1 / 50

12. veebruar 2014 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is

Andmeturve ja krüptoloogia, III Erinevad riskihaldusmetoodikad. V SI etalonturbemetoodika ja selle rakendamine . Eesti rahvuslik ISKE metoodika ja eripärad. 12. veebruar 2014 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2013. aasta kevadsemestril õhtustele tudengitele.

arion
Télécharger la présentation

12. veebruar 2014 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Andmeturve ja krüptoloogia, IIIErinevad riskihaldusmetoodikad. VSI etalonturbemetoodikajasellerakendamine. Eestirahvuslik ISKE metoodikajaeripärad 12. veebruar 2014 Valdo Praust mois@mois.ee Loengukursus IT Kolledžis 2013. aasta kevadsemestril õhtustele tudengitele

  2. Andmeturbe lähtekoht Lähtekoht: kõikidel korrastatud andmetel on tavaliselt mingi väärtus ja omadused mingi subjekti (kas inimese või tehnilise süsteemi) jaoks ehk äripoole jaoks, mida infosüsteem teenib Info- ehk andmeturve tegelebki andmete (informatsiooni) omaduste ja seeläbi kaväärtuste tagamisega

  3. Andmeturbe komponendid • Andmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust peavad teatud tasemel olema tagatud suvalise andmekogumi korral (v.a. avaliku teabe konfidentsiaalsus

  4. Käideldavus Andmete käideldavus (availability) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul/nõutaval ajahetkel ja vajaliku/nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele). • Näited: • Haigla infosüsteemi tõrke tõttu ei saa arst vaadata oma patsiendi meditsiiniajalugu • Registratuuri põlengu tõttu hävivad jäädavalt kõik talletatud haiguslood

  5. Terviklus Andmete terviklus(integrity) on andmete õigsuse/täielikkuse/ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine • Terviklus on käideldavuse järgi olulisuselt teine andmete omadus (andmeturbe komponent) • Andmed on reeglina seotud selle loojaga, loomisajaga, jm kontekstiga; selle seose rikkumisel on halvad tagajärjed. Näited: • Patsiendi haigusloo kuritahtliku muutmisega tehakse patsiendile psühhotrauma • Tervise Infosüsteemi logi kuritahtlik muutmine võimaldab tegevusjälgi peita

  6. Konfidentsiaalsus Andmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud tarbijaile (isikutele või tehnilistele süsteemidele) ning kättesaamatus kõigile ülejäänutele • Näited: • delikaatsed raviandmed tulevad avalikuks • asutuse ärisaladus lekib

  7. Turvarisk ehk turbe kahjustumise standardmudel • Infovaradele (infosüsteemile) mõjuvad ohud(threat) • Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi(vulnerabilities) • Ohud koos nõrkustega määravad ära riski (risk) • Ohu realiseerumisel tekib turvakadu(security loss) • Riski vähendamiseks tuleb turvaauke lappida turvameetmeid(security measures) kasutades

  8. Paberkandjal teabe turve Paberdokumendi käideldavuse tagab ta säilitamine hävimiskindlas kohas ning õigeaegne levitamine (asjaajamiskord) Paberdokumendi tervikluse tagavad ta füüsiline vorm ja struktuur ning sellele kantav allkiri, pitser ning kuupäev; samuti õige ligipääsu- ning asjaajamiskord Paberdokumendi konfidentsiaalsusetagab nende hoidmine kindlas kohas ja teisaldamine usaldatava saatja kaasabil Digitaalandmete tervikluseja konfidentsiaalsuse tagamise võtted erinevad nendest suuresti – selle juures kasutatakse kaasaja infotehnika ja krüptograafia vahendeid (põhinevad matemaatikal)

  9. Digitaalteabe turve: erijooni • Tervikluseja konfidentsiaalsuse tagamise võtted erinevad suuresti paberdokumentide heast tavast.Selle juures kasutatakse kaasaja infotehnika ja krüptograafia vahendeid (põhinevad matemaatikal) • Oluline moment on kasutaja autentimisel arvuti või infosüsteemi ees, mille käigusb ta tuvastab, et tema on ikka tema ja tal on õigus teatud dokumente (teavet) vaadata, luua, kustutada, muuta jne • Käideldavus tagatakse tihti üle võrgu(Intreneti). Ülilevnud on klient-server süsteemid

  10. Krüptograafia rakendamisest Krüpteerimine ehk šifreerimine (encryption, encipherment) on andmete teisendamine loetamatule kujule, mille käigus kasutatakse teatud salajast võtit (key). • Seda saab kasutada: • Andmete konfidentsiaalsuse tagamiseks– ilma võtmeta näeb vaid krüpteeritud kuju, aga ei pääse tänu matemaatilistele seostele ligi teabele • Andmete tervikluse tagamiseks(privaat)võtit omamata ei saa andmeid tänu matemaatilistele seostele muuta. Kasutatakse turvalises sides ja signeerimise ning digiallkirja alusena

  11. Turve kui kvantitatiivne näitaja NB!Mitte ühegi turvameetmete komplekti rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel tuleb alati rääkida aktsepteeritavast jääkriskist, mis vastab konkreetse olukorrale ehk äripoole vajadusi arvestavale mõistlikule turvatasemele

  12. Aktsepteeritav jääkrisk Aktsepteeritav jääkrisk on olukord, kus turvakulud + turvakahjud (sh kaudsed) on minimeeritud Ligikaudselt on selleks kahe graafiku lõikumispunkt Aktsepteeritav jääkrisk on olukord, kus turvameetmete summaarne maksumus on ligikaudu võrdne progrnoositavate turvakahjudega (sh kaudsete turvakahjudega)

  13. Turvaülesande lahendamine Andmeturbe põhiülesanne: leida mõistlik turvatase, st eeltoodud graafikul olev lõikepunkt, ja realiseerida see praktikas • Olukorra teevad tihti komplitseerituks: • süsteemi keerukus (nõrkusi ja ohte on sadu ja nende omavahalised mõjud ja seosed ülikeerukad) • ohtude statistika puudumine (või osaline puudumine) • standardlähenemiste puudumine • selgete turvaülevaadete puudumine süsteemi tervikuna ostetud komponentidest • aja- ja ressursinappus: arendatav süsteem tuleb sageli kiiresti käivitada ja pole aega /ressursse põhjaliku turvaanalüüsi jaoks

  14. Turvaülesande lahendamise (riskihaldusmetoodika) praktilised alternatiivid • 1. Detailne riskianalüüs. On ideaallahendus • 2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel • 3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides • 4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele

  15. Detailne riskianalüüs 1. Hinnatakse jääkrisk. Selleks kasutatakse kas kvalitatiivset või kvantitatiivset riskianalüüsi metoodikat 2. Leitakse valdkonnad, kus on jääkriski vaja vähendada 3. Rakendatakse nendes valdkondades vajalikke turvameetmeid 4. Leitakse uus jääkrisk ja hinnatakse, kas see on piisaval tasemel (võrrelduna varade väärtuse ja turvameetmete maksumusega) 5. Kogu protseduuri korratakse, kuni saavutatakse aktsepteeritav jääkrisk

  16. Detailse riskianalüüsi omadused • Eelised: • annab olukorrast üsna tõepärase pildi • arvutatud jääkrisk on suure tõenäosusega tegelik jääkrisk • korraliku metoodika kasutamisel ei jää “turvaauke kahe silma vahele” • Tõsine puudus: on tohutult ressursimahukas (töö, aeg, raha, spetsialistid)

  17. Detailne riskianalüüs praktikas Järeldus: detailne riskianalüüs tasub ära vaid kalliste ülioluliste infosüsteemide korral, kus arendustöö on jäetud piisavalt aega ja raha Nende infosüsteemide korral, kus arenduseks kulutatavad rahalised vahendid on piiratud või arendustööle on seatud lühikesed tähtajad, detailne riskianalüüs ei sobi Sel juhul tuleb kasutada alternatiivseid riskihaldusmeetodeid

  18. Etalonturbe metoodika olemus Etalonturbe metoodika korral on ette antud komplekt kohustuslikke turvameetmeid, millest kõikide realiseerimine peaks tagama teatud etalontaseme turbe (jääkriski) kõikide süsteemide kaitseks mingil etteantud (etalon)tasemel On peamine alternatiiv detailsele riskianalüüsile juhul, kui rahalised või ajalised ressursid ei võimalda seda realiseerida

  19. Etalonturbe metoodika põhiidee • Võetakse ette tüüpiline infosüsteem oma komponentidega (hoone,tööruumid, serverid, riistvara, tarkvara, sideliinid, kasutajad, organisatsioon, pääsu reguleerimine jm) • Võetakse ette mingi etteantud turvatase • Rakendatakse riskianalüüsi (ühe korra!), nii et see turvatase saavutatakse • Fikseeritakse kõik kasutatud turvameetmed ühtse paketina ja loetakse etalonmeetmeteks • Eeldatakse, et igal teisel infosüsteemil annab sama paketi meetmete rakendamine sama tugevusega turbe (sama jääkriski komponendid)

  20. Etalonturbe metoodika omadused • Eelised: • riskianalüüsiga võrreldes kulub (mõni suurusjärk) vähem ressursse — aeg, raha, töö, spetsialistid • samu meetmeid saab rakendada paljudele erinevatele süsteemidele • Puudused: • kui etalontase on kõrgel, võime teha tühja tööd • kui etalontase on liiga madal siis jäävad liiga suured jääkriskid (esineb turvakadu) • unikaalse arhitektuuriga infosüsteemide korral võib mõni valdkond jääda katmata ja tekitada ülisuure turvariski

  21. Segametoodika: olemus Segametoodika võtab nii riskihalduse metoodikast kui ka etalonturbe metoodikast üle mitmeid häid omadusi, leides nende vahel mõistliku kompromissi Segametoodika kaks peamist võtet: 1. Etalonturbe metoodikad (etalonmeetmete komplektid) on välja töötatud mitme erineva turvataseme (käideldavus- terviklus- ja konfidentsiaalsustaseme) jaoks 2. Infosüsteemi kriitilistes valdkondades ja unikaalse arhitektuuriga osades kasutatakse riskianalüüsi, mujal aga odavamat etalonturbe metoodikat

  22. Segametoodika omadused • Eelised: • riskianalüüsiga võrreldes on ta vähem ressursimahukam • etalonmetoodikaga võrreldes võimaldab ta samas infosüsteemide (infovarade)ja nende komponentide lõikes individualiseeritumat lähenemist  • Puudused: • võrreldes riskianalüüsiga annab ta siiski vähem tõepärasema pildi • võrreldes etalonmetoodikaga on ta kallim

  23. Mitteformaalne metoodika Mitteformaalse riskihalduse metoodika korral ei põhine riskide hindamine mitte abstraktsetel meetoditel, vaid spetsialistide (oma töötajad, välised konsultandid) kogemusel • Kasutatakse juhul, kui: • riskianalüüs on vaja läbi viia väga kiiresti • etalonturbemetoodikaid ei ole või neid ei saa mingil põhjusel kasutada • riskihalduse metoodikad on liialt ressursimahukad ja seepärast kõlbmatud • on olemas arvestavate kogemustega spetsialistid

  24. Mitteformaalse metoodika omadused • Eelised: • pole vaja õppida uusi oskusi ja tehnikaid • saab läbi viia väiksemate ressurssidega (odavamalt) kui detailset riskianalüüsi • Puudused: • struktuursuse eiramisega kaasneb alati risk jätta midagi olulist kahe silma vahele • kogemused võivad olla subjektiivsed või sageli hoopis puududa • kulutused turvameetmetele ei ole (juhtkonna ees) sageli põhjendatud • Suured probleemid tekivad analüüsi läbiviija töölt lahkumisel või töösuhte lõpetamisel

  25. Etalonturbemetoodika: praktikas kasutatavaim • Põhjused: • võimaldab hea kompromissi ühest küljest maklsumuse ja aja ja teisest küljest korrektsuse vahel • saab tekitada kindlaid protsessuaalseid reegleid • Näited: • Saksa Infoturbe Liiduameti BSI baastaseme etalunturbemetoodiga IT Grundschutz • Eesti avaliku sektori metoodiks ISKE

  26. Kvanteeritud etalonturbemetoodika On võte, kus turbe komponendid on jaotatud tasemetesse ja etalonturvameetmetele on külge pandud “lipik”, mis tasemest alates ta kehtima hakkab Võimaldab saavutada enam-vähem optimaalsele lähedase tasemega turvet (jäävad alles vaid etalonmetoodika mudeli ebatäpsused) ISKE on säärane kvanteeritud etalonturbemetoodika

  27. ISKE bürokraatlik staatus ja ajalugu • ISKE on välja töötatud avaliku sektori (riik ja omavalitsused) vajadusi ja eripärasid silmas pidades • ISKE esimene versioon (visand) valmis 1999, õigusakti jaoks vajaliku vormi ja kuju sai ta 2003 sügisel • 12. augustil 2004 võeti andmekogude seaduse põhjal vastu vabariigi Valitsuse määrus nr 273 ”Infosüsteemi turvameetmete süsteemi kehtestamine”, nn ISKE määrus. Praegu kehtib selle määruse uuem, 2007.a. variant (RT 1 2007, 71, 440) • Hretkel kehtiv ISKE versioon on versioon 6.00, mis on allalaetav aadressilt http://www.ria.ee/iske/

  28. Lõike ISKE õigusaktist § 5 lg 1. Andmekogu vastutav töötleja korraldab andmete turvaanalüüsi tulemusena üksteisest sõltumatute turvaosaklasside määramise infoturbe eesmärkide ja nende saavutamise olulisuse alusel § 9 lg 1.Andmekogu andmeid töötleva infosüsteemi infoturbe eesmärkide tagamiseks peab rakendama turvameetmeid, mis vastavad selles infosüsteemis peetava andmekogu andmetele määratud turvaklassile § 9 lg 2. Turvameetmed valitakse vastavalt turvaklassile ISKE rakendamisjuhendi kohaselt § 9 lg 3.ISKE rakendamisjuhendi kinnitab majandus- ja kommunikatsiooniminister ning ministeerium avaldab selle oma veebilehel

  29. ISKE kolm turvaeesmärki • ISKE metoodikavõtab alusekskolm turvaeesmärki: • teabe käideldavus (K) • teabe terviklus (T) • teabe konfidentsiaalsus (S) • Need kolmturvaeesmärki loetakse praktikas olevat üksteisest sõltumatud Kõikidel nendel eesmärkidest defineeritakse neljapalliline skaala, mille rakendamine igal eesmärgil kolmest määrab ära turvaosaklassid

  30. Teabe käideldavuse (K)skaala K0–töökindlus – pole oluline; jõudlus – pole oluline K1–töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (110) K2–töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi);lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (110) K3–töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit);lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (110)

  31. Teabe tervikluse (T)skaala T0–info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud T1–info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele T2–info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid T3–infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas

  32. Teabe konfidentsiaalsuse(S)skaala S0–avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega) S1–info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral S2–salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral S3–ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

  33. ISKE ja BSI, I ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) baastaseme etalonturbe meetodil ja käsiraamatul • BSI baastaseme etalonturbe metoodika on avalik dokument, mida BSI eksperdid vähemalt kord aastas täiustavad • BSI metoodikaon saadaval veebilehel http://www.bsi.de/ - saksakeelne versioon 2008.a. seisuga, ingliskeelne versioon 2005.a. seisuga

  34. ISKE ja BSI, II • ISKE keskmine turbeaste (M) vastab peaaegu täpselt BSI üheastmelisele süsteemile, mis on rajatud keskmise turbeastme saavutamiseks (erandiks on fakultatiivsed meetmed, mis on kohalik määratlus) • BSIst ülevõetud ISKE turvameetmed ei ole kõik detailselt lahti kirjutatud, vaid refereeritud. Nende spetsifikatsiooni (madala ja keskmise turbeastme korral) leiab BSI dokumentatsioonist inglise või saksa keeles. Kõrgtaseme meetmed (ei ole võretud BSIst) on piisava täpsusega kirjas

  35. BSI ja ISKE kohane infosüsteemide analüüs Jaotub kolme suurde faasi: • infosüsteemide inventuur • infosüsteemide spetsifitseerimine • rakenduste ja käideldava teabe spetsifitseerimine

  36. Infosüsteemide inventuur • Täpsustatakse: • asutuse võrkude konfiguratsioon • võrkudevahelised ühendused, sealhulgas ühendused välisvõrkudega • andmesideaparatuur • arvutid, rühmitatult allüksuste ja platvormide haaval • ühiskasutatavad välisseadmed • kõikide komponentide üheselt määratud identifikaatorid

  37. Infosüsteemide spetsifitseerimine, I • Dokumenteeritakse: • süsteemi identifikaator • nimetus ja tüüp • asukoht • kuuluvus võrkudesse, ühenduste identifikaatorid • tööviis (autonoomne, klient, server) • olek (töökasutuses, testimisel, plaanitud)

  38. Infosüsteemide spetsifitseerimine, II • Dokumenteeritakse: • süsteemi kasutajad (üksus/ametikoht/roll/...) • operatsioonisüsteem (arvuti puhul) • rakendustarkvara (arvuti puhul) • süsteemi juurde kuuluvad sidevahendid (telefon, automaatvastaja) • süsteemi juurde kuuluvad infrastruktuuriosad (ruumid, kaitsekapp, toiteliin jms)

  39. Infovarade tüüpmoodulid: roll ISKE põhineb turvet vajavate infovarade kirjeldamisel tüüpmoodulite abil • Eeldatakse, et moodulid on vaadeldavad ehituskividena, millede ”keeles” saab lahti seletada suvalise infosüsteemi • Eeldatakse, et sääraste moodulite kui ehituskivide roll on sama turbetaseme puhul igal pool sarnane, st ka neile mõjuvad ohud ja rakendatavad turvameetmed on sarnased • ISKE infovarade moodulid põhinevad üks-ühele Saksa infoturbe baasstandardil BSI-l

  40. Infovarade moodulid ISKE järgi • ISKE ja BSI jagavad infovarad viide suurde jaotisse: • B1 –Üldkomponendid • B2 –Infrastruktuur • B3 –IT süsteemid • B4 –Võrgud • B5 –IT rakendused • Need jaotuvad omakorda mooduliteks (mis tavaliselt kõik korraga ühes praktilises infosüsteemis ei esine, vaid mingi valim neist)

  41. Andmete turvaklass, I Andmete turvaklass on nelja turvaosaklassi konkreetne kombinatsioon.Selliste kõikvõimalike kombinatsioonide arv on 444, seega on erinevaid turvaklasse 64 Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S. Üks konkreetne andmete turvaklass on näiteksK2T3S1. Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel

  42. Turbeaste ja selle seos turvaklassiga • ISKEs on sätestatudkolm turbeastet: • madal turbeaste(L), • keskmine turbeaste(M) • kõrge turbeaste(H) 64 erinevat turvaklassi on eelnimetatud kolme turbeastmega spetsiaalse tabeli abil seotud

  43. Turbeaste ja selle seos turvaklassiga

  44. Turvameetmed (etalonmeetmed) • Jagunevad: • madala turbeastme (L) meetmed • keskmise turbeastme (M) meetmed • kõrge turbeastme (H) meetmed • Kõrge turbeastme meetmed jagunevad omakorda sõltuvalt sellest, milline neljast turvaeesmärgist on kõrgtasemel • L ja M meetmeid (nn BSi meetmeid) on kokku üle tuhande, H meetmeid üle 150 • Meetmed rakenduvad infovaradele, täpsemalt nendele infovarade moodulitele, mida andmete töötlemisel andmekogus kasutatakse (täiskomplekti meetmeid ei kasutata kunagi)

  45. Kõrgastme turvameetmed HK meetmed– rakendatakse siis, kui aegkriitilise teabe käideldavuse eesmärk on kõrgtasemel HT meetmed– rakendatakse siis, kui tervikluse eesmärk on kõrgtasemel HS meetmed– rakendatakse siis, kui konfidentsiaalsuse eesmärk on kõrgtasemel HG meetmed– rakendatakse siis, kui ükskõik milline neljast eesmärgist (K,T,S) on kõrgtasemel

  46. ISKE turvameetmete algallikad • L ja M astmete meetmedon võetud valdavas enamikus üle Saksa Infoturbe Liiduameti BSI etalonturbemetoodikast, jagades need rakendamisprioriteetide (esimene ja teine) järgi L ja M astmeteks • H astme meetmedon kohaliku väljatöötlusega, võttes aluseks hulk rahvusvahelisi juhendmaterjale ning kõrgtaseme turbe ”hea tava” oskusteavet

  47. ISKE rakendamise faasid, I • Asutuse IT eest vastutav töötaja viib läbi infovarade inventuuri ja spetsifitseerimise • Andmekogu andmete omanik määrab koostöös infoturbe spetsialistiga andmekogule turvaklassi vastavalt äripoole vajadustele ning märgib turvaklassid infovarade spetsifikatsioonidesse • Infoturbe spetsialist määrab eeltoodud tabeli abil kõikide turvaklassiga infovarade vajaliku turbeastme ja märgib turbeastmed infovarade spetsifikatsioonidesse

  48. ISKE rakendamise faasid, II • Kui kõrgeimaks vajalikuks turbeastmeks osutus M või H, otsustab juhtkonna esindaja koos IT eest vastutava töötajaga ja infoturbespetsialistiga, kas rakendada kogu asutuses seda turbeastet või jaotada asutus eri turbeastmetega tsoonideks. Viimasel juhul kavandavad nad tsoonid ja selliste tsoonide loomiseks vajalikud muudatused. Kui turvaastmete määramisel ei ilmnenud vajadust turbeastet L ületavaks turbeks, rakendatakse aste L kogu asutuse ulatuses

  49. ISKE rakendamise faasid, III • Infoturbe spetsialist koostab kõrgeimast määratud turbeastmest lähtudes turbehalduse meetmete loetelu • Infoturbe spetsialist koos juhtkonna esindajaga ja asutuse IT eest vastutava töötajaga koostab plaani infoturbe halduse meetmete rakendamiseks, seejärel määrab muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaani. Infoturbe halduse kavandamisel võib lisaks etalonmeetmete juhistele abivahendina kasutada ka standardites EVS-ISO/IEC TR 13335 ja ISO/IEC 17799 antud juhiseid

  50. ISKE rakendamise faasid, IV • Infoturbe spetsialist korraldab plaani täitmise, koostades turvameetmete loetelud tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogide põhjal, juhindudes turbehalduse meetmetest ja kaasates töösse asjakohaseid töötajaid ja regulaarselt informeerides juhtkonda. • Pärast iga infovara turvameetmete evitamist kontrollib infoturbespetsialist tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras. Kui ilmneb mingeid ohte, mida tüüpmooduli spetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid

More Related