ISACA standardid, suunised ja
protseduurid*
-
ISACA suunis G 20. Aruandlus4.2 Jrgnevad sndmused4.2.1 Prast
ksitlusobjekti kontrollimise hetke vi perioodi, kuid enne IS
audiitori aruande thtaega vivad mnikord leida aset sndmused, millel
on kaalukas mju ksitlusobjektile ning mis seetttu vajavad
korrigeerimist vi avaldamist ksitlusobjekti esituses vi kinnituses.
Selliseid juhtumeid nimetatakse jrgnevateks sndmusteks.
Kinnituslesande titmisel peaks IS audiitor arvestama teavet talle
teatavaks saanud jrgnevate sndmuste kohta. IS audiitor ei ole aga
kohustatud avastama jrgnevaid sndmusi.4.2.2 IS audiitor peaks
ksitlema juhtkonda selle kohta, kas juhtkonnale on teada mingid
sellised jrgnevad sndmused ajavahemikul enne IS audiitori aruande
thtaega, millel viks olla kaalukas mju ksitlusobjektile vi
kinnitusele.*
-
ISACA suunis G 35. Jreltoimingud1.2.3 Detailne juhtimiseesmrk
S4.8 ("Jreltoimingud", COBIT): "Auditi kommentaaride lahendamine jb
juhtkonna hooleks. Audiitorid peaksid taotlema asjakohast teavet
eelmiste leidude, jrelduste ja soovituste kohta ning hindama seda,
et otsustada, kas on igeaegselt rakendatud sobivaid meetmeid.2.2.1
IS audiitori ja auditeeritava organisatsiooni vaheliste arutamiste
he osana peaks IS audiitor vajadusel saavutama kokkuleppe
auditilesande tulemuste kohta ja tegutsemist tiustavate meetmete
plaani kohta.2.2.5 Mnede lbivaatuste, niteks rakendusssteemide
teostuseelsete lbivaatuste ajal vidakse leidudest teatada projekti
trhmale ja/vi juhtkonnale pidevalt, sageli probleemiteadete kujul.
Sellistel juhtudel tuleks tuleks nende probleemide puhul
rakendatavaid meetmeid pidevalt seirata. Kui probleemiteate
soovitused on ellu viidud, vib lpparuandesse selle soovituse juurde
mrkida "lpetatud" vi "teostatud". "Lpetatud" vi "teostatud"
soovitustest tuleks teatada.*
-
ISACA suunis G 35. Jreltoimingud2.4.2 Suureriskilisi probleeme
puudutavate kokkulepitud tulemuste jreltoimingud tuleks sooritada
peatselt prast meetmete thtpeva ja neid tulemusi vib seirata
progresseeruvalt.2.4.3 Kuna jreltoimingud on IS auditi protsessi
lahutamatu osa, tuleks nad ajakavastada koos muude lbivaatuse
sooritamiseks vajalike sammudega. Spetsiifilisi jreltoiminguid ja
nende ajastust vivad mjutada lbivaatuse tulemused ja need tuleks
mrata ala juhtkonnaga nu pidades.*
-
Auditi jreldusotsusRakendatud, auditeeritud mrkusteta ja
soovitustetaVimalik? Millal muutub mrkustega-ks?Rakendatud,
auditeeritud mrkustega vi soovitustegaKui palju vib olla mrkusi ja
soovitusi? Millal mrkustega vi soovitustega => ei
lbinud?Rakendatud, auditeeritud, ei lbinud auditit*
-
Koolituse kokkuvteISKE, audit, ISKE auditi alusedAuditi
tegevusedInfovarade inventuuri nuetele vastavuse kontroll (1)
Turvaklasside ja turbeastmete mramise kontroll (2-5) Rakendamisele
kuuluvate turvameetmete valimise kontroll (6-8) Turvameetmete
rakendamise kontroll (9-10)Auditi jreldus+ Juhtumianalsid,
arutelud, ksimused, nited, ISKE auditi ja hindamise probleemid.
*
-
Tname!
Koolitus toimus Euroopa Liidu struktuurifondide programmi
Infohiskonna teadlikkuse tstmine raames, mida rahastab Euroopa
Regionaalarengu Fond*
*******Audit - Formal inspection and verification to check
whether a standard or set of guidelines is being followed, records
are accurate, or efficiency and effectiveness targets are being
met. Scope Note: An audit may be carried out by internal or
external groups.
Avaliku teabe seadus enne ja prast 2007Andmekogude seadus - kuni
2007.a. (kaasa arvatud) Isikuandmete kaitse seadusAutoriiguse
seadusKaristusseadustikInfohiskonna teenuse seadusMuud
infossteemidega seotud seadused - Riigisaladuse seadus,
Arhiiviseadus, Digitaalallkirja seadus jneKonkreetsete registrite
seadused jms nt Rahvastikuregistri seadusMaterjaleRiigi Teataja:
https://www.riigiteataja.ee/Teabeigus, registrid ja statistika
Riigi Teatajas:
https://www.riigiteataja.ee/ert/ert.jsp?link=jaotusyksuse-aktid&jaotusyksused=000081000056Infossteemidega
seotud seaduste levaade: http://www.riso.ee/et/node/13:Koosvime
dokumendid jm: http://www.riso.ee/wiki/PealehtSeadustest mitte vhem
olulised on infossteemidega seotud mrused, poliitikad jne.
Infohiskonna Arengukava 2013 (+Infopoliitika phialused aastateks
2004-2006)Vabariigi Valitsuse 12.augusti 2004.a mrus nr273
"Infossteemide turvameetmete ssteemi kehtestamine"Semantilise
koosvime raamistikVeebide koosvime raamistikInfoturbe koosvime
raamistik Andmekogude riikliku registri asutamineInfossteemide
andmevahetuskihi rakendamine. Vabariigi Valitsuse 19.detsembri
2003.a mrus nr331Klassifikaatorite ssteemi
kehtestamineAadressandmete ssteemi kehtestamineGeodeetilise ssteemi
kehtestamine Infossteemide turvameetmete ssteemi kehtestamineEesti
lairibastrateegia aastateks 2005-2007Registrite phimrusedTuleb
arvestada mitmesuguseid infoturbega seotud muid regulatsioone,
niteks siseministri mrust "Tuleohutuse ldnuded".Lisaks eelnevalt
toodud allikatele on kasu jrgmisest veebisaidist.Koosvime
dokumendid jm: http://www.riso.ee/wiki/Pealeht****************BSI
standardi 100-2 jaotise 4 phjal on IT varade modelleerimine
tpmoodulite baasil infoturbe kontseptsiooni loomise ja rakendamise
kolmas etapp. Etappi vib kirjeldada ka kui tpmoodulite valikut ja
mrkimist. Etapi idee on selles, et tekitada IT varade kirjeldus,
kasutades kirjeldades /modelleerides iga vara puhul tpmooduleid
vastavalt BSI / ISKE rakendusjuhendile. Et vltida asjatut
dubleerimist, koostatakse kirjeldused viiekihilisena vastavalt BSI
/ ISKE moodulirhnmadele:B1 ldkomponendid ldjuhul hised kigi
IT-varade jaoksB2 Infrastruktuur samuti hised suurte IT varade
gruppide puhulB3 IT-ssteemid vimaldavad grupeerimist
tehnoloogilisel aluselB4 Vrgud B5 IT-rakendusedArvutissteemide
rnded on laialt avalikustatud, kuid need on vaid ks liik ohtudest.
ISKE kataloogi G alamkataloogid loetlevad kuut tpi ohte:G1 vramatu
jud (nt personali vljalangemine, ike, vesi , raadiovrgu
vljalangemine)G2 organisatsioonilised puudused (nt reeglite
puudumine vi puudulikkus, reeglite puudulik tundmine, turvameetmete
ebapiisav jrelevalve , volitamatu ps ruumidesse)G3 inimvead (nt
seadme vi andmete hvitamine kogemata, koristajad jm vljastpoolt
ttajad, IT-ssteemi vr kasutamine, andmekandja kaotamine
saatmisel)G4 tehnilised rikked ja defektid (nt toitevrgu katkestus,
programmivigade ilmnemine, andmekadu andmekandja titumise tttu ,
mobiiltelefoni trge, vlise teenusetarnija ssteemide trge,
pihuarvutite puudulikud turvamehhanismid, ebapiisav pistikupesade
arv)G5 rnded (nt IT-seadmete vi -tarvikute manipuleerimine vi
hvitamine, volitamatu sisenemine hoonesse, kaughoolde portide
vrkasutus, sstemaatiline paroolide mistatamine, mobiilssteemi
vargus, viirused, teenusetkestus andmebaasissteemis, nuhkvara)G6
andmekaitseohud (nt puuduvad vi piisamatud iguslikud alused,
sihiprasuse rikkumine, teadmisvajaduse printsiibi rikkumine,
andmesaladuse rikkumine, asjassepuutuvate isikute iguste rikkumine,
puuduv vi piisamatu andmekaitse kontroll)****Meedet M2.192
"Infoturbe poliitika koostamine" on oluliselt muudetud vrreldes
2004.a. ingliskeelse versiooniga. Vastavalt meetmele M2.195 esitab
infoturbe poliitika juhtkonna toetuse infoturbele ja infoturbe
alusphimtted. Infoturbe poliitika olema lhike ja selge ning
sisaldama vhemalt jrgmist.IT ja infoturbe vrtus
organisatsioonileInfoturbe sihid ning nende seos risihtide ja
organisatsiooni eesmrkidegaInfoturbe strateegia
phielemendidKinnitus, et juhtkond rakendab infoturbe poliitikat,
rakendamise jlgimise phimtted, kigi ttajate kohustus arendada
infoturvet ning selle nuetest kinni pidadaInfoturbe protsessi
elluviimiseks vajalik organisatsiooniline struktuurMaterjale:M2.192
Infoturbe poliitika koostamine (viimane versioon) Organisatsiooni
infoturbe kontseptsioon on BSI / ISKE keskne miste. Samas on ta BSI
/ ISKE spetsiifiline - tavaliselt rgitakse selle asemel infoturbe
poliitikast, strateegiast ja teistest infoturbega seotud
dokumentidest. Niteks infoturbe standardid sisaldavad enamasti
infoturbe poliitika koostamise soovitusi. Otsingud "IT security
concept", "IT security policy" ja "IT security strategy" annavad
kuni kolm suurusjrku erinevaid tulemusi. BSI / ISKE rakendusjuhend
sisaldab ka infoturbe poliitika ja strateegiaga seotud meetmeid.
Poliitika, strateegia ja kontseptsioon vivad olla erinevad
dokumendid, kuid enamiku Eesti asutuste jaoks vib mned nendest
hendada. Et aru saada, kuidas seda teha, on allpool antud levaade
nende eesmrkidest ja sisust. Vga lhidalt:Infoturbe poliitika esitab
juhtkonna toetuse infoturbele ja infoturbe alusphimttedInfoturbe
strateegia mrab infoturbe sihid ja sihtide ldised saavutamise teed,
strateegia viks olla infoturbe poliitika osaInfoturbe kontseptsioon
stestab, kuidas strateegiat ellu viiakseMeede M2.335 "Infoturbe
eesmrkide ja strateegia kehtestamine" on lisatud peale 2004.a.
Vastavalt meetmele M2.335 mrab infoturbe strateegia infoturbe sihid
ja sihtide ldised saavutamise teed. Sihtide ja strateegia
arendamisest on phjalikumalt rgitud dokumendis "BSI Standard
100-2".Vastavalt standardi "BSI Standard 100-2" punktile 3.1.3
viksid infoturbe eesmrgid ja strateegia sisalduda infoturbe
poliitika dokumendis.BSI dokumendid rgivad strateegiaist vhem kui
teistest dokumentidest.Materjale:M2.335 Infoturbe eesmrkide ja
strateegia kehtestamine (viimane versioon) BSI Standard 100-2,
(http://www.bsi.bund.de/english/publications/bsi_standards/index.htm,
www.bsi.de/literat/bsi_standardOrganisatsiooni infoturbe
kontseptsioon on ISKE spetsiifiline miste. Tavaliselt rgitakse
infoturbe poliitikast ja teistest infoturbega seotud
dokumentidest.Infoturbe kontseptsioon annab krgtaseme
spetsifikatsiooni ISKE juurutamise eesmrkidele ja protsessile.
Sisuliselt on ta ISKE rakendusjuhendis toodud ISKE rakendamise
protsessi kokkuvte.Sellest jrelduvad teised (psuiguste, krpto- jm)
kontseptsioonid. ldiselt, BSI kasutab tihti sna "concept", viks ka
"poliitika", "plaan" vms.Meetme M2.195 phjal sisaldab infoturbe
kontseptsiooni koostamine jrgmisi tegevusi. Vajaliku turbetaseme
mraminePraeguse infoturbe olukorra kaardistamineEtalonmeetmete
valimineRiskianals ja vajadusel lisameetmete valimineKigi meetmete
hendamine ja koostoime hindamineTurbekulude hindamine ja
plaanimineJkriski hindamine ja kinnitamineKontseptsiooni sisu ja
struktuur jlgib ning dokumenteerib toodud tegevusi / etappe.
Sisuliselt tegu ISKE rakendus ja elushoidmisplaaniga heks vi
mitmeks aastaks.***
