1 / 21

IT lahenduste seire. Riigi infoturbe juhtimine.

IT lahenduste seire. Riigi infoturbe juhtimine. Ivo Koppelmaa, RIA nõunik infosüsteemide auditeerimise alal. Mis on IS audit?. Audiitortegevuse seadus kehtival kujul ei reguleeri infosüsteemi auditit

amora
Download Presentation

IT lahenduste seire. Riigi infoturbe juhtimine.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT lahenduste seire.Riigi infoturbe juhtimine. Ivo Koppelmaa, RIA nõunik infosüsteemide auditeerimise alal

  2. Mis on IS audit? • Audiitortegevuse seadus kehtival kujul ei reguleeri infosüsteemi auditit • IS audit on nõuetele vastavuse kontroll ja hinnangu andmine auditeeritava organisatsiooni infosüsteemile (või selle osadele), kaasa arvatud selle seostele automatiseerimata protsessidega ja organisatsioonilise struktuuriga. • Standardid (ISO, COBIT, ISKE), õigusaktid, ka organisatsiooni enda poolt kehtestatud nõuded.

  3. IS audiitori kvalifikatsioon • ISACA (Rahvusvaheline Infosüsteemide Auditi ja Juhtimise Ühing) annab välja CISA sertifikaati • Mitmetes riikides kohalikud sertifikaadid, Eestis mitte • Eestis 12 CISA • Eesti Infosüsteemide Audiitorite Ühingus28 liiget

  4. IS auditi protsess • Tundmaõppimine (milline on organisatsioon ja tema nõuded infosüsteemile) • IT juhtimise ja infosüsteemide ülevaatus • Nõuetele vastavuse hindamine • Riskide tõendamine

  5. IT lahenduste seire - COBIT • Kogutakse andmeid IT protsesside toimimise kohta ja antakse aru juhtkonnale • Hinnatakse sisekontrollide adekvaatsust • Sõltumatu kinnituse hankimine – nt IT teenuste ja teenusepakkujate hindamine/sertifitseerimine • Audiitorid peavad olema sõltumatud ning tegutsema auditi hea tava kohaselt

  6. SF projektide järelevalve • Dokumentatsiooni kontroll • Rikkumistest teatamine • Mis on rikkumine? • Miks ja kellele peab teatama? • Projektide auditeerimine IS audiitori poolt

  7. IT projektide audit • Miks on vaja lisaks tavapärasele järelevalvele teha IS audit? • Projekte ohustavad IT-spetsiifilised riskid • Riigisektor on igal pool maailmas teada kui nõrk IT projektide tellija • Väga suur osa IT-projekte ebaõnnestub, kuna puudub asjatundlik järelevalve

  8. IT projektide audit • Audit – nõuetele vastavuse kontroll • Nõuded: • Projekti plaan peab sisaldama riskihinnanguid ja riskide haldamise meetmeid • Projekti plaan peab sisaldama mõõdetavaid vahe- ja lõpptulemusi • Peavad olema paigas selged protseduurid vahe- ja lõpptulemuste hindamiseks ja vastuvõtmiseks • Auditeeritakse nii projektiplaani kui vahe- ja lõpptulemusi

  9. Riigi infoturbe juhtimine • Infopoliitika 2004 – 2006 punkt eTurvalisus: • töötada välja ühtse infoturbepoliitika aluspõhimõtted • asutada rahvuslik infoturbe keskus • EL vastavate struktuuride kontaktpunkt • rünnete registreerimine • teavitamine • kaitsemeetmete väljatöötamine ja levitamine • turvateadlikkuse tõstmine

  10. Varasemaid tegevusi • COBIT on tõlgitud eesti keelde • RISO kodulehel soovitused infoturbe korraldamise kohta • Eesti Informaatikakeskus soovitas Turvaklasside ja etalonmeetmete virtuaaljuhendit (AS Küberneetika) • Andmekogude seadus nägi ette turvameetmete süsteemi kehtestamise • ISKE määrus (12.08.2004)

  11. Riigi infoturbe juhtimise eesmärgid • Riigi ja erasektori konkurentsivõime tõstmine • E-äri ja e-teenuste leviku toetamine • Efektiivsuse kasv • Teadlikkuse ja kompetentsi arendamine • Kodanike õiguste ja infokapitali kaitse • Koostöö nii riigisiseselt kui rahvusvaheliselt • Agentuur ENISA • CIIP, CERT, PPP, turvateadlikkus • ISKE rakendamine ja täiendamine

  12. Kuidas ISKE saadi? • EVS-ISO/IEC 17799 Infotehnoloogia. Infoturbe halduse menetluskoodeks • EVS-ISO/IEC TR 13335 Infoturbe halduse suunised • Keskendub turvameetmete valimisele • Osa 4 mainib etalonturbe meetmete käsiraamatuid • BSI IT etalonturbe teatmik • Selge turvaeesmärk • Detailselt kirjeldatud meetmed • Hästi kirjeldatud rakendusmetoodika

  13. ISKE põhimõtted • Eesmärgiks oli lihtsustada keskmisel tasemel turvalisuse saavutamist: • Traditsiooniline meetod nõuab ohtude määratlemist, tõenäosuse ja mõju analüüsi, olemasolevate turvameetmete hindamist ning jääkriski maandamiseks vajalike turvameetmete rakendamist • ISKE pakub valmiskomplekti turvameetmeid moodulite kaupa – nt serveriruum, e-posti server, unix-server, andmebaasid, kaugtöökoht jne.

  14. ISKE põhimõtted (2) • Eeldused: • Normaalsed turvavajadused • Tüüpilised IT komponendid • Tüüpilised ohud ja nõrkused • Sellisele asutusele: • Soovitatakse standardsed turvameetmed • Antakse nende detailsed kirjeldused • Kirjeldatakse tüüpilisi ohte

  15. BSI originaaljuhend • Kirjeldab samme, mis on vajalikud keskmise turvataseme saavutamiseks • Tüüpmoodulite kirjeldused (57 tk, ~170 lk) • Ohtude kataloog (333 tk, ~370 lk) • Turvameetmete kataloog (772 tk, ~1750 lk, eesti keeles 66 lk) • Mitmesugused abivahendid CD-l

  16. ISKE rakendamise sammud • Inventuur • Võrgu topoloogia • IT varad gruppide kaupa • Rakendused • Vajaliku turvataseme määratlemine • 4 turvaosaklassi • terviklus • konfidentsiaalsus • käideldavus • teabe hilinemise tagajärgede kaalukus • 3 võimalikku turvataset

  17. IT varad ja rakendused

  18. Turvataseme määramine

  19. ISKE rakendamise sammud (2) • Olemasolevate turvameetmete hindamine • (BSI - vajadusel täiendav turvaanalüüs) • Rakendamist ootavate meetmete “konsolideerimine” (ID-kaardi v veetorude näide) • Maksumuse ja tööjõuvajaduse hindamine • Tööplaani tegemine (sh vastutajad) • Teavitus, koolitused jne

  20. Mis teha kui raha ei jätku? • Turvatase on liiga kõrgeks hinnatud? • Kesksed lahendused? • USA osariigi Oregoni näide • koostati business case konsolideeritud andmekeskuse loomiseks • eeliseks on muuhulgas ka võimalus efektiivsemalt tagada süsteemide turvalisus, taastatavus ja talitluspidevus

  21. Vastavus turvameetmete süsteemi määrusele • Rangelt võttes on ISKE süsteem range • Kui kasvõi üks meede on rakendamata, siis nõutud turvataset ei ole saavutatud • Tegelikult on turvalisuse saavutamine pikk protsess • Peab olema plaan, kuidas teha asju tähtsuse järjekorras • BSI süsteemis on meetmetel erinev prioriteetsus • Põhjendatud otsusega saab osa turvameetmeid välja jätta

More Related