EL sf programm Infoühiskonna teadlikkuse tõstmine Infoturve IT spetsialistidele Tallinnas, 13.- 15. juuni 2011 Tõnu Tomik Riivo Lepp Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi Infoühiskonna teadlikkuse tõstmine raames, mida rahastab Euroopa Regionaalarengu Fond. Koolituste ja infopäevade tellija on Riigi Infosüsteemide Amet ja koolitused viib läbi BCS Koolitus AS Koolitusprojekti meeskond Tellija: Riigi Infosüsteemide Amet Korraldaja: BCS Koolitus Koolitaja: 2 Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis Koolituse eesmärgid Lühendeid Rollid ja osalejad Motivatsioon Infoturbe põhiprintsiibid Organisatsiooni infoturbe struktuur Infoturbe alased reeglid Organisatsioon ja infoturve 3 2011 1
Põhilised teemad 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal Infoturbe koolituse eesmärgid ja mitteeesmärgid Ülevaade infoturbest üldisemalt, aga ka detailsemat Saada ettekujutus infoturbega seotud regulatsioonidest Teadmine, kas ja millist abi ISKEst otsima minna, mida mujalt otsida Eesmärk ei ole: ISKE rakendamise / auditi koolitus Konkreetsete süsteemide turve (vrd ISKE moodulid) Katta kõik infoturbe teemad Läbi võtta kogu slaidimaterjal osa jääb iseseisvaks lugemiseks 5 Lühendeid ja sõnaseletusi (1) RIA Riigi Infosüsteemide Arenduskeskus ISKE - Infosüsteemide kolmeastmelise etalonturbe süsteem RIHA Riigi infosüsteemide haldussüsteem X-tee - Infosüsteemide andmevahetuskiht IT, IS infotehnoloogia, infosüsteem BSI - Saksamaa Infoturbeamet, Bundesamt für Sicherheit in der Informationstechnik IT Grundschutzhandbuch - IT etalonturbe käsiraamat 6 2011 2
Lühendeid ja sõnaseletusi (2) ISACA Infosüsteemide Auditi ja Juhtimise Assotsiatsioon (Information Systems Audit and Control Association) COBIT - Info- ja sidustehnoloogia juhtimiseesmärgid (Control Objectives for Information and related Technology) CISA infosüsteemide sertifitseeritud audiitor, Certified Information Systems Auditor EISAÜ Eesti Infosüsteemide Audiitorite Ühing AvTS, IKS Avaliku teabe seadus, isikuandmete kaitse seadus 7 Infoturbe rakendamise rollid (ISKE alusel) Mõningaid rolle võib täita üks ja sama inimene: Infoturbe rakendamise koordinaator asutuses (projektijuht) Infoturbe spetsialist Asutuse IT eest vastutaja Andmete omanik Juhtkonna esindaja Meetmete juurutaja (näiteks asutuste struktuuriüksuste esindaja) IT administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine) 8 Osalejate tutvustamine Nimi, asutus, roll ja seos infoturbega Kokkuvõtlikult infoturbe rakendamisest asutuses, mis standardi/metoodika alusel, kas rakendamisel või rakendatud, kas auditeeritud jne. (Küsimused / probleemid, millele tahaks koolituselt vastust leida) 9 2011 3
Motivatsioon 10 Infoturbe statistikat Ohtude esinemissagedus 2010. a-l Euroopa organisatsioonides [Symantec] Ohu liik Oht % Stiihilised Töötaja hooletus 65 Riist- või tarkvara tõrge 13 Ründed Andmete vargus 79 Viirused 49 Häkkerid 42 Rämpspost 32 Sabotaaž 15 Rahaline pettus 7 11 Infoturbe statistikat Keskmiselt 5213 teenusetõkestamise (Denial of Sevice, DoS) rünnet päevas Kõige suurem sihtmärk DoS rünnetele oli avalik sektor (30% ründeid) Päevas keskmiselt 46 500 nakatunud arvutit (bot). Aastas kokku 6,8 miljonit erinevat arvutit Kaitsetu Internetti ühendatud arvuti nakatatakse keskmiselt 2...6 minuti jooksul 12 2011 4
Infoturbe põhiprintsiibid ja -mõisted 13 Käideldavus, terviklus, konfidentsiaalsus Käideldavus andmed on kättesaadavad volitatud tarbijaile Terviklus andmed on õiged, täielikud, autentsed Konfidentsiaalsus - kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele Infovarad KÄIDELDAVUS 14 Veel infoturbe põhimõisteid Privaatsus (privacy) - võimalus hoida oma elu ja isiklik info avalikkuse eest varjul või hallata enda kohta käiva informatsiooni avalikustamist Salgamise vääramine (non-repudiation) saatja ei saa väita, et ta pole sõnumit saatnud Jälitatavus (accountability) - toiminguid saab üheselt jälitada selle olemini Autentsus (authenticity) - olem on see mida ta väidetakse olevat Töökindlus (reliability) - võime antud tingimustes mingi etteantud ajavahemiku jooksul täita nõutavat funktsiooni 15 2011 5
Risk, Vara, oht, nõrkus jne Ohud Nõrkused Riskid Oht on potentsiaalse kahju tekitaja Nõrkus on süsteemi ebakoht, mis ohu realiseerumisel tekitab kahju Risk on tõenäosus, millega oht kahjustab vara nõrkuse kaudu Oht Risk Tõenäosus Toime Varad Kahju Nõrkus (turvaauk) 16 Risk, Vara, oht, nõrkus jne Sissetungimine infosüsteemi Võimalik tundlike andmete lekkimine, mis toob kahju Turvaauk nt. avatud port tulemüüris Ärisaladuse lekkimine Rahaline kahju Tööjaamade rivist välja langemine Viirusekahju Tööseisak Maine kahju Puudulik viirusekaitse 17 Risk, Vara, oht, nõrkus jne Ohu allikas Tõstatab Oht Kasutab ära Nõrkus Viib Mõjutab otse Risk Vara Kahjustab Kahju Ja põhjustab Meetmed Mida saab vältida 18 2011 6
Ründed ja muud ohud (ISKE klassifikatsioon) G1 vääramatu jõud G2 organisatsioonilised puudused G3 inimvead G4 tehnilised rikked ja defektid G5 ründed G6 andmekaitseohud 19 Rünnete põhjuseid Arvutiründed 19XX pigem uudishimu, edevus, mängulust (white hack) Arvutiründed 20XX suurenenud majanduslik motivatsioon, kriminaalsed huvid, ründed isikute vastu (black hack, organiseeritud kuritegevus) Kübersõda, riikide huvid nii küberkaitse kui ka -ründe vahendid 20 Organisatsiooni infoturbe struktuur 21 2011 7
Infoturbe eesmärk Normaalse seisakuteta põhitegevuse toimimise tagamine Teabe kaitsmine ohtude eest Talituse jätkuvuse tagamine ja talitusriski minimeerimine Investeeringute tasuvuse maksimeerimine (sh nt ärivõimalused) Õigusaktidele vastavuse tagamine Kuvandi säilitamine Organisatsiooni infoturbe eesmärgid tulenevad organisatsiooni eesmärkidest! 22 Organisatsiooni eesmärgid ja ülesanded Soovitatavalt: Organisatsiooni eesmärgid, strateegia, poliitika üldised turvalisuse eesmärgid infoturbe eesmärgid jne Võib ka nii: Organisatsioon IT IT turvalisus Igal juhul: organisatsiooni eesmärgid ja regulatsioonid... infoturbe eesmärgid ja regulatsioonid 23 Rollid infoturbes Tippjuhtkond vastutus, strateegia, ressursid Infoturbe juht - koordineerimine Infoturbe nõukogu infoturbe elluviimine Ekspert/spetsialist või väliskonsultant Töötaja/teenistuja/kasutaja IT realiseerija Protsessi omanik (valdkonnajuhid, andmete omanikud) turvanõuete koostamine, turbe jälgimine Muud võtmeisikud osalemine riskikäsitluses Audiitor järelevalve, hindamine Koolitajad - teadlikkustamine 24 2011 8
Infoturbe alased reeglid 25 IT kasutamine. Organisatsiooni juhendid ja spetsifikatsioonid Paljud asutustes kohustuslikud dokumendid sisaldavad tavaliselt ka infoturbega seotud elemente, näiteks: osakondade põhimäärused tuleohutuse eeskirjad asutuse asjaajamise kord IT süsteemide kasutamise kord Et infoturvet arendada, on kasulik luua ülevaade asutuse dokumentidest ja nende infoturbega seotud teemadest Lisaks on vaja spetsiifilisi infoturbega seotud regulatsioone, näiteks infoturbe poliitika, infoturbe kontseptsioon, varade inventuur, talitluspidevuse ja taasteplaan jne ei pruugi tingimata alati olla eraldi dokumendid 26 Sisemiste infoturbe regulatsioonide ülevaade: miinimumdokumentatsioon Asutuse üldised regulatsioonid, mis puudutavad (ka) infoturvet - nt tuleohutus, sisekord jne IT regulatsioonid, mis puudutavad (ka) infoturvet - nt arvutivõrgu kasutamise eeskirjad Infoturbe dokumentatsioon (M2.201) Muud turvaeeskirjad (M2.1) 27 2011 9
Infoturbe dokumentatsioon (M2.201) infoturbe poliitika, infovarade spetsifikatsioonid ja plaanid, infoturbe kontseptsioon, turvameetmete evituse plaanid, IT-vahendite õige ja turvalise kasutamise protseduurid, läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed jms), infoturbepersonali koosolekute protokollid ja otsused, infoturbe aruanded juhtkonnale, infoturbekoolituse plaanid, aruanded turvaintsidentide kohta Sisemiste infoturbe regulatsioonide ülevaade: muud turvaeeskirjad (M2.1) andmete salvestus, andmearhiivide pidamine andmekandjate transport, hävitamine IT-protseduuride, tarkvara, konfiguratsiooni dokumenteerimine paroolide kasutamine, sisenemisõigused, pääsuõigused ressursside reguleerimine, riist- ja tarkvara hankimine ja üürimine, hoolde- ja remonditööd tarkvara: vastuvõtmine, rakenduste väljatöötamine andmete privaatsus, viirusetõrje revisjon, avariiprofülaktika, turvapoliitika rikkumise käsitlus 29 Andmekaitse 1 Integreeritakse BSI etalonsüsteemi tulevastes versioonides (B1.5) Sisuliselt katab samad nõuded AvTS ja IKS Vastutuste reguleerimine andmekaitse alal Andmetöötluse lubatavuse tõestamine Vajaduse tõestamine, andmete kasutamise sihipärasuse tõestamine, eriotstarbelise kasutamise sihipärasuse tõestamine Andmekaitsevoliniku määramine, töötajate koolitus ja juhendamine Organisatsioonilised protseduurid asjassepuutuvate isikute õiguste tagamiseks Faili- ja seadmeloendite pidamine ja aruandekohustuse täitmine 30 2011 10
Andmekaitse 2 Tehnika hetketasemele vastavate tehnilisorganisatsiooniliste meetmete rakendamine Andmekaitseõigusliku lubatavuse dokumenteerimine Protokollimise andmekaitseaspektid IT- ja andmekaitse-eeskirjad Andmekaitseõiguslik kinnitamine Võtuprotseduuride registreerimine ja reguleerimine Tellimus-andmetöötluse reguleerimine Andmete sidumise ja kasutamise reguleerimine Sisemise IT-auditi ja andmekaitsekontrolli rajamine 31 Andmekaitse 3 AKI hinnangul on ISKE M taseme meetmed piisavad tagamaks AvTS ja IKS kehtestatud turvameetmete rakendamise kohustust. AKI on analüüsinud ISKE isikuandmete kaitse meetmeid. Analüüsi tulemused abimaterjalidena avaldamine RIA või AKI kodulehel loodetavasti lähitulevikus. ISKE rakendamine ei välista AKI poolset kontrolli/auditit 32 Organisatsioon ja infoturve 33 2011 11
Töötajate vastutus (M2.1) Mitut tüüpi regulatsioonid: Asutuse reeglid IT üldised regulatsioonid Spetsiifilised infoturbe regulatsioonid Vastutus järgmiste infoturbega seotud valdkondade eest: töö plaanimine ja ettevalmistus andmete sisestus, töötlus, väljundandmete järeltöötlus andmekandjate haldus protseduuride täitmise järelevalve 34 Juhtkonna vastutus (M2.336) Juhtkonda tuleks süstemaatiliselt teadvustada: turvariskid => kulud, infoturbeintsidentide mõju, õigusaktidest ja lepingutest tulenevad turvanõuded, ülevaade infoturbe tüüpilistest protseduuridest Üldvastutus asutuse ülesannete, sealhulgas infoturbe eest: infoturbealgatus juhtkonnalt, infoturve protsessides ja projektides kohustused, kvalifikatsioon, ressursid, delegeerimine suunata ja jälgida infoturbeprotsesse, seada mõõdetavad eesmärgid, anda eeskuju turvaeeskirjade järgimisega turvet pidevalt täiustada töötajaid motiveerida, teadvustada, koolitada 35 Töötajate motivatsioon Vastuolulised tegurid: Infoturve on vajalik, tänapäeva asutused ei saa ilma selleta töötada Samas muudab infoturve töö ebamugavamaks ja vähem efektiivseks (juurdepääsu piirangud, töö sisulisest seisukohast ebavajalikud tegevused nagu paroolide sisestamine või krüpteerimine) Seega peaks algatus infoturbe rakendamiseks tulenema juhtkonnalt Töötajaid tuleks motiveerida, eelkõige selgitades infoturbe vajalikkust 36 2011 12
Töötajate tüüpilised vead: näiteid ebapiisavad paroolid, paroolidega hooletu ringikäimine krüpteerimisest loobumine informatsiooni kaitse puudumine kaitse vajadust ei teadvustata, reegleid ei jälgita liigne usaldamine väliste mäluseadmete või sülearvutite kadu / vargus Kontrollimata tarkvara käivitamine Kuulajate kogemused? 37 Infoturbe haare Arvestada infoturbega kõigis aspektides: organisatsiooni struktuur, poliitikad, plaanimistegevused, kohustused, tavad, protseduurid, protsessid, ressursid (inimesed, tehnoloogia). 38 Nt: Ligipääs ja ligipääsu kaitsmine Füüsiline ligipääs: ruumid, sissepääsud, aknad; külastajate registreerimine ja saatmine Ligipääs arvutivõrgule: paroolid, kasutajate volitused; võrkude turve; kaugjuurdepääsu haldamine Ligipääs süsteemidele ja andmetele: paroolid, kasutajate volitused Logid, registreerimine: kehtestada logimise reeglid, jälgida isikuandmete kaitset, kontrollida logisid Perioodilised kontrollid: kontrollida ruume, protseduure, logisid jne 39 2011 13
Nt: Turvaintsidendid, nende avastamine ja nendele reageerimine: reeglid töötajatele Jääda rahulikuks, mitte teha läbimõtlemata tegusid Viivitamata raporteerida vastavalt eeskirjadele Mitte võtta vastumeetmeid enne heakskiitu Mitte varjata asjaolusid Hinnata kahjusid, tagajärgi, mõjutatud pooli Informeerida kolmandaid osapooli vaid siis, kui see on lubatud Mille järgi ära tunda, et tegu on turvaintsidendiga? 40 Turvaintsidendid, nende avastamine ja nendele reageerimine: muud reeglid Üldised reeglid asutustele Turvaintsidentide haldus lülitatud asutuse dokumentatsiooni Töötajad teadlikud Probleem nt oht või risk, intsident nt riski realiseerumine Lisareeglid spetsiifiliste probleemide korral nt kellele teatada esmaselt? Vastavalt ametiülesannetele, Kontaktandmed lihtsalt kättesaadavad 41 Turvaintsidentide raporteerimine - eskaleerimise strateegiad Eskaleerimise strateegiad: kellele teatada edasi (kommunikatsiooni skeem)? Peaks olema määratud vastutuste hierarhia, näiteks: töötajad > vastutajad spetsiifiliste intsidentide osas (nt üldine turve, infoturve, viirused, tuleohutus jne) -> infoturbe juht -> juhtkond Kuidas teatada, näiteks: suuliselt, telefonitsi, e-postiga Millal teatada, näiteks: kohe, tunni jooksul, päeva jooksul 42 2011 14
Turvaintsidentide raporteerimine - partnerid Intsidendist mõjutatud asutuse osakonnad Osakonnad, kes peaksid tegelema intsidendi algpõhjustega Partnerid, avalikkus, kes võivad olla mõjutatud või peaksid tegelema algpõhjustega nt teenuspakkujad, teenuste kasutajad, süsteemide arendajad Pressiteated ainult läbi avalike suhete esindaja Infoturbega seotud muud osapooled (vajadusel): CERT, viirusetõrje tarkvara tootjad jne 43 Põhilised teemad 2 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal Õigusaktid jm regulatsioonid. Infoturbe kontseptsioon Andmekaitse Intellektuaalse omandi kaitse Kriitilise taristu kaitse Tööohutus (IT) infrastruktuur Vastutused ja riskid Karistusseadustik Infoturbekontseptsioon, seotud regulatsioonid, uuendamine 45 2011 15
Ülevaade õigusaktidest ja eeskirjadest 46 Infosüsteemide igapäevase kasutamisega / infoturbega seotud seadused Avaliku teabe seadus (AvTS) Isikuandmete kaitse seadus (IKS) Autoriõiguse seadus Karistusseadustik Infoühiskonna teenuse seadus Konkreetsete registrite seadused jms nt Rahvastikuregistri seadus (Info)turvet puudutavate valdkondade kohta käivad muud seadused ja regulatsioonid, näiteks hädaolukorraks valmisoleku seadus, päästeseadus jne Konkreetse süsteemi valdkonna kohta käiv seadusandlus Muud infosüsteemidega seotud seadused - Riigisaladuse seadus, Arhiiviseadus, Digitaalallkirja seadus jne 47 (Info)turbega seotud määrused, poliitikad jm VV määrus nr 252 "Infosüsteemide turvameetmete süsteem, Infoturbe koosvõime raamistik Infoühiskonna Arengukava 2013 Riigi IT koosvõime raamistik Riigi IT arhitektuur Semantilise koosvõime raamistik Veebide koosvõime raamistik Infoturbega seotud muud regulatsioonid, nt siseministri määrus "Tuleohutuse üldnõuded 48 2011 16
Riigi infosüsteemi kindlustavad süsteemid Riigi infosüsteemi kindlustavateks süsteemideks on: klassifikaatorite süsteem; geodeetiline süsteem; aadressiandmete süsteem; infosüsteemide turvameetmete süsteem (ISKE); infosüsteemide andmevahetuskiht (X-tee); riigi infosüsteemi haldussüsteem (RIHA). Andmeturve asutuses ja isikuandmete kaitse 50 Seadustest tulenevad nõuded teabe konfidentsiaalsusele, terviklusele ja käideldavusele Avalik" - kaks tähendust avalikult kättesaadav saadud või loodud avalikke ülesandeid täites Turvaosaklass S0 S3, sh isikuandmete kaitse Terviklus nõuded teabe tõestusväärtusele Käideldavus nõuded näiteks kodanike päringute ja kirjade vastamise tähtaegadele, süsteemide ristkasutuse vajadus 51 2011 17
Organisatsiooni kohustused (isikuandmete kaitse seadus) Isikuandmete töötlemisel tuleb jälgida isikuandmete kaitse seadust, vajadusel ka muid regulatsioone Delikaatsete isikuandmete töötlemisel - S2 IKS => organisatsiooni kohustused jälgida isikuandmete töötlemise põhimõtteid, nõudeid ja turvameetmeid registreerida delikaatsete isikuandmete töötlemine (kui isikuandmete töötleja ei ole kindlaks määranud isikuandmete kaitse eest vastutavat isikut) IKS Α 42. (1) Delikaatsete isikuandmete töötlemise registreerimiskohustuse, isikuandmete kaitse turvameetmete või isikuandmete töötlemise muude nõuete eiramise eest (juriidiline isik) => kuni 500 000 krooni 52 Isikuandmete töötlemise põhimõtted seaduslikkuse põhimõte eesmärgikohasuse põhimõte minimaalsuse põhimõte kasutuse piiramise põhimõte andmete kvaliteedi põhimõte turvalisuse põhimõte individuaalse osaluse põhimõte 53 Isikuandmete töötlemise nõuded Isikuandmete töötleja on kohustatud mittevajalikud isikuandmed kustutama või sulgema tagama, et isikuandmed on õiged mittetäielikud ja ebaõiged isikuandmed sulgema ebaõiged andmed säilitama märkusega kasutamise aja kohta koos õigete andmetega isikuandmed, mille õigsus on vaidlustatud, sulgema isikuandmete parandamise korral viivitamata teavitama sellest kolmandaid isikuid, kellelt isikuandmed saadi või kellele isikuandmeid edastati 54 2011 18
Isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed Isikuandmete töötleja on kohustatud kasutusele võtma organisatsioonilised, füüsilised ja infotehnilised turvameetmed isikuandmete kaitseks andmete tervikluse osas juhusliku või tahtliku volitamata muutmise eest andmete käideldavuse osas juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest andmete konfidentsiaalsuse osas volitamata töötlemise eest 55 Isikuandmete kaitse eriküsimusi: logid Logimine: tegevuste ajaloo säilitamiseks + vajadusel infoturbe või muude probleemide lahendamiseks Kaudselt kuuluvad logimise alla mitmesugused küsimused, näiteks see, millist informatsiooni võib teenusepakkuja kasutaja kohta säilitada Logimine toob kaasa mitmeid probleeme ka seoses isikuandmete kaitsega - aktuaalsed kogu maailmas (nt telefonikõnede või e-kirjade kohta säilitatava informatsiooni säilitamine ja üleandmine) Eestis reguleerivad selliseid küsimusi muuhulgas isikuandmete kaitse ja infoühiskonna teenuse seadused Vajalik tuvastad kes mida ja millal vaatas (ISKE M tase) 56 ISKE ja logide kaitse Logide andmeid tohib kasutada vaid algselt määratud eesmärkidel Logitud andmetest tulenevad ka andmekaitse ja kirjete alalhoidmise nõuded Logimise põhimõtted peavad minimeerima logide kuritarvitamise riski ja olema vastavuses seadustega Minimaalne maht: süsteemi genereerimine, süsteemiparameetrite muutmine, kasutajate konfigureerimine, õiguseprofiilide koostamine, rakendustarkvara installeerimine ja muutmine, failikorralduse muudatused, varundusmeetmete teostamine, haldusinstrumentide kasutamine, volitamatu sisselogimise katsed ja õiguste rikkumine + kasutajatoimingud vastavalt vajadusele 57 2011 19
Intellektuaalse omandi kaitse 58 Intellektuaalomandi mõiste World Intellectual Property Organisation (WIPO) asutamisleping Intellektuaalne omand sisaldab õigusi seoses: kirjandus- ja kunstiteoste ning teadustöödega, esituskunstnike poolt teoste esitamisega, fonogrammidega, raadio- ja televisiooniülekannetega, leiutistega kõigis inimtegevuse valdkondades, teaduslike avastustega, tööstusnäidistega, kaubamärkidega, teenindustunnustega, kaubanduslike nimede ja tähistega, kaitsega kõlvatu konkurentsi vastu, kõiki teisi õigusi, mis tulenevad intellektuaalsest tegevusest tööstuse, teaduse, kirjanduse ja kunsti alal. Intellektuaalomandi kaitse eesmärk Õigusfilosoofiline taust: arusaam looja võõrandamatutest õigustest oma loomingu üle (vt nt EV PS Α 39) ühiskondlik kokkulepe, mis tasakaalustab üksikisiku ja ühiskonna kasu Sotsiaalkultuuriline eesmärk: kultuuri järjepidevuse ja kultuurisaavutuste kaitse tagamine soodsate tingimuste loomine nii kultuurisaavutuste loomiseks kui ka kasutamiseks Majanduslik-äriline eesmärk: loometegevusel põhinevate tootmisharude ja rahvusvahelise kaubanduse areng tehtud investeeringute kaitse 2011 20
Intellektuaalomandi kaitse viisid Autoriõigused ja naaberõigused: Autoriõigusega (copyright) kaitstakse kirjandus-, kunsti-, muusika- ja teadusteoseid Naaberõigustega (related rights; neighbouring rights) kaitstakse teose esitaja, fonogrammitootja ning ringhäälingu-organisatsiooni, ent ka andmebaasi tegija õigusi Tööstusomandi õiguskaitse (industrial property): kaitstakse õigusi kaubamärkidele, patentsetele leiutistele ja kasulikele mudelitele, tööstusdisainilahendustele, mikrolülituste topoloogiale jm Arvutiprogramm ja andmebaas kui teos Arvutiprogramme kaitstakse nagu kirjandusteoseid Andmebaase kaitstakse nagu informatsiooni kogumikke, kui andmebaas oma sisu valiku ja korralduse tõttu on autori enda intellektuaalse loomingu tulemus Kaitstakse ka arvutiprogrammi loomise lähtematerjali kui vaheetapi resultaati Autoriõigustega ei kaitsta ideid ja põhimõtteid, millele rajanevad arvutiprogrammi (sh programmi kasutajaliidese) elemendid Autoriõiguste teke Kaitse automaatselt alates teose loomisest Sõltumata: formaalsustest (teose avaldamist, registreerimist, deponeerimist või kaitsetähiste (à la ) lisamist ei nõuta) avalikustamisest (avaldamine, üldsusele suunamine) oma nime näitamisest teosel Teose eesmärk, väärtus, konkreetne väljendusvorm või fikseerimise viis ei saa olla aluseks autoriõiguse mittetunnustamisele 2011 21
Autori isiklikud õigused õigus autorsusele õigus autorinimele õigus teose puutumatusele õigus teose lisadele õigus autori au ja väärikuse kaitsele õigus teose avalikustamisele õigus teose täiendamisele õigus teos tagasi võtta õigus nõuda oma autorinime kõrvaldamist kasutatavalt teoselt Autori varalised õigused Autori ainuõigus igal moel ise oma teost kasutada, lubada ja keelata oma teose samaviisilist kasutamist teiste isikute poolt ja saada tulu oma teose sellisest kasutamisest: õigus teose reprodutseerimisele õigus teose levitamisele (sh rentimine ja laenutamine) õigus teose tõlkimisele õigus teose töötlemisele õigus teoste kogumikele õigus avalikule esitamisele õigus teose eksponeerimisele õigus teose edastamisele õigus teose üldsusele kättesaadavaks tegemisele Autori varaliste õiguste teostamine Autor teostab oma varalisi õigusi kas iseseisvalt või kollektiivse esindamise organisatsioonide kaudu Teose kasutamist teiste isikute poolt ei lubata teisiti kui autori poolt oma varaliste õiguste üleandmise (loovutamise) korral või autori poolt antud loa (litsentsi) alusel, välja arvatud seaduses ettenähtud erandid. Autoril on õigus saada tasu teose kasutamise eest teiste isikute poolt (autoritasu), mille suurus määratakse kindlaks autori ja kasutaja kokkuleppel 2011 22
Hädaolukorra seadus 67 Hädaolukorra seadus Sätestab elutähtsate teenuste toimepidevuse tagamise õiguslikud alused Defineerib 41 elutähtsat teenust 8 valdkonnas Määratleb elutähtsa teenuse toimepidevust korraldava asutuse (ETKA) ülesanded Määratleb elutähtsa teenuse osutaja (ETO) ülesanded Elutähtsad teenused TOIT JA VESI AVALIK HALDUS FINANTS KRIITILISE INFRA TEENUSED TRANSPORT IKT ARSTIABI ENERGEETIKA 2011 23
Organisatsioon Elutähtsa teenuse korraldajad MKM (elekter, gaas, kütused, transport, andme- ja telefoniside) Siseministeerium (politsei, pääste, reostustõrje, ORS) Sotsiaalministeerium (eriarstiabi, kiirabi, vereteenistus, joogivesi) Keskkonnaministeerium (kiirgus, hüdroloogia ja meteoroloogia) Põllumajandusministeerium (toiduohutus) Rahandusministeerium (maksete ja arvelduste toimimine, riigimaksed) Eesti Pank (maksete ja arvelduste toimimine, sularaha) KOVid (kaugküte, teede korrashoid, vesi ja reovesi, jäätmed, ühistransport Elutähtsa teenuse toimepidevust korraldava asutuse (ETKA) kohustused (HOS Α35) 1) koordineerib elutähtsa teenuse toimepidevuse tagamist ja nõustab elutähtsate teenuste osutajaid; 2) teostab ise või määrab oma allasutuse teostama järelevalvet elutähtsate teenuste toimepidevuse tagamise üle; 3) esitab üks kord iga kahe aasta jooksul Siseministeeriumile ülevaate elutähtsa teenuse toimepidevuse korralduse seisust. Elutähtsa teenuse osutaja (HOS Α37) Elutähtsa teenuse osutaja on riigi- või kohaliku omavalitsuse asutus või juriidiline isik, kelle pädevusse kuulub käesoleva seaduse Α-s 34 elutähtsa teenusena määratletud avaliku halduse ülesande täitmine ETO esitab riskianalüüsi ETKAle iga aasta 1. detsembriks 2011 tuleb riskianalüüs edastada 1. jaanuaril 2011 24
ETO kohustused (HOS Α37) 1) koostama tema poolt osutatava elutähtsa teenuse toimepidevuse riskianalüüsi; 2) koostama tema poolt osutatava elutähtsa teenuse toimepidevuse tagamise plaani; 3) teavitama viivitamata elutähtsat teenust korraldavat asutust või tema määratud asutust elutähtsa teenus toimepidevust oluliselt häirivast sündmusest või sellise sündmuse toimumise vahetust ohust; 4) andma elutähtsat teenust korraldavale asutusele või asutusele, kelle ta on määranud elutähtsa teenuse toimepidevuse üle järelevalvet teostama, tema nõudmisel teavet elutähtsa teenuse osutamise kohta; 5) täitma muid õigusaktidega talle elutähtsa teenuse toimepidevuse tagamiseks pandud kohustusi. Toimepidevuse riskianalüüs (HOS Α 38) Toimepidevuse riskianalüüsi käigus kirjeldatakse: 1) elutähtsa teenuse osutamise osalist või täielikku katkestust põhjustavaid ohtusid; 2) elutähtsa teenuse osutamise osalise või täieliku katkestuse tõenäosust; 3) elutähtsa teenuse osutamise osalise või täieliku katkestuse võimalikke tagajärgi; 4) muud olulist teavet. Toimepidevuse plaan (HOS Α 39) Toimepidevuse plaan on dokument, milles kirjeldatakse: 1) meetmeid, mida on tarvis rakendada elutähtsa teenuse osutamise osalise või täieliku katkestuse ennetamiseks; 2) meetmeid, mida on tarvis rakendada elutähtsa teenuse osutamise osalise või täieliku katkestuse tagajärgede leevendamiseks; 3) meetmeid, mida on tarvis rakendada elutähtsa teenuse osutamise osalise või täieliku katkestuse korral elutähtsa teenuse toimepidevuse taastamiseks; 4) muid olulisi küsimusi. 2011 25
Elutähtsa teenuse osutamise elektroonilise turvalisuse tagamine (HOS Α 40) Elutähtsa teenuse osutaja on kohustatud tagama elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete alalise rakendamise. Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed kehtestab Vabariigi Valitsus määrusega. Tööohutuse alased regulatsioonid 77 Tööohutus ja infoturve Tööohutuse küsimused on olulised nii inimeste julgeoleku kui ka infoturbe seisukohast (K,T,S) Tööandja kujundab ja sisustab töökoha nii, et on võimalik vältida tööõnnetusi ja tervisekahjustusi ning säilitada töötaja töövõime ja heaolu Töökoht ja töövahendid: tehniliselt heas seisukorras ja korrapäraselt hooldatud. Kaitsevahendid ja ohutusseadised: hooldatud ja kontrollitud Ohualad märgistada ning rakendada abinõusid, et sinna ei pääseks erijuhendamiseta või eriväljaõppeta töötajad ega teised isikud Tööandja on kohustatud korraldama tervisekontrolli töötajatele, kelle tervist võib tööprotsessi käigus mõjutada töökeskkonna ohutegur või töö laad, ning kandma sellega seotud kulud ISKE: tuleohutus, elektriseadmete kasutamine, ergonoomiline töökoht jm 78 2011 26
Kuvariga töötamine Töötamiskoht peab olema projekteeritud ja kujundatud ergonoomiliselt. Töötajal peab olema võimalik saavutada sobiv ja mugav tööasend Kuvariga töötamisel peab töölaud või -pind olema küllaldaselt suur, et võimaldada kuvari, klaviatuuri ja osutusseadiste (hiir), dokumendihoidja ning kuvariga ühenduses olevate välisseadmete sobivat paigutamist Töötool olema püsikindel, istme kõrgus ja seljatoe asend reguleeritavad, vajadusel peab töötaja saama kasutada jalatuge Dokumendihoidja olema kindlal alusel ja teisaldatav, et vältida pea ja silmade ebamugavaid liigutusi 79 (IT) infrastruktuuriga seotud seadusi ja standardeid 80 Tuleohutus Objekti valdaja kehtestab objekti üldise tuleohutusjuhendi, lähtudes: tuleohutusnõudeid sätestavatest õigusaktidest (Eestis eelkõige päästeseaduses ja siseministri määruses "Tuleohutuse üldnõuded ) iga konkreetse ehitise ning selles toimuva tegevuse või protsessi ja kasutatava seadmestiku tule- ja plahvatusohtlikkuse eripärast Tuleohutust käsitlevad ka mitmed ISKE meetmed M1.6 Tuletõrje-eeskirjade täitmine M1.7 Tulekustutid (arv, tüüp (arvutile CO2), võimsus, paigutus, hooldus) M1.8 Ruumide tuleohutus (tuleohukoormus DIN 4102 järgi) M1.9 Ruumide ja korruste tuleisolatsioon trassiavades M2.15 Tuleohutuse kontroll 81 2011 27
Tuleohutus: füüsilise isiku kohustused Füüsiline isik peab tuleohutuse tagamiseks: järgima objektil kehtestatud tuleohutusnõudeid tundma tuleohutusnõudeid ainetega töötamisel kasutama tule- ja plahvatusohtlikus tegevuses või protsessis töökorras vahendid + täitma kasutamisjuhendeid ja juhiseid rakendama lahtise tule kasutamisel ja suitsetamisel tulekahju tekkimist vältivaid meetmeid hoidma tuletikke ja muud süütevahendit alaealisele kättesaamatus kohas jne teadma oma kohustusi tulekahju või õnnetuse korral tulekahju vms avastamisel viivitamatult teatama 82 Turvaline kaabeldus - regulatsioone Elektroonilise side seaduses, tuleohutuse üldnõuetes, määrustes, standardites ja muudes regulatsioonides. Elektroonilise side seadusest: Sideettevõtja peab tagama sidevõrgu turvalisuse Sideettevõtja viivitamata teavitama klienti ohust + kui oht pole kõrvaldatav, siis ka võimalikest abivahenditest Aparatuuri kasutamine peab olema ohutu Aparatuur kavandada, projekteerida ja toota nii, et oleks tagatud elektromagnetilise ühilduvuse nõuete täitmine 83 Elektriseadmed Elektriseadme kasutamisel ei tohi: paigaldada ajutist elektrijuhistikku kasutada vigastatud või riknenud isolatsiooni vms defektiga elektritarvitit või -juhistikku kasutada kalibreerimata või elektrijuhistiku lubatavale voolutugevusele mittevastava sulavelemendiga kaitset kasutada mittevastavat elektritarvitit ja -juhistikku hoida elektrijaotlas või elektrijaotuspunktis, selle peal, all või vastu mis tahes põlevmaterjali või -eset kasutada mittestandardset elektriküttetarvitit/ -valgustit jätta järelevalveta pidevaks tööks mitteettenähtud elektriseadet 84 2011 28
Turvaline elektrotehniline kaabeldus (B2.2) IT-kaabeldus (B2.13) Ruumide ja korruste tuleisolatsioon trassiavades Kaablite valimine füüsil/meh. omaduste järgi (välis-, niiskuses, visang, tulekindel, soomus-,..) Liinide õige dimensioneerimine (laiendusvaru) Liinide ja kilpide füüsiline kaitse Tasandusvoolude vältimine varjes Elektriliste süttimisallikate vältimine Neutraalne dokumentatsioon jaotuskilbis Võrgu dokumentatsiooni pidev edasikirjutamine ja revisjon Liinide kontroll, tarbetute liinide kõrvaldamine või lühistamine ja maandamine, võrgu sobiv topograafia, 85 Vastutused ja riskid 86 Vastutus: veebis olev sisu IT kasutamine=> juriidiline vastutus => ignoreerimisel riskid Veebis oleva avaliku teabe sisu eest vastutab üldjuhul teabevaldaja (näiteks, riigi- või kohaliku omavalitsuse asutuse) juht, kes võib asjaajamiskorra või muude dokumentidega määrata kindlaks teabenõuete täitmise ja teabe avalikustamise eest vastutavad struktuuriüksused ja ametnikud või töötajad Vastavalt avaliku teabe seadusele on teabevaldaja vastutav ka keelatud või ebakorrektse (juurdepääsupiirangutega, vananenud, eksitava) sisu kasutamise puhul 87 2011 29
Teabevaldaja kohustused AvTS Teabele juurdepääsu võimaldamisel on teabevaldaja kohustatud: tagama juurdepääsu dokumentidele pidama arvestust dokumentide üle avalikustama avalikustamisele kuuluva teabe andma teavet avalike ülesannete täitmisest abistama teabenõudjat teavitama teabenõudjat juurdepääsupiirangutest tagama teabe juurdepääsupiirangutest kinnipidamise mitte andma teadvalt tegelikkusele mittevastavat teavet 88 Riigi- ja kohaliku omavalitsuse asutuse veebilehe pidamise nõuded Veebilehte pidav asutus: teavitab avalikkust veebilehega tutvumise võimalustest avaldab veebilehel päevakohast teavet ei või avalikustada vananenud jms teavet rakendab viivitamata abinõusid veebilehele juurdepääsu takistavate tehniliste probleemide kõrvaldamiseks märgib veebilehel iga dokumendi avalikustamise kuupäeva ja millal on teave veebilehel uuendatud Riigikantselei, ministeeriumi ja maavalitsuse veebilehelt peab olema võimalik otse juurde pääseda nende halduses olevate asutuste veebilehtedele 89 Majutus jm teenused vastutused Kes vastutab ISKE jne rakendamise eest, kui kasutatakse majutusteenust või muid analoogilisi teenuseid Iga osapool vastutab oma ülesannete eest niivõrd, kuivõrd vastutuse erinevad aspektid on seadusandluse ja lepingutega määratud Infoühiskonna teenuse seadus: teatud tingimuste täitmisel ei vastuta teenuse osutaja teabe sisu eest Vastutused käideldavuse, tervikluse ja konfidentsiaalsuse eest - teenuse osutaja ja teenuse kasutaja vahel sõlmitud lepingus 90 2011 30
Kaastöötaja jälgimisega seonduvad juriidilised probleemid Infoturbe probleemid =>töötajate tegevuse jälgimine, teatud määral enamikus tööolukordades Juriidilised probleemid: nt omaalgatuslik jälgimine; kui jälgimisel kahjustatakse isikute põhiseaduslikke huve Eesti Vabariigi põhiseadusest Vaba tahte vastaselt ei tohi koguda ega talletada andmeid veendumuste kohta Igaühel on õigus sõnumite saladusele Igaühel on õigus vabalt levitada ideid, arvamusi, veendumusi ja muud informatsiooni sõnas, trükis, pildis või muul viisil (võib piirata teatud juhtudel) => Jälgimiseks informeerimine, nõusolek, allkiri 91 Viirusetõrje, võrgud, serverid ja muud: karistusseadustik 92 Vastutused: pahavara Kui asutuse infoturve ei ole vajalikul tasemel, võib ta tekitada probleeme teistele asutustele ja isikutele Praktikas on sedasorti probleemid avaliku sektori asutuste puhul seni lahenenud enamasti nii, et pahavara allikale saadetakse teade, misjärel see rakendab vajalikud meetmed Karistusseadustik näeb ette ka rahalise karistuse või kuni kolmeaastase vangistuse arvutiviiruse levitamise eest 93 2011 31
Võrgu ja arvutisüsteemi turvalisus: Karistusseadustik Alates rahalisest karistusest kuni viieaastase vangistuseni Tegude eest, mis võivad viia väärtegudeni või soodustavad seda - rahaline või kuni 3 a vangistus Delikaatsete isikuandmete ebaseaduslik avaldamine Arvutikahjurlus Arvutivõrgu ühenduse kahjustamine Arvutikelmus Arvuti, arvutisüsteemi ja arvutivõrgu ebaseaduslik kasutamine Kaitsekoodide üleandmine Andmekogu pidamise nõuete rikkumine 94 Arvutisüsteemi toimimise takistamine Nuhkvara, pahavara ja arvutiviiruse levitamine Arvutikuriteo ettevalmistamine Terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine Ebaseaduslik arvutiprogrammi valdamine Lisaks eelnevale NB! Kui asutus on võtnud tarvitusele andmete turvataseme nõuetele vastavad infoturbe meetmed ja on toimunud edukas rünne, siis pole alust karistada juhtkonda või töötajaid 95 Lahtised küsimused ja edasised arengud Palju ebaselget, näiteks pole alati selge, kuidas ja mil määral võib küberrünnetele vastuseks ennast kaitsta Vaja riikidevahelisi kokkuleppeid Samasuguseid kokkuleppeid on vaja selleks, et võimaldada teenusepakkujatel ilmseid ründeid blokeerida, samas jäämata legaalse süüdistuse alla oma lepinguliste kohususte mittetäitmise eest Samuti võib arvutikuritegusid olla väga raske selgitada ning jälitada. Näiteks, andmete ebaseadusliku kopeerimise korral ei pruugi sellest jääda mingit jälge; saadetavate teadete algset aadressi on võimalik varjata või muuta; jne 96 2011 32
Kohustus jagada informatsiooni Nt riigid võtnud endale kohustused jagada elektroonilist sidet, terrorismi või suuremaid õiguserikkumisi puudutavat informatsiooni. Eestis nt: Sideettevõtja peab võimaldama jälitus- või julgeolekuasutusele juurdepääsu sidevõrgule jälitustoimingu teostamiseks või sõnumi saladuse õiguse piiramiseks MKM ning Sideamet on kohustatud andma Euroopa Komisjonile vastava nõude esitamise korral teavet Teenuse osutaja on kohustatud viivitamata teatama järelevalvet teostavale pädevale ametiisikule teenuste kasutaja võimalikust ebaseaduslikust tegevusest või pakutavast teabest 97 Põhilised teemad 3 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal 98 Organisatsiooni infoturbekontseptsiooni ülevaade 99 2011 33
Infoturbe rakendamine lihtsustatult 1. Olemasolevate infovarade kaardistamine 2. Äri/põhitegevuse nõuete tuvastamine infovaradele 3. Turbehalduse meetmete rakendamine 4. Turvameetmete väljaselgitamine ja rakendamise planeerimine 5. Turvameetmete rakendamine 6. Tegeliku turvaolukorra kontroll, ohtude hindamine, vajadusel täiendavate meetmete rakendamine 100 Infoturbe poliitika, strateegia ja kontseptsioon ja teised Infoturbe kontseptsioon - ISKE keskne mõiste ISKE spetsiifiline: infoturbe poliitika + strateegia + kontseptsioon infoturbe standardites enamasti infoturbe poliitika Mõned nendest võib ühendada. Lühidalt (BSI tõlgendus): Infoturbe poliitika esitab juhtkonna toetuse infoturbele ja infoturbe aluspõhimõtted Infoturbe strateegia - infoturbe sihid ja sihtide üldised saavutamise teed. Võiks olla infoturbe poliitika osa Infoturbe kontseptsioon sätestab, kuidas strateegiat ellu viiakse 101 Infoturbe poliitika M2.192 "Infoturbe poliitika koostamine" Juhtkonna toetus infoturbele ja infoturbe aluspõhimõtted Peab olema lühike ja selge, sisu vähemalt: IT ja infoturbe väärtus organisatsioonile Infoturbe sihid, seos ärisihtide ja organisatsiooni eesmärkidega Infoturbe strateegia põhielemendid Kinnitus, et juhtkond rakendab infoturbe poliitikat, jälgimise põhimõtted, kõigi töötajate kohustus Infoturbe protsessi organisatsiooniline struktuur 102 2011 34
Infoturbe strateegia Infoturbe eesmärkide ja strateegia kehtestamine (M2.335) Määrab infoturbe sihid ja sihtide üldised saavutamise teed (infoturbe eesmärkide saavutamise teed) Strateegia sisu ja detailsus on otseses sõltuvuses organisatsiooni spetsiifikast (põhitegevuse sõltuvus ITst) infoturbe eesmärgid ja strateegia võiksid sisalduda infoturbe poliitika dokumendis 103 Organisatsiooni infoturbe kontseptsiooni eesmärk Organisatsiooni infoturbe kontseptsioon Kontseptsioon = Kõrgtaseme spetsifikatsioon ISKE juurutamise eesmärkidele ja protsessile Põhineb ISKE rakendamise protsessil Sellest järelduvad teised infoturbe alamkontseptsioonid BSI kasutab tihti sõna concept", võiks ka "poliitika", "plaan" vms 104 Organisatsiooni infoturbe kontseptsiooni sisu (M2.195) Vajaliku turbetaseme määramine Praeguse infoturbe olukorra kaardistamine Etalonmeetmete valimine Riskianalüüs ja vajadusel lisameetmete valimine Kõigi meetmete ühendamine ja koostoime hindamine Turbekulude hindamine ja plaanimine Jääkriski hindamine ja kinnitamine Kontseptsiooni sisu ja struktuur jälgib ning dokumenteerib toodud tegevusi / etappe 105 2011 35
Tegevused / etapid, sisu ja struktuur: BSI standard 100-2 BSI standard 100-2: Etapp 1. IT struktuuri analüüs Etapp 2. Infoturbe nõuete määratlemine Etapp 3. IT varade modelleerimine tüüpmoodulite baasil Etapp 4. Infoturbe seisundi hindamine Etapp 5. Täiendav infoturbe analüüs Etapp 6. Infoturbe meetmete rakendamine Aluseks võib võtta nii ISKE kui ka BSI materjalid Kontseptsiooni sisu ja struktuur jälgib ning dokumenteerib toodud tegevusi / etappe 106 Kontseptsioon, etapp 1: IT struktuuri analüüs Etapp vastavalt BSI standardile 100-2: IT varade dokumenteerimine Asutuse arvutivõrkude plaani koostamine IT süsteemide kohta info kogumine IT rakenduste ja nendes töödeldava teabe kohta info kogumine Ruumide dokumenteerimine Keerukuse vähendamine sarnaste varade grupeerimise teel Üldjoontes = ISKE töö 1 (infovarade inventuur ja spetsifitseerimine), lisaks töö 5 (tsoonideks jaotamine) 107 Kontseptsioon, etapp 1: kui detailselt? Inventuuri ja spetsifitseerimise detailsus võiks sõltuda asutuse vajadustest Detailsuse aste peaks võimaldama ISKE rakendamist ning ei tohiks tekitada asutusele asjatut aja- ja töökulu, nt: Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks 108 2011 36
Kontseptsioon, etapp 2: infoturbe nõuete määratlemine Etapp vastavalt BSI standardile 100-2: IT rakenduste infoturbe nõuete määratlemine IT süsteemide infoturbe nõuete määratlemine Kommunikatsioonide infoturbe nõuete määratlemine Ruumide infoturbe nõuete määratlemine Infoturbe nõuete määratlemise tulemuste analüüs (standardsed BSI moodulid ja meetmed on piisavad? Saaks jaotada tsoonidesse?) Võrreldav ISKE rakendusjuhendi töödega 2 kuni 5 109 Kontseptsioon, etapp 3: IT varade modelleerimine tüüpmoodulite baasil Etapp vastavalt BSI standardile 100-2: tekitada IT varade kirjeldus tüüpmoodulite alusel Et vältida asjatut dubleerimist viis kihti: B1 Üldkomponendid üldjuhul ühised kõigi IT-varade jaoks B2 Infrastruktuur samuti ühised suurte IT varade gruppide puhul B3 IT-süsteemid võimaldavad grupeerimist tehnoloogilisel alusel B4 Võrgud B5 IT-rakendused 110 Kontseptsioon, etapp 3: olemasolevad / planeeritavad varad Nii olemasolevad kui ka planeeritavad varad olemasolevate puhul märgitakse tüüpmoodul vara spetsifikatsiooni -> meetmete valik ja meetmete täidetuse testplaan planeeritavate puhul - arendusdokument, kirjeldab rakendatavaid turvameetmeid -> hankel või juurutamisel Vastab ligikaudselt ISKE tööle 6 (tüüpmoodulite märkimine), sisaldab ka töö 7 (turbehalduse meetmete loetelu koostamine) elemente 111 2011 37
Kontseptsioon, etapp 4: infoturbe seisundi hindamine Etapp vastavalt BSI standardile 100-2: Organisatsioonilised ettevalmistused Sihtolukorra ja tegeliku olukorra võrdlus Tulemuste dokumenteerimine ISKE rakendusjuhendis - hindamine on vajalik, et läbi viia 8. töö: plaan infoturbe halduse (moodul B1.0) meetmete rakendamiseks muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaan arvestades ka meetmete rakendamise maksumuse ning ajalise kestvuse prognoose 112 Kontseptsioon, etapp 5: täiendav infoturbe analüüs BSI standard 100-2 - täiendav infoturbe analüüs kui: eelnevalt määratud infoturbe nõuded on kõrged või väga kõrged BSI / ISKE moodulid ei ole piisavad keskkonnad või protsessid, mille jaoks BSI / ISKE rakendamist otseselt ei ole planeeritud Esimene juht ISKEs osaliselt kaetud - kolmeastmeline etalonturve Teised juhud on ISKEs osaliselt kaetud tööga 10 (tegeliku turvaolukorra kontroll, vajadusel täiendavad turvameetmed) 113 Kontseptsioon, etapp 6: infoturbe meetmete rakendamine BSI standardi 100-2 põhjal: Rakendamist vajavate meetmete kirjeldamine Meetmete konsolideerimine, näiteks kui 4. ja 5. etapil spetsifitseeriti osaliselt kattuvad meetmed Maksumuse ja tööjõu kulu hindamine Meetmete rakendamise järjekorra määramine Ülesannete ja vastutuse omistamine Rakendamisega kaasnevate turvameetmete omistamine Etapp on osaliselt kaetud ISKE töödega 8,9 114 2011 38
Infoturbekontseptsioonist tulenevad regulatsioonid juhtimisele, organisatsioonile, infrastruktuurile jm 115 Infoturbe kontseptsioonist tulenevad regulatsioonid Näited: Tulemüüri kontseptsioon ja turvapoliitika E-posti kasutamise turvapoliitika Andmebaasi turvakontseptsioon Krüptokontseptsiooni väljatöötamine Infoturbe alase koolituse, väljasttellimise kontseptsioonid Mobiilse IT-kasutuse poliitika ja eeskirjad Andmekaitse kontseptsioon Minimaalse andmevarunduse kontseptsioon Turvaintsidentide käsitluse laiendamise strateegia 116 Veel dokumente ISKE meetmetest 1 Võrgukontseptsiooni väljatöötamine Võrguhalduse kontseptsiooni väljatöötamine Viirusetõrje kontseptsiooni loomine Sobiva viirusetõrjestrateegia valimine (sõltuvalt süsteemi klassist) Süsteemihalduse strateegia väljatöötamine WWW kasutamise kontseptsiooni väljatöötamine (teenused; Internetis ja sisevõrgus eraldi) WWW turbe strateegia väljatöötamine KP süsteemi kontseptsiooni väljatöötamine (organisatsioonilised, tehnilised, turvaaspektid) 117 2011 39
Veel dokumente ISKE meetmetest 2 IT-töö kontseptsioon Arhiveerimise kontseptsioon Väljasttellimise strateegia Veebipääsu turvastrateegia määramine Pihuarvutite turvapoliitika ja kasutamise reeglid Serveri turvapoliitika kehtestamine Klient-server-võrgu turvapoliitika kehtestamine Traadita kohtvõrgu kasutamise strateegia väljatöötamine Personali palkamise ja kvalifitseerimise kontseptsioon 118 Regulatsioonide / kontseptsiooni kohandamine, läbivaatamine ja uuendamine 119 Regulatsioonide kohandamine uutele tingimustele Infoturbe rakendamine asutuses on pidev protsess muutuvad IT keskkond, org- ja seadusandlikud tingimused, turvaohud ja meetmed, BSI / ISKE juhendid infoturbe regulatsioone pidevalt üle vaadata / kohandada nt kord aastas / peale muudatusi või intsidente Dokumentatsiooni ajakohasena hoidmine mahukam loomisest => minimeerida dokumentatsiooni mahtu Regulatsioonide uuendamise korraldus, muuhulgas: millal / kes / ressursid / jälgimine ja hindamine 120 2011 40
Infoturbe kontseptsiooni läbivaatamine ja uuendamine Ka infoturbe kontseptsiooni tuleb pidevalt läbi vaadata ja uuendada Sõltub rohkem ISKE rakendusjuhendi muudatustest kui teised dokumendid ISKE rakendusjuhendi uus versioon kord aastas Millised moodulid, ohud ja turvameetmed lisandusid? arvestada ISKE nõudmisi juba enne muudatuste tegemist samuti pärast ISKE rakendusjuhendi uuendamist 121 Harjutus 1 Infoturbe kontseptsiooni koostamise praktikum Küsimused? 122 Põhilised teemad 4 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal 123 2011 41
Riskianalüüs üldine ja ISKE lähenemine 124 Mis on riskihaldus? Riskihaldus on ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna Riskihalduse põhitegevused Riskianalüüs. Milline on vajalik infoturbe tase? Milline on olemasolev tase? Riskihalduse strateegia väljatöötamine. Kuidas katta vahe olemasoleva ja vajaliku taseme vahel ("security gap")? Riskide minimeerimine või välistamine. Meetmete rakendamine, et jõuda vajaliku tasemeni 125 IT riskihalduse metoodikaid Metoodika ISACA Risk IT ISO/IEC 27005 BSI-Standard 100-4 BSI-Standard 100-3 Kirjeldus Sobib IT riskihalduse süsteemi juurutamiseks, mis lähtub äri/põhitegevuse eesmärkidest Sobib infoturbe ja infoturbe ISO/IEC 27001 haldusega seotud riskide haldamiseks Sobib talitluspidevuse planeerimiseks, meetodid sarnased Toimepidevuse riskianalüüsi juhendile HOSis Sobib ISKE rakendamisel täiendavaks riskide hindamiseks 126 2011 42
KONTEKSTI LOOMINE RISKI KAALUTLEMINE RISKIANALÜÜS RISKITUVASTUS Riskihalduse protsess RISKI TEAVITUS RISKI MÕÕTMINE RISKI HINDAMINE Kaalutlemine Ei rahuldav? Jah RISKI KÄSITLUS RISKI SEIRE JA LÄBIVAATUS JÄÄKRISKID Allikas: ISO27005 Käsitlus Ei rahuldav? Jah RISKI AKTSEPTEERIMINE 127 Riskianalüüs Riskianalüüs mingit eesmärki, tegevust, protsessi või muud ressurssi ohustavate faktorite (nende faktorite mõju ja esinemise tõenäosuse) hindamine; Riskianalüüs vaatleb erinevate ohtude mõju ja tõenäosust, mis võivad kaasa tuua kahju; Mitte püüda hinnata kogu organisatsiooni, vaid tuleb piiritleda mingi valdkond, teenus; Sageli selgub kriitiline komponent nn. pudelikael (SPF Single Point of Failure); On sisendiks tasuvuse hinnangule - riski tekitatav võimalik kahju vs. meetmete rakendamise kulu Tegevused riskianalüüsimisel Riskianalüüs sooritatakse üldjuhul järgmiste sammudega Objektide piiritlemine ja varade liigitamine Varade spetsifitseerimine Varade olulisuse hindamine Ohtude, nõrkuste ja olemasolevate turbevahendite spetsifitseerimine Turvarikete tõenäosuse hindamine Oodatava kahju hindamine 2011 43
Kaudne riskianalüüs Riskianalüüsi algfaasis antav üldine hinnang nappide lähteandmete ja puuduliku teadmusega. Esmane hinnang põhjendamaks täiendava riskianalüüsi vajadust ja ulatust Kaudne riskianalüüs on olemuselt kvalitatiivne riskianalüüs, kuigi seal ei pruugita kasutada riskianalüüsi mõisteid Eesmärk luua süstemaatiline otsustusprotseduur, mis lähtuks ressursi rollist, asutuse tegevusest ja annaks objektiivse tulemuse Kvantitatiivne riskianalüüs Kasutatakse võimalikult täpsel statistikal ja kahjude rahalisel väärtusel põhinevaid metoodikaid Näide: Oodatav kahju (L) liigpingest Ohu sagedus (F): kolm korda aastas Varad (V): Server maksumusega 10000 L = F x ( V1 + V2 + Vx jne.) L = 3 x (10000) = 30000 aastas Kvalitatiivne riskianalüüs Opereeritakse subjektiivsete hinnangute skaalaga (skaalad tavaliselt kahe- kuni kuuepallised) Näide: Ohu realiseerumise sagedus. Kvantitatiivne Kvalitatiivne vaste 1. Väike 1. 0-25% 2. Keskmine 2. 25%-50% 3. Suur 3. 50%-75% 4. Väga suur 4. 75%-100% 2011 44
KONTEKSTI LOOMINE RISKI KAALUTLEMINE RISKIANALÜÜS RISKITUVASTUS Riski käsitlus RISKI TEAVITUS RISKI MÕÕTMINE RISKI HINDAMINE Kaalutlemine Ei rahuldav? Jah RISKI KÄSITLUS RISKI SEIRE JA LÄBIVAATUS JÄÄKRISKID Allikas: ISO27005 Käsitlus Ei rahuldav? Jah RISKI AKTSEPTEERIMINE 133 Riskikäsitlus Valitakse riski vähendamise, säilitamise, vältimise või jagamise meetmed ja koostatakse riskikäsitluse plaan Riski käsitlemise võimalused valitakse riski kaalutlemise tulemite, võimaluste teostamise eeldatava maksumuse ja võimaluste teostamisest oodatavate hüvede põhjal. Riskikäsitlusplaani põhjal tehakse kindlaks jääkriskid ja nende aktsepteeritavus. 134 Turvameetmed - ISKE rühmad ja näited M1 infrastruktuur (nt Aknad ja uksed suletud) M2 organisatsioon (nt Süsteemi ja võrgu pääsuõigused) M3 personal (nt Väljaõpe enne programmi kasutamist) M4 riistvara ja tarkvara (nt Perioodiline viiruseotsing) M5 side (nt Tarbetute liinide kõrvaldamine või lühistamine ja maandamine) M6 avariijärgne taaste (nt IT-rakenduste võimsusnõuete dokumenteerimine) M7 andmekaitse (nt Vastutuste reguleerimine andmekaitse alal) 135 2011 45
KONTEKSTI LOOMINE RISKI KAALUTLEMINE RISKIANALÜÜS RISKITUVASTUS Jääkriskid RISKI TEAVITUS RISKI MÕÕTMINE RISKI HINDAMINE Kaalutlemine Ei rahuldav? Jah RISKI KÄSITLUS RISKI SEIRE JA LÄBIVAATUS JÄÄKRISKID Allikas: ISO27005 Käsitlus Ei rahuldav? Jah RISKI AKTSEPTEERIMINE 136 Jääkriskid Turvameetmed kahandavad riske ainult osaliselt Mida enam riske kahandatakse, seda suuremad on kulutused Millal aktsepteerida, jagada, või tegutsemine lõpetada? Seega tavaliselt jäävad jääkriskid Juhtkond peaks olema jääkriskidest teadlik Aktsepteerimise otsus need, kellel on selleks õigus 137 Riskianalüüsi strateegiad Täismahus detailne riskianalüüs on väga töömahukas kümneid / sadu süsteeme ja rakendusi ISKE üle 440 ohu hinnata paljude süsteemide * sadade ohtude mõju Seepärast kasutatakse riskianalüüsiks erinevaid strateegiaid Etalonturbe metoodika Mitteformaalne metoodika Detailne riskianalüüs Segametoodika 138 2011 46
ISKE etalonturve ja tüüpsed turvameetmestikud Sarnased süsteemid => saab kasutada etalonturvet ISKE riskianalüüs = etalonturbe metoodika, eelised: Riskianalüüs ökonoomsem, meetmete valimine lihtsam Analoogilisi etalonmeetmeid saab kohandada paljudele süsteemidele Puudused: Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed olla liiga kallid või kitsendavad Kui etalontase on liiga madal, võib turve olla ebapiisav Raskusi võib tekkida muutuste haldusega 139 Etalonturbe taseme määramine ISKE: neljapalliline skaala, mida rakendatakse iga osaeesmärgi - käideldavuse, tervikluse ja konfidentsiaalsuse puhul Turvaosaklassi tähised koosnevad turvaeesmärgi tähisest ja turvataseme väärtusest. Andmete vajaliku turbetaseme peab määrama andmete omanik Soovitav lasta asutuse juhtkonnal kinnitada 140 Mida veel arvestada turvaosaklasside määramisel? Lisaks eeltoodud tasemete määratlusele: Seadustest ja lepingutest tulenevad nõuded Põhitegevuse (või äritegevuse) protsessidest tulenevad nõuded Tagajärgede kaalukuse hindamisest tulenevad nõuded 141 2011 47
Turvameetmete määramine Leida igale infovarale vastavad tüüpmoodulid => viited vajalikele turvameetmetele. Alumine kiht (aste L) tuleb rakendada alati Astme M puhul lisanduvad M-taseme meetmed Astme H puhul lisanduvad astme H meetmed H taseme meetmed jagunevad kohustuslikeks (kataloogi H alamkataloogi HG meetmed) tingimuslikeks ( HK, HT, HS meetmed) Tingimuslike meetmete rakendamine sõltub moodulirühma kõrgeima tasemega turvaosaklassi(de)st: K3 korral tuleb rakendada kõik alumises tabelis loetletud HK-meetmed jne 142 Harjutus 2 Kaudne riskianalüüs Teie asutuse näitel Küsimused? I päeva lõpp 143 Põhilised teemad 5 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal 144 2011 48
Infoturbehaldus Infoturbe juhtimine 145 Infoturbe haldus Eesti avaliku sektori ja erasektori asutustes Erasektor, puudub kindel standard. Mõnedes asutustes on infoturbe haldus väga heal tasemel (Pangad) Enamikus avaliku sektori asutustes - infoturbe vajadus teadvustatud ja ISKE kas täielikult või osaliselt rakendatud/rakendamisel informatsioonil on keskne roll asutuste infoturbe probleemid infoturbe intsidentide ulatuslik kajastamine, sh kübersõda ISKE juurutamise kohustus jne Süstemaatilise infoturbe halduse üks olulisemaid nõudeid: infoturbe juhtimise organisatsiooni loomine -> ülesanded ja vastutused 146 Infoturbe juhtimise üldine struktuur Kõik asutuse töötajad mõjutavad infoturvet Infoturbe juhtimise struktuur hõlmab nii tipp-, kesk- kui ka alamastme juhte peavad olema infoturbest teadlikud ning oma valdkonnas vastutusi võtma ja delegeerima Lisaks töötajad (nt administraatorid), kes infoturbe haldusega otseselt seotud on 147 2011 49
Üldvastutus tippjuhtkonna tasemel Infoturbealgatus peab lähtuma juhtkonnalt Infoturve lülitada kõigisse protsessidesse ja projektidesse Määrata kohustused ning hoolitseda kvalifikatsiooni ja ressursside eest Juhtkond peab aktiivselt suunama ja jälgima infoturbeprotsesse Tuleb seada mõõdetavad eesmärgid Tuleb anda eeskuju turvaeeskirjade järgimisega Turvet tuleb pidevalt täiustada Töötajaid tuleb motiveerida, teadvustada, koolitada ja informeerida 148 Vastutused, delegeerimine, aruandmine Nõuded: seadusandlusest, asutuse tööülesannetest, lepingutest, kokkulepetest Üldvastutus infoturbe eest - juhtkonna tasemel Delegeerib edasi, näiteks infoturbe juhile, IT juhile jne Need delegeerivad, nt süsteemiadministraatoritele, teenusepakkujatele, kasutajatele jne Aruandmine ülesannete täitmise kohta vastavalt ametijuhenditele ja käsuliinidele kirjalikult või suuliselt regulaarselt või intsidendipõhiselt 149 Infoturbe standardid ISO27000 standardite perekond. Infotehnoloogia, Infoturve (27001 ja 27002) IT Grundschutzhandbuch - Saksamaa Infoturbeameti (BSI) IT etalonturbe käsiraamat ISKE Eesti avaliku sektorile kohustuslik infoturbe metoodika mis põhineb IT Grundschutzhandbuch -il PCI DSS (Payment Card Industry Data Security Standard) maksekaartidega seotud teenused ISO 13569 Pangandus ja sellega seotud rahandusteenused" - lisad dokumentide näidetega ITIL (IT Infrastructure Library), IT teenuste haldamise parima praktika kogum ISO/IEC 20000 kaheosaline standard, mis ühildub ITIL-iga COBIT (ISACA juures tegutsev IT Governance Institute) IT juhtimise raamistik ärieesmärkide tagamisel 150 2011 50
Etalonturve - ISKE ISKE põhineb IT Grundschutzhandbuch'il Kasutab riskianalüüsiks etalonturbe metoodikat Infovarad, tüüpmoodulid, turvaklass, turbeaste, turvameetmed On mõeldud andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks Rakendatav ka muudes riigi- ja omavalitsusasutustes, äriettevõtetes ja mittetulunduslikes organisatsioonides. Ei ole mõeldud riigisaladust käitlevate infosüsteemide turbeks. 151 Erinevate rollide vastutus (ISKE järgi) Põhivastutaja - infoturbe juht, infoturbe spetsialist, ISKE koordinaator ISKE rakendamine asutuses ei ole mitte ainult IT osakonna sisene projekt läbib kogu asutust ISKE rakendusjuhendis ka teised rollid ning vastutused Asutuse IT eest vastutaja Andmete omanik, haldaja, kasutaja Juhtkonna esindaja ISKE juurutaja 152 ISKE rakendusjuhendi struktuur ISKE rakendusjuhend Metoodika lühiülevaade Infovarade vajaliku turvataseme analüüs Nõutava turbeastme ja turvameetmestiku määramine ISKE meetmete kataloogid (IT Grundschutzhandbuch) Tüüpmoodulite turvaspetsifikatsioonid Ohud Turvameetmed turbeastmele L, M Turvameetmed turbeastmele H 153 2011 51
Meetmete täiendamine, vajaduste muutused, ISKE täiendused Infoturbe spetsialist Meetmete evitamine ja võrdlus tegeliku turvaolukorraga Infoturbe spetsialist Turbehalduse rakendamise plaan ja selle täitmine Infoturbe spetsialist, asjakohased töötajad, juhtkond Turbehalduse meetmete loetelu koostamine Infoturbe spetsialist Infovarade tüüpmoodulitesse jaotamine Infoturbe spetsialist ISKE ring 154 Infovarade täiendamine/muutmine Infovarade inventuur ja spetsifitseerimine Infoturbe spetsialist Turvaklasside määramine andmetele ja/või rakendustele Juhtkonna esindaja Turvaklassi määramine muudele infovaradele IT eest vastutav töötaja, Infoturbe spetsialist Turvaastme määramine kõigile turvaklassiga infovaradele Infoturbe spetsialist Vajadusel kõrgeima astme järgi tsoneerimine IT eest vastutav töötaja, Infoturbe spetsialist, juhtkonna esindaja Infoturbe koolitused, hindamine, audit, sertifitseerimine 155 Koolitusprogrammid eri rollide täitjatele Kavandada koolituse sihtrühmad Integreerida teiste koolitusliikidega (nt IT koolitus) Minimaalne koolituse sisu kõigile töötajatele Olulisemate süsteemide spetsiifiline infoturbe koolitus IT alaseid teadmisi tuleb pidevalt täiendada Koolitust tuleb ühendada teadlikkuse tõstmise üritustega 156 2011 52
Infoturbe alase kultuuri arendamine Infoturbe koolituse / teadvustamise programmi kavandamine Seminarid, konsultatsioonid, teavitusüritused Koolitus turvameetmete alal Hoolde- ja halduspersonali väljaõpe Personali juhendamine - IT-vahendite turvaline kasutamine Juhtkonna teadvustamine infoturbest Kontaktisiku määramine turvalisuse alal Infoturbe alased tegevus- ja rollimängud Koolitus etalonturbe protseduuride alal Personali perioodiline turva-alane atesteerimine (valik) 157 Infoturbe alane hindamine ja sertifitseerimine Infoturbe taseme hindamist, auditit, sertifitseerimist, atesteerimist jne võib teha kolmel tasemel toode või süsteem inimesed / eksperdid organisatsioon (IT keskkond ja infoturbehaldus) Toode / süsteem: Common Criteria - ITSEC jt edasiarendus toodet hinnatakse seatud turvasihtide (security target) põhjal ei pruugi sisaldada kõiki turvalisuse osaeesmärke 158 Ekspertide sertifitseerimine, näited CISA (Certified Information System Auditor) CISSP (Certified Information Systems Security Professional) Security+ TISP (Teletrust Information Security Professional) CEH (Certified Ethical Hacker) 159 2011 53
Organisatsioonide infoturbehalduse sertifitseerimine Arendada ja evitada ITHS kooskõlas standardi nõuetega ja saada seda tõendav sertifikaat Märk seinal Partneritele ja klientidele usaldusväärsuse tõestus Sisemine distsipliin Standardi õige tõlgendus Väliste ekspertide arvamus/kinnitus sinu ITHS kohta 160 Audit ISKE rakendamisprotsessis Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid: Rakendamise üldine audit Mitmesugused eriotstarbelised auditid, ISKE meetmete nõuded (nt WiFi ) Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit 161 ISKE rakendamise üldise auditi põhimõtted (1) Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul Audiitoriks sõltumatu/väline audiitor Andmekogu vastutav töötleja peab auditeerimise läbiviimisel veenduma, et audiitor omaks auditi läbiviimise ajal kehtivat ISACA infosüsteemide audiitori (Certified Information Systems Auditor, CISA) sertifikaati, Briti Standardi Instituudi (British Standards Institute) väljaantud ISO 27001 juhtiva audiitori sertifikaati või Saksa Infoturbeagentuuri (Bundesamt für Sicherheit in der Informationstechnik) väljaantud ISO 27001 IT Grundschutzi baasil sertifitseeritud audiitori sertifikaati 162 2011 54
ISKE rakendamise üldise auditi põhimõtted (2) Audiitori konfidentsiaalsus kohustus Audiitor peab olema auditeeritavast sõltumatu 2 aasta jooksul pole konsulteerinud Audiitori sõltumatus peab olema kinnitatud audiitori poolt allkirjastatud dokumendiga Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu 163 ISKE auditi protsess VV määrus 252 Α 9 1. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd: 1) kontrollida teostatud infovarade inventuuri vastavust nõuetele; 2) kontrollida st; 3) kontrollida rakendamisele kuuluvate turvameetmete valimist; 4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist. 164 ISKE auditi protsess Infovarade inventuuri vastavus nõuetele Hinnatakse infovarade inventuuri dokumentatsiooni vastavust ISKE nõuetes kajastatud andmete osas Hinnatakse seoste olemasolu infovarade ja andmekogude vahel. Kontrollitakse dokumentatsioonis kajastatud andmekogudega seotud infovarade vastavus tegeliku olukorraga. 165 2011 55
ISKE auditi protsess Turvaklasside ja turbeastmete määramine Tutvutakse olemasoleva turbetaseme määramist kirjeldava dokumentatsiooniga ja õigusaktidega Viiakse vajadusel läbi intervjuud andmekogude omanikega täpsustamaks seadustest, lepingutest, protsessidest ja tagajärgede kaalukusest tulenevaid nõudeid Kontrollitakse turvaklasside määramise ja perioodilise ülevaatamise protseduure NB! Õigusakti turvaklassi kirjutamine ei vabasta organisatsiooni kohustusest turvaklassi määramise aluseid teada ning vajadusel ümber hinnata! 166 ISKE auditi protsess Turvameetmete valimine Kontrollitakse kas turvameetmete valimine lähtub turvaklassist/turbeastmest ning infovaradest (ISKE tüüpmoodulite valik). Kontrollitakse kas turvameetmete nimekiri on täielik Kontrollitakse meetmete olemasolu, mis on rakendaja poolt tunnistatud mitte asjakohaseks. Vastavate meetmete olemasolu korral kontrollitakse iga meetme rakendamata jätmiseks põhjenduse olemasolu ja asjakohasust 167 ISKE auditi protsess Turvameetmete rakendamine Koostatakse valim turvameetmetest mille rakendamist kontrollitakse Teostatakse turvameetmete rakendamise kontrollimiseks intervjuud ja testimised Iga kontrollitud meetme rakendatuse staatus koos audiitori hinnanguga dokumenteeritakse 168 2011 56
Ründetestimine Kui turvaline on infosüsteem? Kui hästi on süsteem kaitstud häkkerite eest? Kas kasutajad saavad ligi ainult infole, millele neil on volitus? Kas server on turvaliselt seadistatud? Kas süsteem võib põhjustada andmete lekkimist? Ründetestimine (2) Testimise käigus vaadatakse üle Infosüsteemi avatus välismaailmale Serveri seadistused Kasutajatuvastussüsteemi seadistused Kasutajasessioonide haldus Kasutajaõiguste haldus Sisestatavate andmete kontrollide toimivus Ründetestimine (3) Testimise käigus EI ürita Kliendile probleeme tekitada Andmeid varastada Olemasolevaid andmeid muuta 2011 57
Ründetesti tellimine Kontrollitavus ründetestide teostamise aluseks peaks olema metoodika, mitte ainult: Spetsialisti oskustel põhinev testide valik Konkreetse riist- ja/või tarkvara toote võimalused Varasema kogemus ja spetsialistid Black-box, Gray box ja White box. Millal teha infoturbe audit? Olulised asjad rakendatud Kui tähtajad nõuavad: rakendatud või reaalne plaan olemas Ettevalmistused: ISKE rakendamine on dokumenteeritud ja jälgitav Audit ei asenda ISKE rakendamist! 173 Infoturbehaldusega seotud probleeme Finantseerimine Süsteemide analüüs ja ISKE rakendamise kavandamine Edasine vastavus hoolduse ja arenduse raamides vastavad vahendid vajadusel igasse algatatavasse projekti plaanida Aktsepteerimine Infoturve on kasutajatele ebamugav / asutusele kulukas / juhtkonna toe puudumine rakendada teadvustamist ja koolitust planeerida minimaalsed vajalikud meetmed pakkuda kasutajatele tuge kaasata juhtkonda anda juhtkonnale infoturbest perioodiliselt aru 174 2011 58
Põhilised teemad 6 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal 175 Asutuse tegevus: töös olevate süsteemide kaitse ülesanded. Infrastruktuuri turve Töös olevad süsteemid Organisatoorsed meetmed Personali alased meetmed Riistvara ja tarkvara meetmed Side meetmed Infrastruktuuri turve Füüsiline turvalisus Ligipääsu kontroll Elektrivarustus, tulekaitse, konditsioneer, veekaitse 176 Organisatoorsed meetmed 177 2011 59
Süsteemide, konfiguratsiooni, rakenduste, tarkvara, riistvara jmt. dokumenteerimine Dokumenteerida ja hoida kaasaegsena muuhulgas Süsteemide konfiguratsioon Volitatud kasutajate, kasutajarühmade ning õiguste profiilid Muudatuste olulised etapid Andmete varundamine Olulisemad intsidendid Osa dokumentatsioonist: automaatselt töö käigus 178 Logifailide regulaarne läbivaatus Kuna logifailid on seotud isikutega, tuleb jälgida nende kasutamist ainult turvaotstarbel Võimalusel rakendada automatiseeritud kontrolle Volitamata või kahtlased pääsud Igasugused erandlikud sündmused Kas logid on omavahel kooskõlalised Kas mingi pika perioodi kohta pole logiandmeid puudu Kas logiandmeid pole juba liiga palju (nii et on raske jälgida) Logide roteerimine ja säilitamine 179 Personali alased meetmed 180 2011 60
Personali valik, tööga tutvustamine ja koolitus Nõudmised ja kvalifikatsiooni eeldused Inimesed usaldatavad Vajadusel taustakontroll Vältida huvide konflikte Tööga tutvustamisel tutvustada turvaeeskirju jne Kasutajate IT alane koolitus, lisaaeg tutvumiseks Perioodiline IT turbe alane koolitus 181 Uute töötajate kohustamine eeskirju järgima Uute töötajate töölevõtmisel - kohustada jälgima seadusandlikke akte (nt isikuandmete kaitse seadust), asutuse eeskirju ja muid vajalikke regulatsioone Tutvustada, võtta selle kohta allkiri, teha kättesaadavaks, motiveerida täitma Meenutada, et informatsiooni tuleb vastavalt nõuetele hoida vaid asutuse sisemiseks kasutamiseks 182 Töösuhte lõpetamise reeglid Enne lõpetamist juhendada järglane Tagasi võtta dokumendid, võtmed ja IT-vahendid Tühistada kõik sisenemis- ja pääsuõigused (ka kaugpääs) Selgitada lahkumisel üle konfidentsiaalsuskohustused Kui olid talitluse/taaste ülesandeid, värskendada plaanid Informeerida kõiki turvavastutajaid, eriti valvelauda Ära võtta vaba sissepääs asutusse, eriti IT-ruumidesse Vajaduse korral tühistada IT-õigused juba lahkumisavalduse andmisel Analoogilised põhimõtted ka asendustöötajate puhul Vrd teisele töökohale lahkumine samas asutuses 183 2011 61
Funktsioonide lahusus ja funktsioonidele orienteeritud õiguste haldamine Funktsioonide (kohustuste) lahususe printsiip: mitteühilduvaid funktsioone mitte samale töötajale Õiguste haldus ja auditeerimine Programmeerimine ja autori poolne testimine (ebapiisav) Andmesisestus ja maksekorralduste viseerimine Audit ja maksekorralduste viseerimine Üldjuhul: töö tegemise ja sama töö kontroll Õiguste süsteem kujundada lähtuvalt funktsioonidest Töötajal õigused teatavate funktsioonide täitmiseks Kergem jälgida õiguste omistamist ja mitteühilduvate õiguste mitteomistamist 184 Riistvara ja tarkvara meetmed 185 Operatsioonisüsteemi taseme turvalisus Seadmed ja tarkvara peaksid pakkuma võimalikult vähe võimalusi rünneteks => installeerida ning kasutada nii vähe komponente ja teenuseid kui võimalik. Näide: soovitused serveri installiks Alginstalleerimine: valida ainult vajalikud osad Tarbetute programmide desaktiveerimine Võrguparameetrite konfigureerimine Tarbetute võrguteenuste desaktiveerimine Turbeprogrammide ja uuenduste installeerimine Võrguteenuste konfigureerimine ja kontroll Sellest hetkest alates tarbetute programmide kõrvaldamine Tarbekuse hindamisel arvestada ka intsidentide ja taaste jaoks vajalikuga 186 2011 62
Riistvara ja tarkvara turvaline konfiguratsioon Kontrollida algsätted, vajadusel vastavaks turvapoliitikaga Õigused süsteemikataloogidele ja -failidele ning kasutajakontode sätted peavad vastama turvapoliitikale Tarbetud kasutajakontod tuleb kustutada või desaktiveerida Näide: Windows XP paroolita Administrator Tarbetud võrguteenused tuleb deaktiveerida või deinstalleerida Konfigureerida pääs võrku ja välisteenuste juurde Kirjutuskaitstud andmekandjale on soovitatav luua süsteemi turvarikke puhuks terviklust kindlustav andmestik Aluskonfiguratsioon dokumenteerida nii, et selle põhjal saaks konfiguratsiooni taastada ka teine administraator 187 Viirusetõrje Potentsiaalsele viiruseohule alluvate IT-süsteemide tuvastamine Sobiva viirusetõrjestrateegia valimine Sobiva viiruseskanneri hankimine ja seadistamine Viirusetõrje eeskirjade koostamine ja kehtestamine Perioodiline viiruseotsing Viiruseskanneri automaatne värskendamine Viirusnakkustest teatamine 188 Kaitse rämpsposti vastu Kasutada rämpsposti filtreid võimalusi on õige mitmeid, kohati mõned ei sobi Võimalusel meiliaadressid, mis pole hõlpsalt oletatavad Selgitada kasutajaile netiketti ja rämpsposti meetmeid Vältida vastumeetmeid 189 2011 63
Turvapaikade haldus Identifitseerida kõik paikamist vajada võivad komponendid (opsüsteemid, rakendused, võrguseadmed,...) Fikseerida kõigi komponentide jaoks paikamisvajadusest teada saamise protseduurid (automaatselt, käsitsi,...) Turvapaigad kiirelt installeerida Paigad hankida usaldusväärsetest allikatest (tootjalt mõistlikult autenditult) Testida võimalusel uuendusi, tehes enne uuendamist varukoopiaid ning dokumenteerides muudatused 190 Riistvaras ja tarkvaras olevate turvafunktsioonide kasutamine Sisse ehitatud turvafunktsioone, saab suhteliselt väikeste kuludega kasutada. Silmas pidada ka hankimisel, näited: BIOS parool pole väga tugev, kuid kaitseb juhuslikkuste eest Automaatset ekraanilukku kasutada lühiajalise eemalviibimise puhul Muuta alginstalleeritud paroolid Andmete krüptimine, biomeetrilised turvaelemendid Rakendusprogrammid: paroolkaitse käivitamisel, üksikfailide paroolkaitse, vaheandmete automaatsalvestus, järglasfaili automaatsalvestus modifitseeritud nimega, andmete krüptimine, automaatvarundus 191 Õiguste administreerimine Anda ainult vajalikud õigused. Võtta õigused ära, kui neid enam vaja ei ole! Õiguste andmised/põhjendused/konfliktid dokumenteeritud Juurdepääsu kontrollida autentimisega Autentimissüsteem: autentimise andmete kaitse, paroolide piirangud, logimine jne Jälgida, et ühele isikule ei antaks ühitamatuid volitusi ja õigusi Ülesandeid, mida eriõigustega kasutaja saab täita tavalise kasutaja õiguste raames, tuleks täita tavalise kasutaja õigustega Kaugligipääsule vajadusel lisapiirangud 192 2011 64
Side meetmed 193 Haldusliidesed Rakenduste haldusliidesed olgu korralikult turvatud alati on vajalik autentimine, sageli vajalikud lisapiirangud, näiteks: IP-põhine Ainult sisevõrgust Eraldi füüsiline haldusvõrk, juurdepääs sinna ainult piiratud grupile Võrguseadmed IP KVM serveritel 194 Tulemüüri kontseptsioon, IDS süsteemid, ründetestid Kohtvõrk / võrguosa ühendada Internetiga ainult vajadusel Tulemüüri turvaeesmärgid ja turvapoliitika (asutuse turvapoliitikas) Side kahe võrgu vahel ainult tulemüüri kaudu, tulemüür ei tohiks pakkuda lisateenuseid, halduspääs ainult turvalise marsruudi kaudu Lubatavaid ühendusi peab saama eraldi määrata Tulemüürist ei tohiks sõltuda sisevõrgu toimimine Tulemüür peab võimalikult vähe häirima kohtvõrgu kasutajaid Kõrgendatud turvanõuete puhul ründetuvastussüsteem (IDS) Kõrgendatud turvanõuete puhul läbipääsu testimine (turvalisuse testimine, ründetestid) 195 2011 65
E-post Organisatoorsed ja tehnilised meetmed, näiteks Meileri konfigureerib administraator Kasutajat tuleb enne esmakordset kasutamist instrueerida E-posti saatjat tuleb autentida Kasutajad peavad teadma failiedastuse reegleid Saatja signatuurile e-kirjas on kehtestatud reeglid On määratletud krüptimise ja digitaalsigneerimise vajadus 196 Kaugpöörduse turvalisus Kaugpöörduse turve samal tasemel nagu selle süsteemi poole kohtvõrgust pöördumisel Kaugpöörduse kasutaja turvaliselt autenditud, vajadusel rakendada täiendavaid juurdepääsupiiranguid Kasutaja peab olema volitatud ligi pääsema samal või vajadusel kitsendatud tasemel Tuleb rakendada samaväärset andmete kaitse taset kui kohtvõrgu puhul (näiteks kaugelt pöördumisel konfidentsiaalsuskaitse krüptimise näol) Käideldavus peab olema kindlustatud, eriti missioonikriitiliste süsteemide puhul 197 Kaugpöörduse turvalisuse meetmed Kaugpöörduse vajaduste analüüs Kaugpöörduse süsteemi kontseptsioon, turvasuunised, arhitektuur, sobiv toode VPNi kasutamine Kaugarvuti turvalisus Tarbetuks muutunud kaugpääsude sulgemine Ootamatuseplaan kaugpöörduse süsteemi tõrgete puhuks Mobiilse IT-süsteemi andmevarundus (Kõrge turbeaste) kaugpöörduste logimine, kodutöötaja ja asutuse vahelise infovoo dokumenteerimine jne 198 2011 66
Virtuaalsed privaatvõrgud Turvaline ühendus ebaturvalises keskkonnas, kasutades ühenduse turvamiseks krüptivat tunneldusprotokolli ja turvameetmeid Andmed krüptitakse lähtekohas enne avalikku võrku jõudmist ja dekrüptitakse sihtkohta saabudes VPN võib olla integreeritud tulemüüriga Üldjuhul on VPN topoloogia keerukam kui ühendus ühest punktist teise ning VPN ülesanne ei ole vaid infoturve VPN tunneldusprotokolle ning tooteid on mitmesuguseid ja nende valik sõltub turvanõudmistest ning sellest, millisel OSI mudeli tasemel krüptimine toimub Alati pole täis-vpn vajalik, mõnikord piisab üksikutest eraldi turvatud teenustest (näiteks HTTPS) 199 Mobiilsete IT süsteemide turvaline kasutamine Eriti sülearvutid, aga ka pihuarvutid, mobiiltelefonid, USB mäluseadmed jne. Lisaks tavalistele reeglitele: Mobiilse IT-kasutuse reeglid Hankel arvestada ka infoturbe nõudeid Turvapaigad, tulemüür, viiruse- ja nuhkvara tõrje Automaatne viirusetõrje tarkvara uuendamine ja perioodiline viiruseotsing Parool (rangemad reeglid), krüptida tundlikud andmed Reisil minimaalselt valveta, hotellis ruum lukku jne Turvaline side ja ühendamine kohtvõrguga Mobiilse IT-süsteemi andmevarundus Intsidentidest teatamine 200 Traadita kohtvõrkude turvamehhanismid Põhimõtteline erinevus traadiga võrkudest perimeetri puudumine Traadita kohtvõrkude turvamehhanismid - IEEE 802.11 ja IEEE802.11i 802.11 - WEP protokoll - ebaturvaline, mitte kasutada WiFi-Alliance: Wi-Fi Protected Access (WPA): olulisemad WEP turvaprobleemid lahendatud WEP kui ka WPA - RC4 krüptoalgoritm, kuid WPA teeb seda turvalisemalt kui WEP IEEE 802.11i ja WPA2 - AES krüptoalgoritm WPA parooliga autentimise korral võtta piisavalt pikk ja turvaline parool ja piisavalt unikaalne võrgu nimi 201 2011 67
Turvaaukude kohta informatsiooni hankimine ja turvaintsidentide käsitlemine Turvaaukude kohta info tarnijalt jne (CERT-id, meililistid, veebikanalid, ajakirjad) Turvaintsidentide käsitluse vastutused, protseduurid, teatamiskanalid, asjassepuutuvate teavitamine Turvaintsidendi uurimine ja hindamine, parandusmeetmed, käsitluse haldussüsteem, käsitluse laiendamise strateegia, prioriteedid Turvaintsidendi käsitluse hindamine Turvaintsidentide avastamise meetmete haldamine Turvaintsidentide käsitluse süsteemi testimine Kõrge turbeastme puhul: kaugindikatsiooni vastuvõtmine, ööpäevaringne teatamine, CERT-EE teavitamine jne 202 Asutuse tegevus: töös olevate süsteemide kaitse ülesanded. Infrastruktuuri turve Töös olevad süsteemid Organisatoorsed meetmed Personali alased meetmed Riistvara ja tarkvara meetmed Side meetmed Infrastruktuuri turve Füüsiline turvalisus Ligipääsu kontroll Elektrivarustus, tulekaitse, konditsioneer, veekaitse 203 Füüsiline turvalisus 204 2011 68
Füüsiline turvalisus: hooned Infrastruktuur vastab standarditele kõigis järkudes Hoone sobiv asukoht (turvaline keskkond) Ruumide valikul arvestada ka IT nõuetega Perimeetri kaitse (tarad, valgustus, valvesüsteemid jms) Uusimad plaanid (sh evakuatsiooniks) kättesaadavad Kaitset vajavate ruumide paigutus Kaitstavate hooneosade märgistamata jätmine Kindlustus Koristajate kasutamise nõuded Valve- ja tuletõrjesignalisatsioon, videovalve jne 205 Ruumide ja töökohtade füüsilise turvalisuse meetmed 1 Lisaks eelnevale: Aknad ja uksed tuleks hoida suletud Töökeskkondade reeglid asutuses = kodutööl Töölaud vaba, lahkumisel dokumendid jne kappi Töö võõraste IT-süsteemidega keelatud või reguleeritud Ergonoomiline töökoht (sh lukustatavad panipaigad) Vargusetõrjevahendid Sobivad kaitsekapid (tule-, varguse- jne kindlus) Avariiarhiiv (kogu süsteemi taasteks; teises kohas) Ressursside jäljetu hävitamine (nt andmekandjad/värvilint) 206 Nõupidamisruumid, kodu- ja mobiiltöökoht Lisaks eelnevale: Ruumide kavandamine/sisustamine/turvaline kasutamine Võrgupääsu korraldus ruumides Valvesignalisatsiooni olemasolu ja uste lukustamine Kodutöökoha sobiv konfiguratsioon (ruumitarve, kliima, valgustus, ühendused, aknast eemale) Mobiiltöökoha sobiv valimine ja kasutamine (pealtvaatamise vältimine jms) Äridokumentide ja -andmekandjate sobiv talletus (kodutöökohas: lukustatult jne) 207 2011 69
Ligipääsu kontroll 208 Ligipääsu kontroll: üldised meetmed, hooned 1 Võtmete (ja kaartide) haldus (valmistus, hoidmine, jaotamine jne peaks toimuma tsentraliseeritult vastavalt kehtestatud nõuetele) Peaksid olema kehtestatud hoonesse ja ruumi sisenemist reguleerivad reeglid, mida tuleb perioodiliselt üle vaadata ja ajakohastada Vajadusel tuleks hoone jaotada eri tasemega turvatsoonidesse, mille jaoks on kehtestatud reeglid vastavalt turvatasemele Pääsla peaks tagama külastajate kontrolli ja registreerimise. Tuleks kindlustada, et valve ei laseks läbi töölt lahkunud töötajaid. Külastajad peaksid liikuma koos saatjaga 209 Ligipääsu kontroll: üldised meetmed, hooned 2 Lisaks eelnevale: Hoonetel ja kriitilisematel ruumidel turvauksed Välispersonali ja külastajate valve ja saatmine (üksi jätta ainult eriruumi) Tehnilise personali ligipääsude haldamise / kontrolli eeskirjad ja jälgimine Hooned ja ruumid: sissemurdmiskaitse (erilukud, rulood, keldriaknad, tagauksed; pärast tööd liftid lukku) Jaotusseadmete pääsueeskirjad (toide, vesi, telefon,..; pääs võimalik ja reguleeritud) Valve- ja tuletõrjesignalisatsioon (vähemalt lokaalne) 210 2011 70
Ligipääsu kontroll: ruumid ja töökohad Lisaks eelnevale: Aknad ja uksed suletud (kui kedagi ruumis pole; suures ruumis lukustada oma tsooni lauad, kapid jm) Õige koodlukuprotseduur (muuta: hankimisel, kasutaja vahetusel, kahtlusel, + kord aastas) Kriitiliste ruumide valve- ja tuletõrjesignalisatsioon Serveriruumi ja andmearhiivi külastajate logiraamatu ja logi reeglite sätestamine ja jälgimine Serveriruumi temperatuuri seire koos lubamatute hälvete automaatse teatamisega Väljakolimise kord (vastutajad; tarbetu kõrvaldada, mitte jätta turvakriitilist laokile) 211 Elektrivarustus, tulekaitse, konditsioneer, veekaitse 212 Elektrivarustuse kaitse: liinid 1 Liinide ja kaablitega seotud meetmed: Välisliinide lahutuslülitid (ka muude kommunikatsioonide puhul) Kaablite valimine füüsilis-mehaaniliste omaduste järgi (välis-, niiskuses, tulekindel, soomuskaabel jne) Liinide õige dimensioneerimine (laiendusvaru - pigem vabade soontena, läbikoste vältimine) Minimaalselt ohtlikud kaablitrassid Tasandusvoolude vältimine varjes (ühine toitesüsteem, maandamata neutraal, ühepoolne maandus) Neutraalne dokumentatsioon jaotuskilbis (enamasti piisav: liin, jaotusseade, toanumbrid) 213 2011 71
Elektrivarustuse kaitse: liinid 2 Kaablite dokumenteerimine ja märgistus (aeg!) Liinide ja kilpide füüsiline kaitse (sh signalisatsioon) Jaotusseadmete pääsueeskirjad Liinide kontroll (visuaalne ja funktsionaalne: kilbid, karbid, lukustus, lühised, katkestused, vastavus) Juhtmestuse kohandamine (ruumide otstarbe jms muutumisel) Tarbetud liinid: kõrvaldamine/lühistamine/maandamine Trasside plaanid (täpsete tehniliste andmetega) Varuliinide rajamine 214 Elektrivarustuse kaitse: ülepinge kaitse, elektrivarustuse katkematus, muud meetmed Liigpingekaitse Toite avariilülitid (eriti serveriruumis vms) Kaitse elektromagnetilise kiirguse eest (filtrid, kaitsekapi tihendamine) Puhvertoiteallikas (UPS) (arvestada 10-15 min katkestusele, sisekeskjaamal kuni mitu tundi) Varutoite allikas (vajadusel varugeneraator, käivitub puhvertoiteallikast, kütuse varu kaheks päevaks) Tehnilise infra varud (nt kaablid, kliimaseadmed jm) Tõrgete kaugindikatsioon (tuli, UPS, konditsioneer) Elektriliste süttimisallikate vältimine 215 Tulekaitse: organisatoorsed meetmed Tuleohutusega seotud regulatsioonid ja eeskirjad Personali informeerimine tuleohutuse nõuetest Suitsetamiskeeld (IT-ruumides ja andmekandjaruumides) Ruumide tuleohutus (arvestada tuleohukoormust) Tuletõrje-eeskirjade täitmine Eeskirjade täitmise tihendatud seire vajadusel Tuleohutuse eest vastutava isiku varajane informeerimine toru- ja kaablitrasside ehitustöödest Häireplaan ja tuleohuõppused Tuleohutuse kontroll (1-2 korda aastas, hoiatamata; kontrollida ka läbipääsud, koormused, tuletõkked) 216 2011 72
Tulekaitse hoonetes ja ruumides Eraldi tuletõkked, kaitse suitsu eest, piksekaitse Ruumide ja korruste tuleisolatsioon trassiavades Kaablijaotusseadmete tulekaitse Tulekoormuse vähendamine (pakkematerjalid vms) Tuletõrjesignalisatsioon (andurid ka kliimaseadmes) Serveriruumi temp. seire koos automaatse teatamisega Tõrgete kaugindikatsioon (tuli, UPS, konditsioneer) Põlengu varajase avastamine ja automaatkustutus Tulekustutitele püstitatud reeglid ning nende järgmine Tulekustutite olemasolu igas serveri- ja arhiiviruumis 217 Konditsioneerid: üldised meetmed Õhukonditsioneeri süsteem peaks olema kavandatud vajalikul töökindluse tasemel Konditsioneeri süsteemid peaksid olema projekteeritud ja paigaldatud varuga võimalike tõrgete puhuks Õhukonditsioneeri süsteem ei tohi põhjustada häireid teiste süsteemide töös Õhukonditsioneeri ruum on soovitav jätta tähistamata Süsteemi tuleb pidevalt jälgida ja hooldada 218 Konditsioneerid: tehnilist laadi meetmed Õhukonditsioneeri süsteem võimalusel eraldi ruumis Õhukonditsioneeri kompressori ja külmutusseadme komponente ei tohiks paigaldada serveritega ühte ruumi Ligipääsu konditsioneeri süsteemi ruumidesse tuleb kitsendada, ruume tuleb vajadusel kaitsta Tõrgete avastamiseks rakendada kaugindikatsiooni Süsteem peaks suutma töötada suitsu olemasolu korral Paigaldamisel tuleks vältida veetorusid IT seadmete ruumides. Kui pole võimalik - drenaažrennid jne Avariiprotseduurid konditsioneeri avarii puhuks, konditsioneeri taaste tuleb lülitada taasteplaanidesse 219 2011 73
Veekaitse: üldised meetmed Peavad olema kehtestatud ja jälgitud vee jaotusseadmete pääsueeskirjad (pääs olgu võimalik ja reguleeritud) Peavad olema olemas veetrasside plaanid (koos täpsete tehniliste andmetega, märgitusega, tarbijatega jne) Talitluspidevuse plaan peab sisaldama komponente (kontakte, tegutsemisplaane jne) veeavarii puhuks Vee- ja muude kahjustustega seotud sätted tuleks lülitada teeninduspersonaliga sõlmitavatesse lepingutesse 220 Veekaitse: tehnilist laadi meetmed Tagada vajalikud veevarud, eemaldada ebavajalik vesi IT süsteeme tuleks kaitsta nii vee kui liigse niiskuse eest Vältida veetorusid IT-ruumis (või drenaažrennid jne) Veetorude keeld serveri- ja arhiiviruumis Veetorusid tuleks regulaarselt üle vaadata Kriitiliste seadmete puhul - automaatne indikatsioon Automaatne drenaaž kõigis ohustatud kohtades (äravool, vajadusel pumbad) Vee äravoolu pumbad piisava võimsusega, filtrid, automaatselt käivitatavad, regulaarselt testitud Veeseadmete kaitse elektrivoolu eest 221 Harjutus 3 Infoturbe meetmete rakendamise praktikum näidisjuhtumi analüüsi põhjal Küsimused? 222 2011 74
Põhilised teemad 7 1. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis 2. Õigusaktid ja muud IT seotud regulatsioonid. 3. Asutuse infoturbe kontseptsioon. 4. IT riskide haldus. 5. Infoturbehaldus. Infoturbe standardid ja nõuetele vastavuse kontroll. 6. Taristu turve. Töös olevate süsteemide kaitse ülesanded. 7. Hädaolukorrad ja nende käsitluse plaanimine. 8. IT süsteemid: süsteemiarendus ja infoturve 9. Turvameetmete tehniline realiseerimine 10. Uusimad arengud IT alal 223 Hädaolukorrad ja nende käsitluse plaanimine Hädaolukorrad, intsidentide käsitlemine, ärijätkuvus Hädaolukordade halduse organisatsioon Hädaolukorra plaani dokumentatsioon 224 Hädaolukorrad, intsidendi- ja probleemihaldus, ärijätkuvus 225 2011 75
Hädaolukord ja selle üldised haldamispõhimõtted Hädaolukord on tunduv kõrvalekalle süsteemi normaalsest töörežiimist, mis võib viia suurte kahjustuste või süsteemi töö lakkamiseni võtta kõik võimalikud meetmed nende ennetamiseks talitluspidevuse ja taasteplaanid, kui peaksid tulema harjutada plaanide kohast tegutsemist olla tähelepanelik ning tunda hädaolukorrad ära tegutseda vastavalt plaanile, kui hädaolukord on käes tegutseda leidlikult, kui plaanist ei piisa viia läbi avariijärgne taaste -> jätkata tegevust või lõpetada tegutsemine 226 Hädaolukorrad ja IT süsteemid Hädaolukorra seadus: hädaolukord ohustab riigi julgeolekut, inimeste elu ja tervist, kahjustab oluliselt keskkonda, tekitab ulatuslikku majanduslikku kahju elutähtsate teenuste loend IT süsteemid, mille häired võivad mõjutada inimelusid ja tervist, tekitada suurt majanduslikku kahju, tuua kaasa klientuuri ja reputatsiooni kadu, tekitada ulatuslikke keskkonnakahjustusi. Näited Asutuse elutähtis info - lepingud, kliendid, projektid. Tööstuses: tootmisliinid, jõujaamad jne Transpordis: sõidukite juhtimine maal, vees, õhus. Liikluse juhtimine, nt majakad, navigatsiooniseadmed IT infrastruktuur, mis toetab kriitilisi protsesse 227 Hädaolukorrad ja intsidendid Hädaolukord algab tihti intsidendist, mille tõsidus ei ole kohe selge -> haldus seotud intsidendihaldusega Ka intsident on kõrvalekalle süsteemi normaalsest töörežiimist, kuid kõik intsidendid ei ole hädaolukorrad ITIL (IT Infrastructure Library): intsident - sündmus, mis ei ole teenuse kokkulepitud toimimise osa ning mis põhjustab või võib põhjustada selle teenuse katkemise või kvaliteedi halvenemise võrreldes Teenustaseme lepingus kokkulepituga Intsidendihalduse eesmärk on taastada normaalne teenus nii kiiresti kui võimalik, minimeerides selle mõju äritegevusele ja kasutajale 228 2011 76
Põhilised intsidendihalduse protsessid Intsidentide avastamine Intsidentide klassifitseerimine ning esialgne käsitlemine Uurimine ja diagnoos Lahendamine ja taaste Intsidendi registreerimine ja sulgemine (lõpetamine) Intsidentide jälgimine ja kommunikatsioon Intsidentide halduse protsessi käigus võib selguda, et tegu on hädaolukorraga, misjärel rakendatakse vastavaid protseduure 229 Jätkusuutlikkus Jätkusuutlikkuse halduse eesmärk on võimaldada organisatsioonil toimida edasi peale hädaolukorda, ideaalselt ka hädaolukorra ajal. Jätkusuutlikkuse aluseks on talitluspidevuse ja taasteplaanid Talitluspidevuse plaan: "Kuidas hoida ettevõtet käigus tugiprotsesside ja -süsteemide, näiteks infotehnoloogiasüsteemide puudumisel? Taasteplaan: "Kuidas taastada soovimatust intsidendist mõjutatud süsteemi talitlust?" Talitluspidevuse ja taasteplaan: eraldi või üks dokument Jätkusuutlikkuse haldus põhineb intsidentide, hädaolukordade ja talitluspidevuse halduse organisatsioonil, dokumentatsioonil ja protsessidel 230 Hädaolukordade halduse organisatsioon 231 2011 77
Hädaolukorra ja vastutuste määratlemine IT süsteemide ja rakenduste käideldavusnõuded => intsidentide lahendamise aktsepteeritavad kestvused Intsident võib muutuda hädaolukorraks, kui seda ei õnnestu lahendada õigeaegselt ning selle jätkumine võib viia suurte kahjustusteni Isik, kes on volitatud otsustama, kas on tegemist hädaolukorraga ning algatama meetmete rakendamise Hädaolukorra kestmise ajaks - organisatsioon (kriisikomisjon, kriisimeeskond) Sellise organisatsiooni struktuur ja osalejate vastutused tuleks fikseerida kirjalikult ning kinnitada juhtkonna poolt 232 Kriisimeeskonna koolitamine Määratleda koolituse eesmärgid Määratleda sihtrühmad Tuvastada koolitusvajadused sihtrühmadel Määratleda koolituse sisu, näiteks: hädaolukordade protsesside ja eeskirjade tundmaõppimine, hädaolukordade rakendamise harjutused Valida meetodid ja teavitusvahendid. Kas kasutada oma või väliseid koolitajaid? Koolituse vorm? Modulaarne koolitus Kontrollida tulemuslikkust küsitlustega jne Värskendada teadmisi regulaarselt, nt lisakoolitusega 233 Häireplaan Häire teadistuskanal (telefon, käskjalg, meil jne). Kes alarmeerib keda (aadressid, telefonid) + alternatiivid + tegutsemine sel puhul, kui ei saa kontakti Plaani eksemplar igale avariiprotseduuride eest vastutajale + üks keskne eksemplar (nt valvelauas) Loetletud isikud peavad tundma neid puudutavat osa Kõik töötajad: oma kontaktisik avariist teatamiseks Erijuhtumite jaoks (tuli, vesi jm) võivad olla eri plaanid + Eriotstarbelised plaanid tegutsemiseks peale häiret, nt valikjuhtumite taasteplaanid, andmeside taasteplaanid, avariijärgse taaste plaan, andmevarundusplaan, asendushankeplaan jne 234 2011 78
Miinimumnõuete määratlemine hädaolukorra tegevusteks Hädaolukorras tegutsemiseks: prioriteedid (näiteks, milliste süsteemide milliseid funktsioone tuleb kaitsta ja hallata kõigepealt) miinimumnõuded tegutsemiseks (näiteks, millised on minimaalsed ressursid mingi rakenduse minimaalses vajalikus mahus tööshoidmiseks) Hankida ja hoida vajadusel käigus varuressursid (nt arvutid ja mäluseadmed), samuti sõlmida kokkulepped ja plaanida tegevused ressursside kiireks hankimiseks välistelt tarnijatelt Kui varusüsteemi tarnija on sõlminud analoogilised kokkulepped paljude asutustega, siis on see ohuallikas 235 Hädaolukordade plaani testimine Kord aastas testida, tulemused dokumenteerida Valmisolekuharjutused (nt generaatorite töö, restart pärast IT-komponendi avariid, andmete taastamine) Häireplaan ja tuleohuõppused (nt kas ja kuidas evakueerida inimesed ja seadmed, keda tuleb informeerida, millistele hädatalitustele tuleb teatada) Pistelised taasteproovid (taastamine nt tehniliste defektide, väärate parameetrite, halva halduse, eeskirjade rikkumise jm tõttu) Andmete taaste harjutamine (perioodiliselt ja vähemalt pärast varundusprotseduuri iga muutmist) Turvaintsidentide käsitluse süsteemi tõhususe testimine 236 Hädaolukorra plaani dokumentatsioon 237 2011 79
Avariiprotseduuride juhend Mida tuleb hädaolukordade puhul teha ning kuidas hoida käigus ja/või taastada kriitilisi süsteeme Nii, et väline ekspert saaks selle põhjal töötada Eriti võtmeisikud ja nende ülesanded Kättesaadav, tutvustatud, uuendatud. Komponendid: Viivitamatud meetmed: hädaolukorrast teatamine ja tegevusjuhised eriolukordadeks Üldised reeglid: üldeeskirjad hädaolukorraks ning käideldavusnõuete tabel Kriitiliste komponentide avariitaasteplaanid IT-süsteemide kirjeldus jms 238 Viivitamatud meetmed ja üldised reeglid Viivitamatute meetmete osa Teatamine (alarmiplaan ja teadistuskanalid, aadressid, isikute ja ametikohtade eriülesanded hädaolukorras, hädakutsenumbrid) Tegevusjuhised eriolukordadeks (kahjutuli, vee sissetung, voolukatkestus, konditsioneeri avarii, andmesideavarii, pommiähvardus jne) Üldised reeglid hädaolukordade lahendamiseks Üldeeskirjad hädaolukorraks (avariiprotseduuride eest vastutajad, taasteplaane täitvad üksused, käitumisreeglid) Käideldavusnõuete tabel 239 Kriitiliste komponentide avariitaasteplaanid Iga olulisema komponendi kohta järgmine informatsioon Asendusvõimalused teiste komponentidega Võimalikud asutuse sisemised või välised alternatiivid Andmete edastusvõimalused Piiratud IT töö võimalused Avariijärgne taasteprotseduur 240 2011 80
Maksimaalne katkestusaeg Maksimaalne katkestuse lubatud kestus kriitilise tegevuse katkemise periood, mille möödumisel pole juriidiline isik või asutus võimeline osutama elutähtsat teenust seadustes või nende alusel kehtestatud õigusaktides või lepingutes sätestatud tingimustel (MTD Maximum Tolerable Downtime); Nõutav taasteaeg teenuse osutaja poolt määratud aeg kriitilise tegevuse jätkamiseks ja taastamiseks (RTO Recovery Time Objective) Aeg 24 h Katkestus MTD (36h) 0 h 24 h 36 h RPO RTO WRT MT(P)D, RTO, RPO, WRT (BSI 100-4) RPO WRT Asendushanked ning lepped tootjate ja tarnijatega Avariiprotseduuride plaanis: asendushangete plaan, valmistajate ja tarnijate loend ning taastepiirkonna hooldefirmade loetelu. Iga põhilise IT-komponendi kohta tunnusandmed, valmistaja, tarnija, tarnimisele kuluv aeg, reinstalleerimiseks kuluv aeg Eelnevalt eelkokkulepped tarnijatega, sh asendustarne garantii, varuosad, garanteeritud tarnetähtajad, garantiiaeg, tootetugi Üürimisel/laenamisel arvestada profülaktilise remondi, tõrgete ja kahjustuste vältimise nõudeid ning kindlustuse vajadust jääkriski osaliseks katmiseks 243 2011 81