Transcript Koolitusmaterjalid - Riigi Infosüsteemi Amet

SF programm „Infoühiskonna teadlikkuse tõstmine“
Infoturbe sissejuhatus
Andro Kull
06. mai 2009
Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames,
mida rahastab Euroopa Regionaalarengu Fond.
Koolituste ja infopäevade tellija on Riigi Infosüsteemide Arenduskeskus ja koolitused viib läbi BCS Koolitus AS
Päevakava
06.05.2010
09.45 – 10.00 Kogunemine ja registreerimine
10.00 – 11.30 Sessioon I
11.30 – 11.45 Kohvipaus
11.45 – 12.30 Sessioon II
12.30 – 13.30 Lõuna
13.30 – 15.00 Sessioon III
15.00 – 15.15 Energiapaus
15.15 – 16.00 Kokkuvõte, diskussioonid,
tagasisidelehe täitmine, koolituse lõpetamine
Teemad
•
•
•
•
Sessioon I
Teemad: Infoturbe eesmärk; põhimõisted; infoturbe aspektid – käideldavus,
terviklus, konfidentsiaalsus; riskihindamise alustamine – infovarade ja
ohtude kaardistamine (teoreetiline liigitus ja praktiline ülesanne).
Sessioon II
Teemad: Riskihindamise lõpetamine – nõrkuste kaardistamine (teoreetiline
liigitus ja praktiline ülesanne) ja riskide hindamine; infoturbe meetmete
kirjeldamine – füüsilised, organisatsioonilised, tehnoloogilised – ja
rakendamine.
Sessioon III
Teemad: Infoturbega seotud õigusaktid (IKS, AVT, KarS) ja standardid
(ISO, ISKE).
Kokkuvõte
Teemad: Kokkuvõte, diskussioonid, tagasisidelehe täitmine, koolituse
lõpetamine.
Koolituse ülesehitus
• Teooria – selgitame, mida tähendab andmeturve,
milleks seda vaja on, millega see tegeleb ning kuidas
• Praktika – teeme läbi klassikalise riskihindamise
ülesande: infovarad, ohud, nõrkused, riskid ja
meetmed (arvestades koolituse sihtgruppi)
• Terminid – kursiivis inglise keelsed vasted (kuna
kõikide jaoks head eestikeelset vastet (veel) ei ole)
• Allakriipsutus – viitab kas veebilehele või välisele
allikale
• Materjalid – peale slaidide ja märkmete jääb
igaühele võimalus küsida praktiliste harjutuste
tulemusi.
Lektorist
Haridus
•
•
•
Doktoriõpingud Tampere Ülikoolis, kraad omandamisel
IT juhtimine Tallinna Ülikoolis, magister
Rakendusinformaatika Tartu Ülikoolis, diplom
Töökogemus
•
•
•
Infotehnoloogia alal üle 10 aasta, nii avalik-. kui erasektor
IT audiitor viimased 3,5 aastat, Finantsinspektsioon
Konsultant, konsultatsiooni- ja koolitusettevõttes ConsultIT OÜ
Täiendkoolitus
•
•
IT audiitori ja infoturbe juhi rahvusvahelised sertifikaadid CISA ja CISM
Infotehnoloogia ja infoturbe alased konverentsid, täiendkoolitused
Koolitaja kogemus
•
•
Lõppkasutajale suunatud andmeturbe koolitus, koostöös BCS Koolitusega
Infotehnoloogilise infrastruktuuri arendamine, Tallinna Ülikoolis IT juhtimise magistrantidele
Osalejate lühitutvustus
Sihtgrupp
• Avaliku sektori ja kohalike omavalituste juhid
(vallavanemad, linnapead, valla- ja
linnasekretärid, osakonnajuhatajad).
Tutvustus
• Asutus
• Ametinimetus
• Seos infoturbega
• Ootused koolitusele
Millest me räägime infoturbes 1/3
• Informatsioon – teave, teadmus millegi kohta;
• Andmed – informatsiooni kirjapanek
taastõlgendataval kujul;
• Digitaalandmed – digitaalsel kujul;
• Infosüsteem - infotöötlussüsteem koos
organisatsiooniliste ressurssidega *
• Andmekogu – korrastatud andmete kogum.
* IT juhtimise käsiraamat
Millest me räägime infoturbes 2/3
• Infoturbe vajadus – andmete väärtuste ja
omaduste tagamine (eelkõige
käideldavuse, tervikluse ja
konfidentsiaalsuse tagamine)
• Infoturbe tähtsus - tuleneb andmete
tähendusest (näide) ja väärtusest (näiteks
krediitkaardi number)
• Digitaalandmed on erilised (võrreldes
teiste füüsiliste objektidega) - näide
Millest me räägime infoturbes 3/3
Infoturbe eesmärk
• Teabe kaitsmine ohtude eest
• Talituse jätkuvuse tagamine
• Talitusriski minimeerimine
• Investeeringute tasuvuse maksimeerimine
• Õigusaktidele vastavuse tagamine
• Kuvandi säilitamine
Milleks rääkida infoturbest 1/5
Intsidendid ajakirjanduses
• …
• Uued kuriteod: identiteedivargus ja libakontode tegemine (11.02.2009)
• Swedbanki internetipank oli maas
• Swedbanki klientide andmeid püüdvad petturid tegutsevad taas
(25.03.2009)
• Politsei tabas SEB pangakaarte kopeerida üritanud rumeenlased
(08.06.2009)
• Häkkerid avalikustasid tuhanded Hotmaili salasõnad (06.10.2009)
• Pensioniandmed lekkisid tarkvara uuenduse käigus (08.12.2009)
• Häkker tekitas Narva koolile 300 000-kroonise arve (20.01.2010)
• Tartu Maratoni veebileht langes häkkerite rünnaku ohvriks (28.01.2010)
• Enneolematu infoleke ehmatas Tartu linnaametnikke (19.03.2010)
• …
Milleks rääkida infoturbest 2/5
Probleemid
• Sihilikud ründed – inimesed kasutavad
tehnoloogiat rünnaku läbiviimiseks (häkkerid,
viirused, rämpspost, süsteemide
ülekoormamine);
• Äpardused – kõikvõimalikud inimestega seotud
probleemid (unustatakse, teadmatusest,
uudishimust vms);
• Stiihilised ohud – üleujutus serveriruumis,
elektrikatkestus, võtmeisiku haigestumine, jms.
Milleks rääkida infoturbest 3/5
Tagajärjed
• Rahaline kaotus
• Maine kaotus
• Seaduse rikkumine
• Töö rikkumine
• Põhitegevuse häire
Milleks rääkida infoturbest 4/5
Seadus nõuab
• IKS (§ 6) - turvalisuse põhimõte: isikuandmete kaitseks tuleb
rakendada turvameetmeid nende tahtmatu või volitamata muutmise,
avalikuks tuleku või hävitamise eest.
• ISKE määrus – andmekogu andmeid töötleva infosüsteemi infoturbe
eesmärkide tagamiseks peab rakendama turvameetmeid, mis
vastavad selles infosüsteemis peetava andmekogu andmetele
määratud turvaklassile.
• Krediidiasutuste seadus (§ 55) – … juhatus on kohustatud …
tagama krediidiasutuse poolt kasutatavate infotehnoloogiaalaste
ning klientide vara hoidmiseks kasutatavate süsteemide turvalisuse
ning nende regulaarse kontrollimise
• Eelkõige ikkagi infovara kui väärtuse kaitseks!
Milleks rääkida infoturbest 5/5
Statistikat
• “Ehkki üldiselt on kelmustena kvalifitseeritavate
kuritegude arv tänavu näidanud langustrendi, on
konkreetselt arvutikelmuste hulk üheksa kuuga suisa
kahekordistunud. Kui üldse on kelmusi tänavu üheksa
kuuga toime pandud justiitsministeeriumi andmetel 1527
võrreldes mulluse 1759 asemel, siis arvutikelmusi on
tänavu registreeritud 319 mulluse 151 asemel.
– Esimesel juhul teeb ohver enamasti mingi kauba eest
ettemaksu, kuid kaup ostjani ei jõua;
– Teisel juhul petetakse inimeselt välja pangakoodid ja kaart;
– Kolmandal juhul kasutatakse ohvri telefoni tema teadmata
erinevate teenuste tellimiseks.”
/23.10.2009, postimees.ee/
Reaalsed probleemid
• Ebapiisavad paroolid, paroolidega hooletu ringikäimine
• Krüpteerimisest loobumine
• Informatsiooni kaitse puudumine – kaitse vajadust ei
teadvustata, reegleid ei jälgita
• Liigne usaldamine
• Väliste mäluseadmete või sülearvutite kadu / vargus
• Kontrollimata tarkvara käivitamine
• Kuulajate kogemused?
Infoturbe aspektid 1/4
Põhiterminid
• Käideldavus (availability) – kättesaadavus ja
kasutatavus /käepärast olev, kehtiv/*
• Terviklus (integrity) – veendumus õigsuses
/puutumatus, terviklikus, täielikkus/
• Konfidentsiaalsus (confidentiality) – salastatus
/usalduslik, salajane, konfidentsiaalne/
* IBS – Institute of Baltic Studies
Infoturbe aspektid 2/4
Käideldavus
• Andmed on kättesaadavad õigeaegselt ja
mugavalt
• Kõige olulisem aspekt – kui käideldavus
rikutud, siis ei saa rääkida terviklusest ja
konfidentsiaalsusest
Näide eestpoolt
Käideldavuse rikkumine
Infoturbe aspektid 3/4
Terviklus
• Andmed on õiged, täielikud ja autentsed
• Lisaks andmetele ei tohi olla volitamata
muudetud ka andmete looja, loomisaeg
jms.
Näide eestpoolt
Tervikluse rikkumine
Infoturbe aspektid 4/4
Konfidentsiaalsus
• Andmed on kättesaadavad volitatud
isikutele ja kättesaamatud kõigile teistele.
• Ajalooliselt esimene aspekt (salakirjad,
paroolid sõjaajal, täna krüptograafia).
Näide eestpoolt
Konfidentsiaalsuse rikkumine
Lisamõisted 1/2
• Salgamise vääramine (non-repudiation) –
saatja ei saa väita, et ta pole sõnumit saatnud
• Jälitatavus (accountability) - toiminguid saab
üheselt jälitada selle olemini
• Autentsus (authenticity) - olem on see mida ta
väidetakse olevat
• Töökindlus (reliability) - võime antud
tingimustes mingi etteantud ajavahemiku jooksul
täita nõutavat funktsiooni
Lisamõisteid 2/2
• Privaatsus – üksikisiku või organisatsiooni
eraellu või asjadesse tungimise või tema kohta
andmete kogumise kasutamise välistatus
• Liigid:
– Teabe privaatsus
– Sõnumi privaatsus
• Kokkulepe privaatsuse tagamiseks –
isikuandmete kaitse seadus
Kui palju meil privaatsust alles on?
Eluline näide privaatsuse rikkumisest
Mõisted riskihindamises
– Infovarad (information assets) – informatsioon, millel
on väärtus koos töötluseks vajalike vahenditega;
– Ohud (threats) – miski, mis võib kahjustada
infovarasid;
– Nõrkused (weaknesses) – selline koht infovarade
juures, mis laseb ohtudel realiseeruda;
– Riskid (risks) – tõenäosus, et oht kasutab ära
nõrkuse ja tekitab infovarale kahju. Lisaks jääkrisk –
risk mida on mõistlik aktsepteerida ja sellest
tulenevalt riskiisu (risk appetite);
– Meetmed (measures) – tegevused riskide
maandamiseks (aktsepteeritavale tasemele).
Infovarad
• Andmed – mida me igapäevatööks vajame
ja milleta me funktsiooni täita ei saa;
• Infosüsteemid ja andmekogud – andmete
töötlemise jaoks vajalik (eritarkvara,
standardtarkvara, andmebaasid jms);
• Vahendid – arvuti (lauaarvuti, sülearvuti,
pihuarvuti), lisaseadmed (printer, fax),
võrguühendus (Internet, sisevõrk),
andmekandjad (mälupulgad, CD, DVD,
flash) jms.
Infovarad - praktiline ülesanne
Juhtum
Ohud 1/5
• Mittesihipärased - stiihilised ohud:
– Keskkonnast;
– Tehnikast;
– Inimestest.
• Sihipärased – ründed:
– Kes ja millistel ajenditel?
– Kuidas korda saadetakse?
• Social engineering – inimliku nõrkuse
ärakasutamine.
Ohud 2/5
Stiihilised ohud
• Inimestest tulenevad – eksimused
(teadmatusest), äpardused
(kogenematusest), …
• Tehnikast tulenevad – elektrikatkestus,
võrguühenduse katkestus, serveririke, …
• Keskkonnast tulenevad – liiga kuum, liiga
külm, äike, vihm, lumi, …, vulkaanipurse,
…
Ohud 3/5
Ründed – kes ja miks?
• Sisemised kasutajad
–
–
–
–
Ebaseaduslik kasu
Õiguste laiendamine
Kättemaks
Uudishimu
• Välised kasutajad
– Ebaseaduslik kasu
– Tahtlik kahju tekitamine
– Poliitilised/ideoloogilised motiivid
• Häkkerid
– Isiklik kasu
– Tähelepanu
Ohud 4/5
Ründed – kuidas?
• Infopüük
– Pealtkuulamine (näide)
– Kopeerimine (näide)
• Ründetarkvara
– Trooja hobune (trojan)
– Nuhkvara (spyware)
– Viirus (virus)
• Süsteemsed ründed
– Paroolide äraarvamine (näide)
– Kaughaldussüsteemide rünne
– Ressursside ülekoormamine (näide)
• Identiteedi vargus
– Esinemine kellegi teisena
Ohud 5/5
Sotsiaalsed ründed (social engineering)
• Inimene nõrgim lüli
• Tundliku info küsimine (phishing)
– E-maili teel
– Telefoni teel
• Varipöördus (piggyback)
– Volitamata hoonesse sisenemine
Näide
Ohud – praktiline ülesanne
Juhtum
Nõrkused 1/5
• Riskihindamise tähenduses lasevad ohul
realiseeruda
• Võivad peituda:
– Infrastruktuuris;
– Tehnoloogias;
– Inimestes;
– Töökorralduses.
Nõrkused 2/5
Puudused infrastruktuuris
• Ebapiisav kaitse füüsiliste ohtude eest:
– Keskkonnaohud
– Ründed
• Meetmete osaline rakendamine (peale
füüsiliste ka organisatsioonilised);
• Näiteks serveriruumi loomine algab
asukoha valikust.
Nõrkused 3/5
Puudused tehnoloogias
• Süsteemide, seadmete tõrked
• Seadmete paigutus
• Süsteemide jõudlus
• Ülepingutatud turvameetmed
Nõrkused 4/5
Puudused inimestes
• Kogemata tehakse vigu
– Teadmatusest
– Kogenematusest
• Eeskirju, nõudeid eiratakse
– Pääsuõiguste edasiandmine
– Töö- ja eraasjad ei ole lahutatud
• Ollakse liialt uudishimulikud
– Pääsuõiguste taotlemine sinna, kuhu pole vaja
Nõrkused 5/5
Puudused töökorralduses
• Reeglid – puudulikud, ei teata, ei järgita
• IT korraldus segane – ei tea kellele, millal
ja kuidas probleeme teavitada
• Dokumentatsiooni puudulikkus – süsteemi
kirjeldus, kasutusjuhend
• Liigsed õigused – volitamata tarkvara
paigaldamine
Nõrkused – praktiline ülesanne
Juhtum
Risk 1/5
• Tõenäosus, et oht kasutab nõrkust ära ja
põhjustab varale kahju!
• Väljendatakse protsentides või ka rahas
(tõenäosuse protsent korrutatud võimaliku
rahalise kahjuga)
• Põhimõtteliselt ei ole võimalik riske
maandada 0-ni
Risk 2/5
Kasutavad ära
OHUD
kaitsevad
vastu
NÕRKUSED
suurendavad
suurendavad
mõjutavad
vähendavad
MEETMED
saavutatakse
läbi
KAITSE
VAJADUS
VAJADUS
RISKID
indikeerivad
INFOVARAD
suurendavad
omavad
VÄÄRTUSED
ärilises mõttes
Risk 3/5
Lihtsam lähenemine riskihindamisele:
Riski-isu
Nõrkused
Varad
OHUD
Mõju
Kahjud
Meetmed
RISKID
JÄÄKRISK
Risk 4/5
Riskide kaalumine
ja otsustamine:
Maatriks annab
aluse otsustada,
mis riskidest
edasi saab.
Kord
tunnis
Kord
päevas
Kord
kuus
Kord
aastas
Kord 10
aastal
Tühine
Väike
Märkimi
sväärne
Oluline
Katastro
ofiline
Risk 5/5
Riskiisu
• Aktsepteeritava jääkriski suurus
• Reeglina riskidele, kus:
– Kas tõenäosus madal või
– Mõju väike või
– Mõlemad koos
• Juhtkonna otsus
Riskihindamine – praktiline ülesanne
Juhtum
Meetmed
• Füüsilised – uksed, aknad, seinad, lukud,
… RUUMIDELE
• Organisatsioonilised – protseduurid,
korrad, poliitikad, … INIMESTELE
• (Info)tehnoloogilised – pääsuõigused, ID
kaart, viirusetõrje, krüpteerimine,
varukoopiad, … SÜSTEEMIDELE
Füüsilised meetmed
• Ehituslikud nõuded – tule rakendada terviklikult
(n uks tugev aga seinast saab läbi);
• Serveriruum – automaatne tulekustutus, liigvee
äravool, konditsioneer, kaablikarbid,
serverikapid, jms.
• Valve – ennetav valvesignalisatsioon ja
mehitatud turve;
• Sissepääsu süsteem – uksekaardid, nööbid,
jms.
Organisatsioonilised
• Reeglid:
– Arvutikasutamise kord;
– Infoturbe poliitika;
– Külaliste vastuvõtu kord.
• Protseduurid:
– Varukoopiate tegemine;
– Kontrolljälgede ehk logide läbivaatus;
– Pääsuõiguste andmine ja peatamine (kihiline
kontroll).
• Teavitus:
– Koolitus;
– Intranet.
Tehnoloogilised meetmed
• Kasutaja pool:
– Parooli kasutamise nõue – ilma süsteemi
sisse ei saa;
– Parooli vahetamise nõue – teatud aja tagant;
– Identifitseerimine ja autoriseerimine,
digitaalallkirjastamine ning krüpteerimine ID
kaardiga.
• IT pool:
– Tulemüürid, VPN, kaabeldus, Wifi,
viirusetõrje, rämpsposti filtrid, jne.
Meetmete liigitus
• Ennetavad – vajalikud infoturbe
intsidentide ärahoidmiseks;
• Avastavad – lähevad käiku, kui intsident
on aset leidnud või on kõrgendatud
kahtlus;
• Parandavad – taastavad olukorra, mis oli
enne intsidenti ja võiksid olla aluseks
ennetavate meetmete täiendamisel (et
sarnaseid intsidente tulevikus ära hoida).
Meetmete valimine
Ennetavad
Avastavad
Parandavad
Füüsilised
X
X
X
Tehnoloogi
lised
X
X
X
Organisats
ioonilised
X
X
X
Meetmete rakendamisel 1/2
Ülepingutamine võib kaasa tuua
nõrkusi:
• Näiteks rämpsposti filter;
• Näiteks liiga tihti nõuda parooli vahetust;
• Näiteks arvuti ülekoormamine liiga
mahuka monitooringuga.
Meetmete rakendamisel 2/2
Majanduslik optimum
K
U
L
U
D
Optimum
TURVALISUS
Meetmed – praktiline ülesanne
Juhtum
Meetmete rakendamine 1/5
ID kaart
• Kasutada kõiki funktsioone:
– Identifitseerimine/autoriseerimine
– Digitaalallkirjastamine
– Krüpteerimine/dekrüpteerimine
Näide – kas on vaja läbi teha?
Meetmete rakendamine 2/5
• Varukopeerimine:
– Mida varundada (failid, andmebaas, seaded vms)?
– Kui tihti varundada (full – täielik andmekogu,
incremental - muudatused)?
– Varukoopiate säilitamine (kus, kuidas, kui pikaks
ajaks)?
– RPO (Recovery Point Objective): maksimaalne
lubatav andmekadu andmete taastamisel;
– RTO (Recovery Time Objective): maksimaalne
lubatud aeg süsteemi taastamiseks.
Meetmete rakendamine 3/5
• Talitluspidevuse (business continuity) tagamine:
– Talitluspidevuse protsess: kes vastutab (kindlasti ei
ole ainult IT mure) ja kes korraldab, kes ja kuidas on
kaasatud;
– Talitluspidevuse plaan: kriitilised teenused,
vastutajad, kommunikatsioon, välised osapooled,
varuasukoht;
– Taasteplaan: võimalus taastada vähemalt kriitilised
teenused/andmed, taastamise stsenaariumid,
taasteplaani testimine, taasteplaani hoidmine.
Meetmete rakendamine 4/5
• Pääsuõiguste haldus:
– Andmine: keegi küsib, keegi kinnitab, keegi
annab, keegi kontrollib;
– Muutmine: millistel puhkudel ja millise
protseduuri järgi (aluseks andmise
protseduur);
– Peatamine: vahetult enne töösuhte lõppemist
(vältimaks probleeme ja arusaamatusi);
– Pääsuõiguste monitooring ja/või pisteline
kontroll!
Meetmete rakendamine 5/5
• Intsidentide haldus:
– Intsidendi avastamine ja kinnitamine;
– Lokaliseerimine;
– Kommunikatsioon ja agregeerimine;
– Analüüsimine ja lahendamine;
– Hindamine ja meetmete täiendamine.
Infoturbe organisatsioon
•
•
•
•
•
•
•
•
•
Tippjuhtkond (CEO)
Infoturbe juht (CISO, CISM)
Infoturbe nõukogu (IT juht CIO)
Ekspert/spetsialist
Töötaja/teenistuja/kasutaja
Protsessi omanik
Muud võtmeisikud
Audiitor (CISA)
Koolitajad
Infoturbe regulatsioon
•
•
•
•
•
•
•
•
Organisatsiooni struktuur
Poliitikad
Plaanimistegevused
Kohustused
Tavad
Protseduurid
Protsessid
Ressursid
Infoturbe intsidendid
Me teame, kes tegelevad ja me teame reegleid. Nüüd,
kui intsident aset leiab, siis:
• Jääda rahulikuks, mitte teha läbimõtlemata tegusid
• Viivitamata raporteerida vastavalt eeskirjadele
• Mitte võtta vastumeetmeid enne heakskiitu
• Mitte varjata asjaolusid
• Hinnata kahjusid, tagajärgi, mõjutatud pooli
• Informeerida kolmandaid osapooli vaid siis, kui see on
lubatud
Mille järgi ära tunda, et tegu on turvaintsidendiga?
Infoturbega seotud õigusaktid
Märksõnad: informatsioon (teave), andmed, register,
infosüsteem, kaitse, ohutus, häda, karistus.
• Isikuandmete kaitse seadus (IKS)
• Avaliku teabe seadus (ATS)
• Hädaolukorra seadus (HOS)
• Tuleohutuse üldnõuded
• Infosüsteemide koosvõime (raamistikud)
• Registrite seadused (näiteks Rahvastikuregistri
seadus)
• Karistusseadustik (KarS)
Õigusaktid 1/10
Isikuandmete kaitse seadus
• Eesmärk: Füüsilise isiku põhiõiguste ja vabaduste kaitse (sh õigus isikuandmete
kaitsele);
• Isikuandmed: tuvastatava füüsilise isiku kohta
mistahes vormis;
• Delikaatsed isikuandmed: poliitilised- ja
maailmavaated, päritolu, tervis, pärilikkus,
seksuaalelu, ametiühingu liikmelisus ja andmed
süüteo toimepanemise või ohvriks langemise
kohta enne menetluse lõpetamist.
Õigusaktid 2/10
Isikuandmete kaitse seadus
Põhimõtted:
• seaduslikkuse põhimõte
• eesmärgikohasuse põhimõte
• minimaalsuse põhimõte
• kasutuse piiramise põhimõte
• andmete kvaliteedi põhimõte
• turvalisuse põhimõte
• individuaalse osaluse põhimõte
Õigusaktid 3/10
Avaliku teabe seadus
• Avalik teave - on mistahes viisil ja mistahes
teabekandjale jäädvustatud ja dokumenteeritud teave,
mis on saadud või loodud seaduses või selle alusel
antud õigusaktides sätestatud avalikke ülesandeid täites.
• Asutusesiseseks kasutamiseks (AK) mõeldud teave,
peab kuulutama:
– kriminaal- või väärteomenetluse käigus kogutud teabe
– riikliku järelevalve menetluse käigus kogutud teabe
kuni selle kohta tehtud otsuse jõustumiseni
– teabe, mis sisaldab delikaatseid isikuandmeid
Õigusaktid 4/10
Konflikt teabe avaldamise ja salajas
hoidmise puhul:
• Dokumenti, mis sisaldab nii avalikku
teavet kui asutusesiseseks kasutamiseks
mõeldud teavet tuleb välja anda…
• … kuid seda peab redigeerima selliselt et
AK teave ei saaks avalikuks.
Õigusaktid 5/10
Hädaolukorra seadus
• Eesmärk: sätestab kriisireguleerimise, sealhulgas hädaolukorraks
valmistumise ja hädaolukorra lahendamise ning elutähtsate
teenuste toimepidevuse tagamise õiguslikud alused.
• Elutähtsa teenuse toimepidevust korraldav asutus:
– koordineerib ja nõustab elutähtsate teenuste osutajaid
– teostab järelevalvet elutähtsate teenuste toimepidevuse
tagamise üle;
– esitab üks kord iga kahe aasta jooksul Siseministeeriumile
ülevaate
• Elutähtsa teenuse osutaja on kohustatud:
– koostama toimepidevuse riskianalüüsi
– koostama toimepidevuse tagamise plaani;
– teavitama toimepidevust häirivast sündmusest;
– andma elutähtsat teenust korraldavale asutusele teavet
Õigusaktid 6/10
Tuleohutuse üldnõuded
• Objekti valdaja kehtestab objekti üldise
tuleohutusjuhendi, lähtudes:
– tuleohutusnõudeid sätestavatest õigusaktidest (Eestis
eelkõige päästeseaduses ja siseministri määruses
"Tuleohutuse üldnõuded“)
– iga konkreetse ehitise ning selles toimuva tegevuse
või protsessi ja kasutatava seadmestiku tule- ja
plahvatusohtlikkuse eripärast
Õigusaktid 7/10
Tuleohutus: füüsilise isiku kohustused
• järgima objektil kehtestatud tuleohutusnõudeid
• tundma tuleohutusnõudeid ainetega töötamisel
• kasutama tule- ja plahvatusohtlikus tegevuses või
protsessis töökorras vahendid + täitma
kasutamisjuhendeid ja juhiseid
• rakendama lahtise tule kasutamisel ja suitsetamisel
tulekahju tekkimist vältivaid meetmeid
• hoidma tuletikke ja muud süütevahendit alaealisele
kättesaamatus kohas jne
• teadma oma kohustusi tulekahju või õnnetuse korral
• tulekahju vms avastamisel viivitamatult teatama
Õigusaktid 8/10
Infosüsteemide koosvõime raamistikud:
• Riigi IT koosvõime raamistik. Versioon 2.0
(2005)
• Riigi IT arhitektuur. Versioon 1.01 (2007)
• Semantilise koosvõime raamistik. Versioon 0.7
(2007)
• Veebide koosvõime raamistik. Versioon 0.6
(2007)
• Infoturbe raamistik (2007)
• Riigi infosüsteemide arendusprotsess (2007)
Õigusaktid 9/10
Rahvastikuregistri seadus
• Omanik - Rahvastikuregistri omanik on riik
• Vastutav töötleja:
– Rahvastikuregistri vastutav töötleja on Siseministeerium
– Vastutav töötleja peab tagama rahvastikuregistri pidamise ja
andmete töötlemise vastavuses seadusega ja seaduse alusel
vastuvõetud õigusaktidega.
• Volitatud töötleja:
– Volitatud töötleja on kohustatud pidama rahvastikuregistrit
vastavuses seadusega ja seaduse alusel antud õigusaktidega,
rahvastikuregistri pidamise korra või rahvastikuregistri pidamise
lepinguga ning vastutava töötleja poolt tema pädevuse piires
antud korraldustega.
Õigusaktid 10/10
Karistusseadustik
• Isikuandmete töötlemise reeglite rikkumisel võimalikud
karistused:
– Sõnumisaladuse rikkumine: karistatakse rahalise karistusega
(kuni 300 trahviühikut);
– Ametkohta kasutades saladuse hoidmise kohustuse rikkumine:
karistatakse rahalise karistuse või kuni üheaastase
vangistusega;
– Ebaseaduslikult delikaatsete isikuandmete avaldamine:
karistatakse rahalise karistuse või kuni üheaastase
vangistusega.
• Võrgu ja arvutisüsteemi turvalisus - alates rahalisest
karistusest kuni viieaastase vangistuseni.
Infoturbe standardid
Ütlevad meile kuidas peaks tegema!
• ISO/IEC 27001 - : turvalisuse põhimõttest lähtuv
(principle-based) – standard 41 lk, kasutuses
erasektoris. Baseerub Briti standardil.
• ISKE - infosüsteemide kolmeastmeline etalonturbe
süsteem: reeglipõhine (rule-based), ka kontrolli põhine –
rakendusjuhend 1024 lk, kohustuslik avalikule sektorile.
Baseerub Saksa standardil.
• COBIT: ... - vers 4.1 196 lk. Baseerub USA standardil.
• Finantssektor: PCI, SOX, COSO, …
ISO/IEC 27001
Põhiteemad:
1.
2.
3.
4.
5.
6.
7.
8.
Infoturbe poliitika
Infoturbe organisatsioon
Organisatsiooniline infoturve
Füüsiline ja keskkonna turve
Kommunikatsioonide ja operatsioonide turve
Ligipääsuõiguste haldus
Infosüsteemide turvalisus
Infoturbe intsidentide haldus
ISKE
ISKE - infosüsteemide kolmeastmeline etalonturbe süsteem
• ISKE rakendamise eesmärgiks on tagada infosüsteemides
töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on
loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude
pidamisel kasutatavatele infosüsteemidele ning nendega seotud
infovaradele turvalisuse tagamiseks.
• ISKEs on kirjeldatud kolm turbe taset – madal (L), keskmine (M) ja
kõrge (H). Vastav turbetase määratakse andmetele turvaklasside
(turvaosaklasside) määramise kaudu. Turvaklasside määramisel
lähtutakse teabe konfidentsiaalsusest, teabe terviklikkusest,
aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede
lubatavast kaalukusest.
Kihiline andmeturve – L lisandub M ja siis H.
ISKE rakendamine
1. Infovarade inventuur ja spetsifitseerimine
2. Andmekogude turvaklasside määramine
3. Muude infovarade turvaklasside määramine
4. Turvaklassiga infovarade turbeastme määramine
5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel
6. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse
7. Turbehalduse meetmete loetelu koostamine
8. Turvameetmete rakendamise plaani koostamine
9. Turvameetmete rakendamine
10. Tegeliku turvaolukorra kontroll, ohtude hindamine, vajadusel
täiendavate meetmete rakendamine
Äratundmine
ISKE järgib üks-üheselt eelnevalt läbi tehtud
riskihindamise ülesannet!
1. Infovarad ja turbeastmed
2. Ohud kataloogist
3. Meetmed kataloogist
Nõrkused eraldi käsitletud ei ole, kuid arvestades
avaliku sektori asutusi võib eeldada et need on
sarnased. ISKE lisab kohustusliku meetmete
rakendamise ja järjepideva auditeerimise
ISKE tegevused
BSI standard 100-2
• Etapp 1. IT struktuuri analüüs
• Etapp 2. Infoturbe nõuete määratlemine
• Etapp 3. IT varade modelleerimine
tüüpmoodulite baasil
• Etapp 4. Infoturbe seisundi hindamine
• Etapp 5. Täiendav infoturbe analüüs
• Etapp 6. Infoturbe meetmete rakendamine
Etapp 1: IT struktuuri analüüs
•
•
•
•
IT varade dokumenteerimine
Asutuse arvutivõrkude plaani koostamine
IT süsteemide kohta info kogumine
IT rakenduste ja nendes töödeldava teabe kohta info
kogumine
• Ruumide dokumenteerimine
• Keerukuse vähendamine sarnaste varade grupeerimise
teel
Üldjoontes = ISKE töö 1 (infovarade inventuur ja
spetsifitseerimine), lisaks töö 5 (tsoonideks jaotamine)
Etapp 2: infoturbe nõuete määratlemine
•
•
•
•
•
IT rakenduste infoturbe nõuete määratlemine
IT süsteemide infoturbe nõuete määratlemine
Kommunikatsioonide infoturbe nõuete määratlemine
Ruumide infoturbe nõuete määratlemine
Infoturbe nõuete määratlemise tulemuste analüüs
(standardsed BSI moodulid ja meetmed on piisavad?
Saaks jaotada tsoonidesse?)
Võrreldav ISKE rakendusjuhendi töödega 2 kuni 5
Etapp 3: olemasolevad/planeeritavad varad
• Vältimaks dubleerimist - viis kihti: B1 Üldkomponendid,
B2 Infrastruktuur, B3 IT-süsteemid, B4 Võrgud, B5 ITrakendused
• Nii olemasolevad kui ka planeeritavad varad:
– olemasolevate puhul märgitakse tüüpmoodul vara
spetsifikatsiooni -> meetmete valik ja meetmete
täidetuse testplaan
– planeeritavate puhul - arendusdokument, kirjeldab
rakendatavaid turvameetmeid -> hankel või
juurutamisel
Vastab ligikaudselt ISKE tööle 6 (tüüpmoodulite
märkimine), sisaldab ka töö 7 (turbehalduse meetmete
loetelu koostamine) elemente
Etapp 4: infoturbe seisundi hindamine
• Organisatsioonilised ettevalmistused
• Sihtolukorra ja tegeliku olukorra võrdlus
• Tulemuste dokumenteerimine
ISKE rakendusjuhendis - hindamine on vajalik, et läbi viia
8. töö:
• plaan infoturbe halduse (moodul B1.0) meetmete
rakendamiseks
• muude infovarade turbe rakendamise prioriteedid ja
turbe rakendamise plaan
• arvestades ka meetmete rakendamise maksumuse ning
ajalise kestvuse prognoose
Etapp 5: täiendav infoturbe analüüs
• eelnevalt määratud infoturbe nõuded on kõrged või väga
kõrged
• BSI / ISKE moodulid ei ole piisavad
• keskkonnad või protsessid, mille jaoks BSI / ISKE
rakendamist otseselt ei ole planeeritud
Esimene juht ISKEs osaliselt kaetud – kolmeastmeline
etalonturve
Teised juhud on ISKEs osaliselt kaetud tööga 10 (tegeliku
turvaolukorra kontroll, vajadusel täiendavad
turvameetmed)
Etapp 6: infoturbe meetmete rakendamine
• Rakendamist vajavate meetmete kirjeldamine
• Meetmete konsolideerimine, näiteks kui 4. ja 5. etapil
spetsifitseeriti osaliselt kattuvad meetmed
• Maksumuse ja tööjõu kulu hindamine
• Meetmete rakendamise järjekorra määramine
• Ülesannete ja vastutuse omistamine
• Rakendamisega kaasnevate turvameetmete omistamine
Etapp on osaliselt kaetud ISKE töödega 8,9
Turvameetmed - ISKE rühmad ja näited
• M1 – infrastruktuur (nt Aknad ja uksed suletud)
• M2 – organisatsioon (nt Süsteemi ja võrgu
pääsuõigused)
• M3 – personal (nt Väljaõpe enne programmi kasutamist)
• M4 – riistvara ja tarkvara (nt Perioodiline viiruseotsing)
• M5 – side (nt Tarbetute liinide kõrvaldamine või
lühistamine ja maandamine)
• M6 – avariijärgne taaste (nt IT-rakenduste
võimsusnõuete dokumenteerimine)
• M7 – andmekaitse (nt Vastutuste reguleerimine
andmekaitse alal)
ISKE dokumendid 1/2
Infoturbe dokumentatsioon (M2.201)
• Infoturbe poliitika,
• Infovarade spetsifikatsioonid ja plaanid, infoturbe
kontseptsioon,
• Turvameetmete evituse plaanid,
• IT-vahendite õige ja turvalise kasutamise protseduurid,
• Läbivaatuste dokumentatsioon (kontroll-loetelud,
küsitlusmärkmed jms),
• Infoturbepersonali koosolekute protokollid ja otsused,
• Infoturbe aruanded juhtkonnale,
• Infoturbekoolituse plaanid,
• Aruanded turvaintsidentide kohta
ISKE dokumendid 2/2
Turvaeeskirjad
• Andmete salvestus, andmearhiivide pidamine
• Andmekandjate transport, hävitamine
• IT-protseduuride, tarkvara, konfiguratsiooni dokumenteerimine
• Paroolide kasutamine,
• Sisenemisõigused, pääsuõigused
• Ressursside reguleerimine,
• Riist- ja tarkvara hankimine ja üürimine, hoolde- ja remonditööd
• Tarkvara: vastuvõtmine, rakenduste väljatöötamine
• Andmete privaatsus,
• Viirusetõrje
• Revisjon, avariiprofülaktika,
• Turvapoliitika rikkumise käsitlus
Näpunäiteid meetmete osas 1/5
Paroolide käsitlemine: põhilised reeglid
• Mitte kergesti mõistatatav
• Min 6 märki, vähemalt üks märk number/erimärk
• Tarnija paroolid asendada
• Salastada
• Eriolukordade jaoks kinnises ümbrikus
• Regulaarne vahetamine, kui saanud teatavaks –
vahetada kohe, mitte kasutada vanu
• Sisestada märkamatult
Näpunäiteid meetmete osas 2/5
Paroolide käsitlemine: lisareeglid
• Triviaalsete (BBBBBB, 123456) valimine tõkestada
• Iga kasutaja peab saama oma parooli igal ajal muuta
• Ühekordsed: uue kasutaja alglogimisel, võrgus
avatekstina edastamisel
• Kolme edutu sisestuse järel blokeering
• Võrgus ei tohiks autentimisel edastada avatekstina
• Sisestus varjatult, kuvamiseta
• Süsteemis salvestada kaitstult, nt krüpteeritult
• Asendamise peab perioodiliselt algatama süsteem
• Süsteem peab välistama vanade sisestuse
Näpunäiteid meetmete osas 3/5
E-posti kasutamine: turvapoliitika
• Meiliühendusega isikud
• Meiliülemate ja kasutajate eeskirjad
• Maks. meilis lubatav konfidentsiaalsus ja
terviklus
• Juhendid, mis tuleb soetada
• Kasutajate koolitusviis
• Kasutajate pideva tehnilise abi tagamise viis
• Võib olla teise dokumendi osa (arvutivõrgu
kasutamise juhend, üldine turvapoliitika jne)
Näpunäiteid meetmete osas 4/5
E-posti ja Interneti kasutamine (M2.118: e-posti
kasutamise nõudeid):
• Meileri konfigureerib administraator
• Saatja autentimine
• Instrueerida sh failiedastuse reeglid
• Saatja signatuuri reeglid
• Krüpteerimise ja digitaalsigneerimise vajadus
määratleda
• Saadetava ja saadava väljaprintimise vajadus
määratleda
• Sisevõrgu meili ei tohi saata reeglina välisvõrku
Näpunäiteid meetmete osas 5/5
Viirustõrje
• Viirusetõrje kontseptsiooni loomine, viirusetõrje eeskirjad
(skanneri kasutamine, koolitus, keelud, meetmed,
teatamine), protseduur viirusnakkuse puhuks
• Potentsiaalsele viiruseohule alluvate IT-süsteemide
tuvastamine, sobiva viirusetõrjestrateegia valimine,
sobiva viiruseskanneri valimine, BIOS-I
turvamehhanismide kasutamine, viiruseskanneri
värskendamine
• Perioodiline viiruseotsing, sh enne ja pärast kasutamist.
viirusnakkustest teatamine, nuhkvara / troojalaste tõrje
• Võib olla muu dokumentatsiooni koosseisus
Lõppsõna
• Mis me tahtsime saavutada?
• Mis me saavutasime?
• Järgmised loogilised etapid:
– ISKE praktiline rakendamine;
– ISKE audit;
– ISKE rakendustööriista kasutamine.
Jõudu!
Lisaks
Täiendavat lugemist
http://www.vaatamaailma.ee/materjalid/arvutikaitseABC.pdf
SF programm „Infoühiskonna teadlikkuse tõstmine“
Tänan Teid!
Lisainfo:
Rica Semjonova
projektijuht
[email protected]
6630295