Download
tallinnas 02 07 2009 jaak tepandi n.
Skip this Video
Loading SlideShow in 5 Seconds..
ISKE rakendamine praktikas PowerPoint Presentation
Download Presentation
ISKE rakendamine praktikas

ISKE rakendamine praktikas

279 Views Download Presentation
Download Presentation

ISKE rakendamine praktikas

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Tallinnas, 02.07.2009 Jaak Tepandi ISKE rakendamine praktikas Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”

  2. Koolitusprojekti meeskond Tellija: Korraldaja: Koolitaja: Koolitaja:

  3. Põhilised teemad • Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine • Ülevaade etalonturbe kontseptsioonist • Infovarade inventuur ja spetsifitseerimine • Turvaosaklasside ja turvaklasside määramine • Turbeastme määramine ja tsoneerimine • BSI/ISKE tüüpmoodulid ja nende valik • Turvameetmete rakendamine: plaan, prioriteedid, vastutajad, kulud, maksumus • Kontroll, täiendav riskianalüüs, auditeerimine ja sertifitseerimine • Rakendamistööriistad ja muud abimaterjalid • + Arutelud, küsimused, näited

  4. Ajakava (orienteeruv) 9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest 10:45-12:15. Infovarad, turvaklassid, turbeastmed, tüüpmoodulid, tsoneerimine 13:00 – 14:30. Turvameetmete rakendamine 14:45-16:15. Rakendamine (jätkub), kontroll, auditeerimine, rakendamistööriistad, kokkuvõte (Arutelud, küsimused, näited võivad muuta)

  5. Tunnistades karme fakte … • Riigi suur (suurim?) vara on info • Õnnetused, eksimused, hooletus, küberründed on tegelikkus • Infoturbe tagamine on töömahukas, kulukas ja kasutajatele ebamugav • Infoturve on “salakaval”: tuleb tõkestada kõik teed, tehnoloogiast ei piisa: organisatsioon, infrastruktuur, protseduurid, tehnilised meetmed • Avaliku teabe seadus: hiljemalt 1. juuliks 2008 • “Tunnista karme fakte, kuid ära kunagi kaota lootust”Jim Collins /Jim Stockdale

  6. ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem. Milleks? “Rakendame ISKEt, sest X kuupäevaks tuleb rakendada”? “Soovime piisava turvalisusega süsteeme, ISKE on selleks kasulik abivahend”? CorelTM

  7. Tänased eesmärgid, … • Osalejatel on ülevaade ISKE-st ja rakendusjuhendi kasutamisest ( -> kasutame juhendit ka koolituse käigus!) • Osalejatel on arusaamine, kas ja kuidas hakata oma asutuses ISKE-t rakendama + algoskused, et rakendada B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 ulatuses (sõltub vähe rahalistest ressurssidest) • Osalejatel on teadmine põhilistest probleemidest ISKE rakendamisel ja sellest, kuidas nende probleemidega tegeleda • Kontaktid ja koostöö teistega • … iga teema puhul arvestame neid küsimusi

  8. …, mitte- eesmärgid ja eeldused • Mitte-eesmärgid • Infoturbe koolitus (veidi alguses) • Detailne ISKE / BSI moodulite – ohtude – meetmete tutvustus • Eeldused • Vajadus ISKE-st aru saada ja seda rakendada • Hakkame üsna algusest (kui ISKE on hästi teada, võib olla palju tuttavaid asju – võimalus aktiivselt osaleda)

  9. ISKE rakendajad ja meie

  10. ISKE rakendamise koordinaator • ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum • ISKE koordinaator - ISKE rakendamise eest vastutav isik • Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast • Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne • Soovitav hea side asutuse juhtkonna ning erinevate osakondadega

  11. Andmete omanik • Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes • Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele • IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi • Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks

  12. ISKE rakendamise rollid Mõningaid rolle võib täita üks ja sama inimene: • ISKE koordinaator asutuses • Infoturbe spetsialist • Asutuse IT eest vastutaja • Andmete omanik • Juhtkonna esindaja • ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) • ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)

  13. Osalejate tutvustamine • Nimi, asutus (,roll ISKE juurutamisel) • (Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) ) • (Küsimus / probleem, millele tahaks koolituselt vastust leida)

  14. ISKE rakendusala ja tähtajad

  15. ISKE rakendusala 1 • Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 "Infosüsteemide turvameetmete süsteem" - Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem. • Avaliku teabe seadus § 431. Andmekogu. (1) Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. (2) Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.

  16. Rakendus-/reguleerimisala 2 • § 432. Riigi infosüsteem. (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid. • § 439. Riigi infosüsteemi kindlustavad süsteemid. (1) Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid:1) klassifikaatorite süsteem;2) geodeetiline süsteem;3) aadressiandmete süsteem;4) infosüsteemide turvameetmete süsteem;5) infosüsteemide andmevahetuskiht;6) riigi infosüsteemi haldussüsteem.

  17. Riigi infosüsteemi kindlustavad süsteemid • (3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Käesoleva seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2, 4 ja 6 nimetatud kindlustavad süsteemid. • Avaliku teabe seadus (alates 01.01.2008) - § 433. Andmekogu asutamine. (4) Ainult organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks peetavat ja riigi infosüsteemi mittekuuluvat andmekogu ei pea käesoleva paragrahvi lõikes 3 sätestatud korras kooskõlastama.

  18. AvTS rakendamine • § 581. Seaduse 51. peatüki rakendamine • (1) Andmekogude seadusega kooskõlas asutatud riiklike registrite pidamise põhimäärused ja nende alusel peetavad andmekogud ning muud riigi ja kohalike omavalitsuste andmekogud viiakse käesoleva seadusega kooskõlla kuue kuu jooksul andmekogude seaduse kehtetuks tunnistamisest (muutus kehtetuks 01.01.2008) arvates.

  19. Järeldusi: ISKE tähtajad • Andmekogudele AvTS mõttes – 01.07.2008, nt: • meilisüsteemis (nt MS Exchange) olevad andmed • personaliarvestuse süsteemis olevad andmed • finantsarvestuse süsteemis olevad andmed • VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel • (1) Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a. • (2) ... «M»… 1. detsembriks 2010. a. • (3) … «L»… 1. märtsiks 2011. a.

  20. Rakendusala – probleeme • Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse oma andmekogusid, nad pigem kasutavad riigi andmekogude andmeid (teenuseid)? • Suure andmekogu puhul, millel on palju kasutajaid, kes ka andmeid uuendavad, ei ole vastutuse jaotus ISKE rakendamisel selge?

  21. Ülevaade etalonturbe kontseptsioonist

  22. Infoturbe põhimõisteid • Vara: miski, millel on organisatsiooni jaoks väärtus • Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus • Nõrkus: vara või vararühma nõrk koht, mida saab ära kasutada oht • Risk: võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse • Turvameede: riski kahandav teoviis, protseduur või mehhanism • Jääkrisk: risk, mis säilib pärast turvameetmete teostamist

  23. Riskianalüüs ja -haldus • Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess • Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna

  24. Näide: Riskide hindamine • Vara: maja. Tõsine tulekahju maksab 2,000,000 • Oht: tulekahju. Tõenäosus on 1% aastas • Nõrkused: puumaja, kindlustamata, piksevarras puudub • Tulekahju riski aastane maksumus? • Mõistlik kulutus turbele selle riski osas? • Meetmed? • Jääkrisk? • … analoogiliselt ka infoturbega (üldiselt)

  25. (Info)turbe tase ja maksumus Mak-sumus Intsidendid Infoturve Kokku 0 100 Infoturbe tase

  26. Etalonturbe ideed (1) • Infoturbe aluseks on riskianalüüs … • … mis on täismahus väga töömahukas • -> ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem

  27. Etalonturbe ideed (2) • EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade • Etalonkaitse dokumendid ja korrakoodeksid soovitavad tüüpseid turvameetmestikke • Eelised. Jääb ära detailse riskianalüüsi ressursitarve ning turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse …. Samu või sarnaseid etalonmeetmeid saab suuremate pingutusteta kohandada paljudele süsteemidele > võivad pakkuda ökonoomset lahendust • Puudused: Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu … Raskusi võib tekkida turvet puudutavate muutuste haldusega. Näiteks on süsteemi moderniseerimisel võib-olla raske hinnata, kas esialgsed etalonmeetmed on üha piisavad

  28. Etalonturbe maksumus Intsidendid Infoturve Mak-sumus Kokku 0 Madal Keskmine Kõrge 100 Infoturbe tase

  29. ISKE ülevaade

  30. Allikad ja turbeastmed • ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il) • Täiendatakse regulaarselt kord aastas • Lisateave BSI käsiraamatust • Tavaliselt on asutuses kasutusel turvanõuete taseme poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke • ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H). Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele

  31. Etalonturbe ja ISKE rakendusala • Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega • ISKE: • Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks • Rakendatav ka muudes organisatsioonides • Ei ole mõeldud riigisaladust käitlevate infosüsteemide turbeks

  32. ISKE struktuur • Rakendamise juhend , vt jaotis 1.5 • Infovarade spetsifitseerimise ja turvaanalüüsi juhised , vt jaotis 2.1, 2.2 • Etaloninstrumendid: • turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3 • tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1 • (mõisted ja lühendid, jaotis 4) • infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B, vt jaotis 5 • ohtude kataloog G, vt jaotis 6 • turvameetmete kataloog, vt jaotis 7

  33. ISKE ja selle alusmaterjalid • Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Ingliskeelne juhend IT Baseline Protection Manual: http://www.bsi.de/english/gshb/index.htm • Saksakeelne juhend IT-Grundschutzhandbuch: http://www.bsi.de/gshb/downloads/index.htm • Soovitused - http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid

  34. ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg

  35. Ülevaade ISKE rakendamisest • Infovarade inventuur ja spetsifitseerimine • Andmekogude turvaklasside määramine • Muude infovarade turvaklasside määramine • Turvaklassiga infovarade turbeastme määramine • Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel • Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse • Turbehalduse meetmete loetelu koostamine • Turvameetmete rakendamise plaani koostamine • Turvameetmete rakendamine • Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine

  36. Tööd ja rollid • ISKE koordinaator asutuses (kõik tööd) • Infoturbe spetsialist (töödes 3-10) • Asutuse IT eest vastutaja (töödes 1, 3, 5, 8) • Andmete omanik (töös 2) • Juhtkonna esindaja (töödes 5,8,9) • ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) - töös 9 • ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)

  37. Ressursid • Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist • Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas? • Juhtkonna kaasamine • Hinnangud • Prioriteedid • Ette planeerimine (eelarve) • (Kumb on lihtsam?) • Osa nõuavad mõlemaid. Kõik nõuavad rakendamise aega

  38. Aeg • Tähtajad vt eespool • Meetmete ajaressurss ja tähtajad • Juhtkonna kaasamine • Hinnangud • Prioriteedid • Ette planeerimine (töökava) • Kas ISKE on tähtajaline projekt?

  39. Probleemid kuulajalt • Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega • Muudatused võtavad aega • Puudub sõnastatud ühtne turvapoliitika • Mida saab anda koolitus? • Lisateadmised / -oskused rakendamise kohta (= lisa oskused) • Ideid tööde korraldamiseks (= lisa inimesed) • Prioriteedid (midagi vähemaks / odavamaks / kiiremaks) • Mida ei saa?

  40. Infovarade inventuur ja spetsifitseerimine (IT struktuuri analüüs)

  41. Varad ja infovarad • Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvutivõrk, server, inimene, ruum, immateriaalne vara (nt. maineväärtus) jmt • Vara eriliik on infovara – IT-süsteemidega seonduv vara: andmed, andmebaasid, rakendustarkvara, süsteemitarkvara, arvutid, serverid, arvutivõrk, marsruuterid, kommutaatorid, andmekandjad jmt • Infovarasid hoitakse hoonetes, ruumides jne, mis üldjuhul ise ei ole infovarad

  42. IT süsteemide ja rakenduste inventuur • Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja selle dokumenteerimiseks • Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv • Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne) • Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem

  43. Inventuuri ja spetsifitseerimise detailsus • Detailsus sõltub asutuse vajadustest • Detailsuse aste peaks võimaldama ISKE rakendamist • Ei tohiks tekitada asutusele asjatut aja- ja töökulu • Võimalusi • Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks – moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne • Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks

  44. Juhtumianalüüs, kuulajate näited • Näited, ettepanekud? • Näide – asutus X • Personaliarvestussüsteem • Raamatupidamissüsteem • Dokumendihaldussüsteem • Kodulehe haldussüsteem • Meilisüsteem • Failisüsteem • Rahvastikuregistri klient • Asutus peab registrit Y • Infoturbe valdkonnad: üldkomponendid / haldus, (IT) infrastruktuur, IT süsteemid, võrgud, IT rakendused / AB

  45. Turvaosaklasside ja turvaklasside määramine

  46. Turvalisuse näitajad • Turbemetoodikate aluseks on turvamudelid - 3-6 osaeesmärki • Levinuim turvamudel põhineb käideldavuse, tervikluse ja konfidentsiaalsuse tagamisel => ISKE • Andmete käideldavus (K) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile • Andmete terviklus (T) on andmete õigsuse / täielikkuse / ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine • Andmete konfidentsiaalsus (S) on andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele.

  47. Turvaosaklassid • ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal • Lisaks hindamisskaalale rakendatakse lisakriteeriume (seadustest, äriprotsessidest ja tagajärgede kaalukusest tulenevad kriteeriumid) • Turvaosaklassi tähis: turvaeesmärgi tähis + turvataseme väärtus • Infosüsteemi turvanõudeid ja andmete väärtust teab kõige paremini andmete omanik => peaks määrama andmete vajaliku turbetaseme • IT või infoturbe spetsialist võib olla nõuandja rollis • Soovitav lasta asutuse juhtkonnal kinnitada

  48. Käideldavuse hindamisskaala • K0 – töökindlus – pole oluline; jõudlus – pole oluline • K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10) • K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10) • K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10)

  49. Tervikluse hindamisskaala • T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud • T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele • T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid • T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas

  50. Konfidentsiaalsuse hindamisskaala • S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega) • S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral • S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral