1 / 127

ISKE audit

Tallinnas, 2. novembril 2009 Jaak Tepandi. ISKE audit. Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”. Koolitusprojekti meeskond. Tellija: Korraldaja: Koolitaja: Koolitaja:. Eesmärgid ja läbivad ideed. Eesmärgid

raisie
Download Presentation

ISKE audit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tallinnas, 2. novembril 2009 Jaak Tepandi ISKE audit Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”

  2. Koolitusprojekti meeskond Tellija: Korraldaja: Koolitaja: Koolitaja:

  3. Eesmärgid ja läbivad ideed Eesmärgid Anda ülevaade ISKE rakendamise auditist Arutada probleeme, ühtlustada seisukohti Mitte-eesmärgid (lühiülevaade + seosed pidevalt) ISKE rakendamise koolitus Infoturbe koolitus Auditi või COBIT koolitus Läbivad ideed Infoturbe vajalikkus ISKE ISACA juhendid / COBIT Terve mõistus 3

  4. Põhilised teemad (+ISKE tööd) • ISKE auditi põhimõtted • ISKE, rollid, osalejad • Audit • ISKE auditi alused • Infovarade inventuuri nõuetele vastavuse kontroll (1) • Turvaklasside ja turbeastmete määramise kontroll (2-5) • Rakendamisele kuuluvate turvameetmete valimise kontroll (6-8) • Turvameetmete rakendamise kontroll (9-10). Auditi järeldus, koolituse kokkuvõte + Juhtumianalüüsid, arutelud, probleemid

  5. Lühendeid ja sõnaseletusi (1) RIA – Riigi Infosüsteemide Arenduskeskus ISKE - Infosüsteemide kolmeastmelise etalonturbe süsteem RIHA – Riigi infosüsteemide haldussüsteem X-tee - Infosüsteemide andmevahetuskiht IT, IS – infotehnoloogia, infosüsteem BSI - Saksamaa Infoturbeamet, Bundesamt für Sicherheit in der Informationstechnik IT Grundschutzhandbuch - IT etalonturbe käsiraamat 5

  6. Lühendeid ja sõnaseletusi (2) ISACA – Infosüsteemide Auditi ja Juhtimise Assotsiatsioon (Information Systems Audit and Control Association) COBIT - Info- ja sidustehnoloogia juhtimiseesmärgid (Control Objectives for Information and related Technology) CISA – infosüsteemide sertifitseeritud audiitor, Certified Information Systems Auditor EISAÜ – Eesti Infosüsteemide Audiitorite Ühing AvTS – Avaliku teabe seadus 6

  7. ISKE, rollid, osalejad 2. taseme pealkiri ja pilt 7

  8. Etalonturbe ja ISKE rakendusala Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega Infosüsteemide kolmeastmelise etalonturbe süsteem (ISKE): Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks Rakendatav ka muudes organisatsioonides Ei ole mõeldud riigisaladust käitlevate infosüsteemide turbeks 8

  9. Allikad ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il) Täiendatakse regulaarselt kord aastas Lisateave BSI käsiraamatust Tavaliselt on asutuses kasutusel turvanõuete taseme poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke 9

  10. ISKE ja selle alusmaterjalid VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“ Rakendusjuhend - http://www.ria.ee/27220 ISKE KKK - http://www.ria.ee/28416 Pilootprojekt maavalitsuses – http://www.ria.ee/26501 Pilootprojekt vallavalitsuses – http://www.ria.ee/29943 Ingliskeelne juhend IT Baseline Protection Manual: http://www.bsi.de/english/gshb/index.htm Saksakeelne juhend IT-Grundschutzhandbuch: http://www.bsi.de/gshb/downloads/index.htm Standardid, eriti ISO/IEC 27000 seeria - http://www.riso.ee/et/it-standardimine/eesti-infotehnoloogia-standardid, lisaks ISO/IEC 27005 (e.k. kavand) Soovitused - http://www.riso.ee/et/infopoliitika/soovitused 10

  11. ISKE struktuur Rakendamise juhend, vt jaotis 1.5 Infovarade spetsifitseerimise ja turvaanalüüsi juhised , vt jaotis 2.1, 2.2 Etaloninstrumendid: turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3 tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1 (mõisted ja lühendid, jaotis 4) infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B, vt jaotis 5 ohtude kataloog G, vt jaotis 6 turvameetmete kataloog, vt jaotis 7 11

  12. ISKE rakendamise tegevused Infovarade inventuur ja spetsifitseerimine Andmekogude turvaklasside määramine Muude infovarade turvaklasside määramine Turvaklassiga infovarade turbeastme määramine Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse Turbehalduse meetmete loetelu koostamine Turvameetmete rakendamise plaani koostamine Turvameetmete rakendamine Tegeliku turvaolukorra kontroll, ohtude hindamine, vajadusel täiendavate meetmete rakendamine 12

  13. ISKE rakendamise rollid Mõningaid rolle võib täita üks ja sama inimene: ISKE koordinaator asutuses Infoturbe spetsialist Asutuse IT eest vastutaja Andmete omanik Juhtkonna esindaja ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine) 13

  14. Osalejate tutvustamine Nimi, asutus (,roll ISKE juurutamisel) (Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) ) (Küsimus / probleem, millele tahaks koolituselt vastust leida) 14

  15. IT audit 2. taseme pealkiri ja pilt 15

  16. IT auditi üldised alusmaterjalid ISACA standardid ja suunised COBIT Eriti IT Assurance Guide Using COBIT Eriti DS 5 Ensure Systems Security EISAÜ materjalid 16

  17. IT audit (1) Formaalne Kas regulatsioone, standardeid, juhtnööre jälgitakse? Andmed on korrektsed? Efektiivsuse ja tõhususe eesmärgid saavutatud? Välis- või siseaudit ISACA Glossary of Terms 17

  18. IT audit (2) Ülevaade, hinnang ja nõuanded infosüsteemile (või selle osadele) süsteemiarendusele kasutamise tehnoloogiale ja korraldusele seostele automatiseerimata protsessidega seostele organisatsioonilise struktuuriga EISAÜ infosüsteemide audiitorkontrolli eeskirjad 18

  19. ISACA terminoloogia: audit, assurance, control jt Assurance (tagamine, kinnitus – sõltuvalt kontekstist) Audit Control: juhtimine, meede (sõltuvalt kontekstist) Effectiveness / efficiency: toimivus / tõhusus ISACA Glossary of Terms, 1 June 2008 19

  20. IT auditi üldine skeem Planeerimine Määratle auditi valdkond Vali IT halduse raamistik Vii läbi riskipõhine auditi planeerimine Anna kõrgtaseme hinnangud Püstita kõrgtaseme sihid Ulatuse piiritlemine: ärisihid – IT sihid – kesksed protsessid ja ressursid – kesksed meetmed – kohandatud kesksed meetmed Täitmine: vt allpool IT Assurance Guide Using COBIT, fig 9 ja lk 19 20

  21. IT auditi tegevuste näiteid - planeerimine Vii läbi kiire riskihinnang Analüüsi ohtusid, nõrkusi ja ärimõju Diagnoosi operatsiooni- ja projektiriski Planeeri riskipõhised kinnituse tegevused Identifitseeri kriitilised IT protsessid Hinda protsessi küpsust IT Assurance Guide Using COBIT, fig 9 ja lk 19 21

  22. IT auditi tegevuste näiteid – ulatuse piiritlemine Piiritle ja planeeri tegevused Vali kriitiliste protsesside juhtimiseesmärgid Täpsusta juhtimiseesmärke IT Assurance Guide Using COBIT lk 19 22

  23. IT auditi sammud – täitmine Täpsusta arusaamist kinnituse subjektist Täpsusta kriitiliste juhtimiseesmärkide ulatust Testi kesksete juhtimiseesmärkide meetmete kavandamise toimivust Testi kesksete juhtimiseesmärkide väljundit Dokumenteeri juhtimise nõrkuste mõju Koosta ja edasta järeldused ja soovitused IT Assurance Guide Using COBIT lk 19 23

  24. Auditi üldine skeem 2: IAASB Määratle osapooled Määratle auditi olemus / valdkond Määratle ja kooskõlasta hindamiskriteeriumid Kogu tõendusmaterjale Hinda tõendusmaterjale Tee järeldused Koosta ja edasta järeldused ja soovitused IT Assurance Guide Using COBIT, Fig 13 International Auditing and Assurance Standards Board (IAASB) 24

  25. Tänane käsitlus: IAASB + COBIT Auditeeritav valdkond Määratle osapooled Määratle valdkond - teema ja nõuded Määratle ja kooskõlasta hindamiskriteeriumid Hindamise / auditi käik Kogu tõendusmaterjale Hinda tõendusmaterjale Tee järeldused Koosta ja edasta järeldused ja soovitused Näited, arutelu, tulemus 25

  26. ISKE auditi alused 2. taseme pealkiri ja pilt 26

  27. Auditi valdkond: Infosüsteemide igapäevase kasutamisega / infoturbega seotud seadused Avaliku teabe seadus Isikuandmete kaitse seadus Autoriõiguse seadus Karistusseadustik Infoühiskonna teenuse seadus Konkreetsete registrite seadused jms – nt Rahvastikuregistri seadus Muud infosüsteemidega seotud - Riigisaladuse seadus, Arhiiviseadus, Digitaalallkirja seadus, elektroonilise side seadus jne Veel (info)turvet puudutavad, näiteks hädaolukorraks valmisoleku seadus, päästeseadus jne Konkreetse süsteemi valdkonna kohta käiv seadusandlus 27

  28. (Info)turbega seotud määrused, poliitikad jm VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, ISKE auditi juhend Infoturbe koosvõime raamistik Infoühiskonna Arengukava 2013 Riigi IT koosvõime raamistik Riigi IT arhitektuur Semantilise koosvõime raamistik Veebide koosvõime raamistik Infoturbega seotud muud regulatsioonid, nt siseministri määrus "Tuleohutuse üldnõuded“ 28

  29. Ülevaade ISKE rakendamise kontrollist ja hindamisest Otsese rakendaja poolt läbi viidav kontroll Infoturbe koordinaatori või spetsialisti poolt läbi viidav spetsifitseeritud meetmete kontroll Infoturbe koordinaatori või spetsialisti poolt läbi viidav täiendav riskianalüüs ja lisameetmete rakendamine vajadusel Mitmesugused sise- ja välisauditid Kolmanda osapoole poolt läbi viidav asutuse sertifitseerimine 29

  30. Auditid ISKE rakendamise protsessis Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid: Üldine asutuse väline ISKE rakendamise audit Eriotstarbelised auditid, mida nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid) Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit 30

  31. VV määrus nr 252 § 2. Turvameetmete süsteemi rakendamine Turvameetmete süsteemi rakendamine seisneb infoturbe eesmärkidele vastavate turvaklasside määramises ja nendele vastavate turvameetmete valimises vastavalt infosüsteemide kolmeastmelise etalonturbe süsteemi (edaspidi ISKE) rakendamisjuhendile ja nende rakendamises ning rakendamise auditeerimises 31

  32. Milliseid süsteeme auditeeritakse § 91. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. 32

  33. AvTS § 432. Riigi infosüsteem (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid. (2) Majandus- ja kommunikatsiooniminister võib määrusega kehtestada riigi infosüsteemi infotehnoloogilise auditeerimise korra ja nõuded riigi infosüsteemiga seotud arendusprojektide algatamisele, läbiviimisele ja aruandlusele. RIHA: https://riha.eesti.ee/riha/main 33

  34. Infosüsteemide andmevahetuskiht Infosüsteemide andmevahetuskiht (edaspidi X-tee) on asutuste ja isikute vahelist turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust ning riigi infosüsteemile turvalist juurdepääsu võimaldav tehniline infrastruktuur ja organisatsiooniline keskkond. 34

  35. KOV IS audit § 92. Turvameetmete süsteemi rakendamise auditeerimine kohaliku omavalitsuse riigi infosüsteemi kuuluvate andmekogude pidamisel (1) Kohalike omavalitsuste andmekogude auditi tellib Majandus- ja Kommunikatsiooniministeerium arvestades § 91 lõigetes 4–8 sätestatud tingimusi ja nõudeid ning lähtuvalt vajadusest. (2) Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu. RIHA: riigi infosüsteemi kuuluvad KOV andmekogud? 35

  36. ISKE auditi osapooled Tellija Audiitor ISKE rakendamisega seotud osapooled ISKE koordinaator asutuses Infoturbe spetsialist Asutuse IT eest vastutaja Andmete omanik Juhtkonna esindaja ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) ISKE administraator asutuses 36

  37. ISKE auditi eesmärk ISKE auditi eesmärgiks on hinnata, kas riigi infosüsteemi kuuluva riigi andmekogu(de) pidamisel on ISKE turvameetmed rakendatud Siin ja edasi selles osas on materjal enamasti ISKE auditi juhendist (võib muutuda) või VV määrusest nr 252 37

  38. ISKE auditi tellimine ISKE auditi peavad tellima riigi infosüsteemi kuuluvate riigi andmekogude pidajad sõltuvalt andmekogu turbeastmest vastavalt ISKE määruse § 91 (1) – (3) Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «H», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kahe aasta järel Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «M», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kolme aasta järel Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «L», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga nelja aasta järel 38

  39. Tellija ISKE auditi tellib soovitavalt IT osakonnast sõltumatu osapool nt. asutuse siseauditi osakond ja/või siseaudiitor. Kui sõltumatu osapoole leidmine ei osutu võimalikuks, siis võib ISKE auditi tellida ka IT osakond 39

  40. Auditeerimise ulatus ja tööd § 91. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd:1) kontrollida teostatud infovarade inventuuri vastavust nõuetele;2) kontrollida turvaklasside ja turbeastmete määramist;3) kontrollida rakendamisele kuuluvate turvameetmete valimist;4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist. 40

  41. Auditi korraldus Iga andmekogu eraldi / kogu asutus / turbeastmete põhjal / …? Seletuskirjast VV Määruse „Infosüsteemide turvameetmete süsteem” muutmine eelnõu juurde Ligikaudu maksavad ühe andmekogu ja sellega seotud füüsilise ja tehnilise infrastruktuuri auditid vahemikus 50 000–120 000 kroonini. Auditi maksumus sõltub asutuse suurusest, asutuse IT alase dokumentatsiooni tasemest, IT riistvara ja tarkvara mitmekesisusest jmt. Samas ei pea ühistele komponentidele, milleks võivad olla näiteks infosüsteemi organisaatorne osa või füüsilise infrastruktuuri osad, erinevate andmekogude lõikes mitu korda auditit tellima. 41

  42. Eelnev tutvumine dokumentatsiooniga Auditi tööde teostamisele eelnevalt tutvub audiitor asutuse infoturbealase dokumentatsiooniga ning hindab, kas asutusel on olemas eeldused ISKE auditi edukaks läbimiseks Kui dokumentatsiooniga tutvumisel selgub, et auditi edukaks läbimiseks puuduvad vajalikud eeldused, siis soovitab audiitor ISKE auditi projektiga mitte jätkata ning anda asutusel võimalus kõrvaldada esmased puudused ning alles seejärel tellida uuesti ISKE audit 42

  43. Korduvad auditid Erinevatel aegadel andmekogudele ISKE auditite tellimisel ei pea nn. ühiseid komponente (nt. organisatoorne pool, füüsiline turvalisus) mitmekordselt auditeerima juhul kui eelmisest auditist ei ole möödunud enam aega kui selleks nõutav andmekogude auditeerimise kohustus kehtestab 43

  44. Rakendamisele kuuluvate turvameetmete rakendamise kontroll Turvameetme rakendamise kontrolli käigus tuleb kontrollida järgmiste moodulite rakendamist Kõigi B1.0 moodulisse kuuluvate turvameetmete rakendamist; Täiendavalt eelnevale audiitori poolt mooduligruppidest B1, B2, B3, B4, B5 valitud moodulite kõigi turvameetmete rakendamist. Igast nimetatud mooduligrupist valitakse kaks moodulit. Moodulid valitakse juhusliku valimi meetodit kasutades. Kokku valitakse sel meetodil täiendavalt kümme moodulit Täiendavalt eelnevale audiitori poolt mooduligruppidest B1, B2, B3, B4, B5 valitud moodulite kõigi turvameetmete rakendamist. Igast nimetatud mooduligrupist valitakse üks moodul. Moodulid valitakse lähtudes kriitilisuse hinnangust. Kokku valitakse sel meetodil täiendavalt viis moodulit 44

  45. Audiitor Rakendamise auditi viib läbi väline auditeerija Andmekogu vastutav töötleja peab auditeerimise läbiviimisel veenduma, et audiitor omaks auditi läbiviimise ajal kehtivat Rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati, Briti Standardi Instituudi (British Standards Institute) väljaantud ISO 27001 juhtiva audiitori sertifikaati või Saksa Infoturbeagentuuri (Bundesamt für Sicherheit in der Informationstechnik) väljaantud ISO 27001 IT Grundschutzi baasil sertifitseeritud audiitori sertifikaati 45

  46. Audiitor ja hinnang Audiitor järgib tööde tegemisel Rahvusvahelise Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni kutse-eetika koodeksit, standardeid, suuniseid, protseduurireegleid ja häid tavasid. Audiitor peab olema auditeeritavast sõltumatu. Audiitoriks ei tohi olla isik, kes on auditeerimisele eelnenud kahe aasta jooksul asutust konsulteerinud auditeeritavas valdkonnas. Audiitori sõltumatus peab olema kinnitatud audiitori poolt allkirjastatud dokumendiga. Audiitor peab säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsuse. Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu. 46

  47. Mitu audiitorit ISKE auditi projektis võib osaleda mitu punktis 7.1 nimetatud sertifikaati omavat audiitorit. Sellisel juhul tuleb määrata üks audiitor, kes juhib auditi meeskonna tööd, vastutab auditi käigus teostatavate tööde eest ja kes allkirjastab auditi lõppraporti Audiitor võib ISKE auditis kasutada teiste asjatundjate tööd, järgides seejuures ISACA standardeid 47

  48. ISKE auditi raport Auditi lõppraportis annab audiitor hinnangu järgmistele asjaoludele: kas teostatud infovarade inventuur on viidud läbi vastavalt ISKE rakendusjuhendis esitatud nõuetele kas andmekogu(de)le on turvaklassid/turbeaste määratud asjakohaselt kas rakendamisele kuuluvad turvameetmed on valitud korrektselt ja vastavalt ISKE rakendusjuhendis esitatud nõuetele kas rakendamisele kuuluvad turvameetmed on rakendatud 48

  49. Kõrge riskiastmega meetmed raportis Täiendavalt toob audiitor ISKE auditi lõppraportis välja rakendamata ja/või osaliselt rakendamata turvameetmed, mille mitte rakendamisest ja/või osalisest mitte rakendamisest tulenevad kõrge riskiastmega riskid andmekogu pidamisel Iga punktis 8.2 nimetatud turvameetme kohta annab audiitor soovituse ja/või soovitusi, kuidas tuleks nimetatud meetmeid rakendada Kõrge riskiastmega meetmete rakendamise on andmekogu pidaja kohustatud korraldama võimalikult kiiresti 49

  50. Raporti koostajad ja lisad ISKE auditi raportis märgitakse ära kõigi ISKE auditis osalevate audiitorite ja asjatundjate nimed ISKE auditi lõppraporti lisasse tuleb panna kõigi auditeeritud turvameetmete tabel, milles on audiitori poolt muuhulgas iga turvameetme järgi märgitud, kas turvameede on rakendatud, on osaliselt rakendatud, ei ole rakendatud, ei saa rakendada, ei rakendata 50

More Related