![Page 1: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/1.jpg)
Andmeturve ja krüptoloogia, XIVAndmeturve ja krüptoloogia, XIV
Organisatsiooni turve ja Organisatsiooni turve ja
turbehaldusturbehaldus
Andmeturve ja krüptoloogia, XIVAndmeturve ja krüptoloogia, XIV
Organisatsiooni turve ja Organisatsiooni turve ja
turbehaldusturbehaldus
29. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
29. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
![Page 2: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/2.jpg)
Infoturbe haldus: miks on vaja?Infoturbe haldus: miks on vaja?• Infoturve nagu informaatikagi on muutunud
väga paljude asutuste, organisatsioonide ja firmade tegevuse lahutamatuks koostisosaks – suur osa tähtsaid ülesandeid on usaldatud IT-le
• Kui on selge, mida me tahame saavutada, tuleb vastata küsimusele: milliste tegevuste tulemusena?
• Infoturbe tegelemine on pidev ja kompleksne tegevus, mitte ühekordne aktsioon
![Page 3: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/3.jpg)
Infoturbe halduses Infoturbe halduses sisalduvad tegevused, Isisalduvad tegevused, I
1. Üleüldise infoturbe poliitika väljatöötamine
2. Rollide ja kohustuste piiritlemine organisatsioonis
3. Riskihaldus, sh kaitsmisele kuuluvate varade, ohtude, nõrkuste, toimete, riskide, turvameetmete, jääkriskide ja kitsenduste piiritlemine ning turvameetmete valimise põhimõtte valimine
![Page 4: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/4.jpg)
Infoturbe halduses Infoturbe halduses sisalduvad tegevused, IIsisalduvad tegevused, II
4. Talitluse pidevuse plaanimine ja avariijärgse taaste plaanimine
5. Turvameetmete valimine ja teostamine
6. Turvateadlikkuse programm
7. Järeltegevused (hooldus, turvaaudit, seire, läbivaatus, intsidentide käsitlus, muutuste haldus)
![Page 5: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/5.jpg)
Turvaprobleemi lahendamineTurvaprobleemi lahendamine
![Page 6: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/6.jpg)
Turbehaldus: mida teha Turbehaldus: mida teha esmalt?esmalt?
Esmalt tuleb paika panna organisatsiooni sõltuvus ITst, sh infoturbest:
• Millised on tegevuse tähtsad või väga tähtsad osad, mida ei saa sooritada IT toeta?
• Millised on tööd, mida saab teha ainult IT abil?
• Millised olulised otsused sõltuvad ITga töödeldava teabe täpsusest, terviklusest. Käideldavusest või värskusest?
• Milline töödeldav konfidentsiaalne informatsioon vajab kaitset?
• Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile?
![Page 7: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/7.jpg)
Organisatsiooni Organisatsiooni turbeturbe(halduse)(halduse) põhimõtted põhimõtted
Olulisim koht on organisatsioonilistel turvameetmetel
Organisatsiooni (andme)turbe edukaks realiseerimiseks tuleb valida sobiv riskihaldusmetoodika ja see ka ellu viia
Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral
![Page 8: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/8.jpg)
Organisatsiooni turveOrganisatsiooni turve
Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
![Page 9: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/9.jpg)
Mis on turvapoliitikaMis on turvapoliitikaMis on turvapoliitikaMis on turvapoliitika
(Info)turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, (peamiselt infovarade) haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides
(Info)turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, (peamiselt infovarade) haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides
Kui jätta eest ära eesliide info- (st turvapoliitika), siis peab infovarade asemel vaatama kõiki varasid
![Page 10: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/10.jpg)
Miks on vaja Miks on vaja infoturvapoliitikat?infoturvapoliitikat?
Miks on vaja Miks on vaja infoturvapoliitikat?infoturvapoliitikat?
NB! Infoturvepoliitika ei ole mitte IT spetsialistide pärusmaa, vaid reeglina suure hulga erinevate elualade spetsialistide turbefoorumi koostöö tulem
(IT spetsialistid tunnevad reeglina ideaalselt ja detailselt vaid oma kitsast ala)
Peapõhjus – enamike (info)varade (eriti andmete) kaitse eeldab süstemaatilist tegevust kogu sellega seotud organisatsioonis, mis arvestab erinevate elualade spetsiifikaid ja nõudeid
Peapõhjus – enamike (info)varade (eriti andmete) kaitse eeldab süstemaatilist tegevust kogu sellega seotud organisatsioonis, mis arvestab erinevate elualade spetsiifikaid ja nõudeid
![Page 11: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/11.jpg)
Tippjuhtkonna oluline osaTippjuhtkonna oluline osaTippjuhtkonna oluline osaTippjuhtkonna oluline osa
Seepärast peab just juhtkond olema see, kes paneb paika, millisel tasemel on erinevate (info)varade erinevaid omadusi on vaja kaitsta. Konkreetsed suunised pannakse aga kokku erinevate alade spetsialistide poolt
Vaid tippjuhtkond teab, kuivõrd tähtis osakaal on organisatsiooni tegevuses erinevate varade erinevate omadustel ning kui olulist kahju võib nende kadumine kogu organisatsioonile tekitada
Vaid tippjuhtkond teab, kuivõrd tähtis osakaal on organisatsiooni tegevuses erinevate varade erinevate omadustel ning kui olulist kahju võib nende kadumine kogu organisatsioonile tekitada
![Page 12: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/12.jpg)
• kõrgem juhtkond • auditeerimine• rahandus• infosüsteemid (spetsialistid ja kasutajad)• tehnovõrgud ja infrastruktuur (st hoone ehitusliku osa eest vastutajad)
• personaliala• üleüldine turve
Infoturvapoliitika tuleks Infoturvapoliitika tuleks koostada järgmiste talituste koostada järgmiste talituste
esindajate osavõtul:esindajate osavõtul:
Infoturvapoliitika tuleks Infoturvapoliitika tuleks koostada järgmiste talituste koostada järgmiste talituste
esindajate osavõtul:esindajate osavõtul:
![Page 13: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/13.jpg)
• Peab sätestama kõikide varade (omaduste) jaoks üldeesmärgid, kusjuures vajalik on kooskõla
• Selgelt peavad olema määratletud seos IT poliitikaga ja turunduspoliitikaga
• Peavad olema määratud teed (viisid), kuidas turvaülesanne erinevates valdkondades lahendatakse (riskianalüüs, etalonturbe metoodika)
• Selgelt peab paika olema pandud vastutus ja kohustused
Turvapoliitika muid olulisi Turvapoliitika muid olulisi elementeelemente
Turvapoliitika muid olulisi Turvapoliitika muid olulisi elementeelemente
![Page 14: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/14.jpg)
1. Sissejuhatus • ülevaade • turvapoliitika rakendusala ja eesmärk
2. Turvaeesmärgid ja -põhimõtted • eesmärgid • põhimõtted
3. Turbe organisatsioon ja infrastruktuur • kohustused • (konkreetsete alamsüsteemide) turvapoliitikad • turvaintsidentidest teatamine
Turvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, ITurvapoliitika tüüpsisu, I
![Page 15: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/15.jpg)
4. Infoturbe ja riskianalüüsi strateegia • sissejuhatus • riskianalüüs ja riskihaldus • turbe vastavuse kontroll
5. Informatsiooni tundlikkus ja riskid • sissejuhatus • informatsiooni märgistuse süsteem • ülevaade organisatsiooni informatsioonist • informatsiooni väärtus ja tundlikkustasemed • ülevaade ohtudest, nõrkustest ja riskidest
Turvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, IITurvapoliitika tüüpsisu, II
![Page 16: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/16.jpg)
6. Riistvara ja tarkvara turve • identimine ja autentimine • pääsu reguleerimine • arvestus ja revisjonipäevik • täielik kustutus, ründetarkvara
• personaal- ja sülearvutite turve
7. Side turve • võrkude infrastruktuur • Internet • side krüpteerimine ja autentimine
Turvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, IIITurvapoliitika tüüpsisu, III
![Page 17: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/17.jpg)
8.Füüsiline turve • hoone turvalisus ja kaitse, sh teenuste kaitse • volitamata hõive • juurdepääs arvutitele • juurdepääs andmekandjatele • personali kaitse • piksekaitse, kahjutule ja vee kaitse • ohtude avastamine ja teatamine • seadmete kaitse varguse eest • teeninduse ja hoolduse reguleerimine
Turvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IVTurvapoliitika tüüpsisu, IV
![Page 18: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/18.jpg)
9. Personali turve • palkamistingimused • turvateadlikkus ja -koolitus • personal ja lepingulised töötajad • kolmandad osapooled
10. Dokumentide ja andmekandjate turve • säilitamine
• edastamine • kõrvaldamine (hävitamine)
Turvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, VTurvapoliitika tüüpsisu, V
![Page 19: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/19.jpg)
11.Tegevus eriolukordades • varundamine, sh varukoopiad • eriolukordade strateegia • olulisemate eriolukordade plaanid
12. Kaugtöö
13. Alltöövõtu poliitika
14. Muudatuste reguleerimine • turvapoliitika muutmispõhimõtted
• turvapoliitika staatus organisatsioonis
Turvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VITurvapoliitika tüüpsisu, VI
![Page 20: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/20.jpg)
Lisad: A. Turvajuhendite loend B. Seadused ja eeskirjad C. Organisatsiooni infoturbe eest vastutava isiku pädevus
D. Infoturbe foorumi pädevus E. Oluliste alamsüsteemide (komponentide) turvapoliitika sisukord
Turvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VIITurvapoliitika tüüpsisu, VII
![Page 21: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/21.jpg)
Infoturbe halduse Infoturbe halduse organisatsioonilised aspektidorganisatsioonilised aspektid
Rollid ja kohustused. Hädavajalikud:
• infoturbe foorum
• üleüldise infoturbe ametnik
Järjekindel metoodika:
• tegelemine kogu (infosüsteemi) elutsükli vältel
• standardite järgimine
![Page 22: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/22.jpg)
Infoturbe foorumi ülesandedInfoturbe foorumi ülesanded
• infotehnoloogia korralduskomisjoni nõustamine turbe strateegilise plaanimise alal
• infoturbe poliitika formuleerimine ja sellele kinnituse saamine infotehnoloogia korralduskomisjonilt
• infoturbe poliitika infoturbe programmiks muundamine
• infoturbe programmi täitmise seire
• infoturbe poliitika tõhususe kontroll
• infoturbe alase teadlikkuse tõstmine
![Page 23: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/23.jpg)
Infoturbe ametniku Infoturbe ametniku kohustusedkohustused
• infoturbe programmi täitmise järelevalve
• side infoturbe foorumiga ja üleüldise turbe ametnikuga
• intsidentide uurimise koordineerimine
• üldise turvateadlikkusprogrammi juhtimine
• Konkreetsete IT projektide turbe ametnike (kui neid on) pädevuse määramine
![Page 24: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/24.jpg)
Üleüldineturvapoliitika
. . .
Üleülidne infoturbepoliitika
Allüksuse infoturbepoliitika
Süsteemi B
Süsteemi Ainfoturbe poliitika
Üleüldine tegevuspoliitika,tuletatud eesmärkidest ja
strateegiatest
Üleüldineinfotehnoloogiapoliiitka
Üleüldineturunduspoliitika
![Page 25: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/25.jpg)
IT SteeringCommittee
IT SecurityForum
CorporateIT Security
Officer
CorporateIT SecurityPolicy andDirectives
IT Projector SystemSecurityPolicy
CorporateManagement
Corporate Level*Department Level
System / Project Level
Legend:
CorporateSecurity Officer
* DepartmentIT Security
Officer
IT Project orSystem
Security Officer
*DepartmentIT SecurityPolicy andDirectives
only if the Department is of sufficient size*
roles
organisational
IT Representative(s)
IT UserRepresentative
![Page 26: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/26.jpg)
Riskihaldus sisaldab neli Riskihaldus sisaldab neli põhitegevustpõhitegevust
• organisatsioonile üldise infoturbe poliitika kontekstis sobiva riskihalduse strateegia määramine (neli peamist alternatiivi)
• infotehnoloogiliste süsteemide turvameetmete valimine riskianalüüsi tegevuste tulemustena või vastavalt etalonmeetmetele (eeltoodud alternatiividele)
• infotehnoloogiliste süsteemide turvapoliitikate formuleerimine turbesoovituste põhjal ja vajadusel üldise infoturbe poliitika värskendamine
• infoturbeplaanide koostamine turvapoliitikate põhjal turvameetmete teostamiseks
![Page 27: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/27.jpg)
Turbe majanduslik külgTurbe majanduslik külg
![Page 28: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/28.jpg)
Riskihaldusmetoodika olemusRiskihaldusmetoodika olemus
• Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse
• Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud
Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse
Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse
![Page 29: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/29.jpg)
Riskihaldusmetoodika Riskihaldusmetoodika praktilised alternatiividpraktilised alternatiivid
1. Detailne riskianalüüs. On ideaallahendus
2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel
3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides
4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele
![Page 30: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/30.jpg)
Tekib kaks probleemi:
• Kuidas saada eelnevalt teada, kas ta tasub end?
• Kuidas toimida siis, kui on teada, et detailne analüüs pole tasuv?
Riskihaldusmetoodika Riskihaldusmetoodika valimise probleemvalimise probleem
Tõsiasi: detailne riskianalüüs on kulukas toiming, seda tasub sooritada ainult siis, kui ta on majanduslikult põhjendatud
![Page 31: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/31.jpg)
Jäme riskianalüüs esialgse Jäme riskianalüüs esialgse indikaatorinaindikaatorina
Konkreetsetele oludele sobivaima riskhaldusmetoodika valimiseks tuleb kõigepealt teha jäme riskianalüüs
Konkreetsetele oludele sobivaima riskhaldusmetoodika valimiseks tuleb kõigepealt teha jäme riskianalüüs
Kui jäme riskianalüüs näitab, et algrisk on väärtustes mõõdetuna väga suur ja ta vähendamiseks tuleb rakendada kulukaid meetmeid ning tasub kulutada ressursse detailsele analüüsile
![Page 32: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/32.jpg)
On välja töötatud tüüpseid turvameetmestikke, mille toime riski vähendamisel teatud tingimustes on teada, ja mida rakendatakse tingimuste jämeda võrdluse alusel
Nõutava kaitsetaseme saavutamiseks tuleb selline etalonmeetmestik rakendada täielikult, midagi välja jätmata
Millal valida Millal valida etalonturbemetoodika?etalonturbemetoodika?
Kui detailne riskianalüüs pole tasuv, sobib etalonturbe (baseline security) meetod
![Page 33: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/33.jpg)
Infosüsteemi jäme riskianalüüsInfosüsteemi jäme riskianalüüs
Lähteandmed otsustamiseks, milline riskihaldusmetoodika sobib mingile infosüsteemile, võib saada järgmiste asjaolude kaalutlemisest:
• infosüsteemi abil saavutamisele kuuluvad (organisatsiooni) tegevuseesmärgid
• organisatsiooni tegevuse sõltuvuse määr infosüsteemist
• infosüsteemi investeerimise tase süsteemi väljatöötamise, hoolduse või asendamise terminites
• selle infosüsteemi varad, millele organisatsioon otseselt omistab väärtuse
![Page 34: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/34.jpg)
Infoturbesoovitused Infoturbesoovitused
Peavad sisaldama:
• kriteeriumeid infotehniliste süsteemide aktsepteeritavate riskitasemete määramiseks
• riske aktsepteeritava tasemeni kahandavate turvameetmete valimist
• turvameetmete evitamisega seotud hüvesid ja riskide kahandamist
• turvameetmetega seotud jääkriskide aktsepteerimist
Tekivad riskihalduse strateegia käigus, juhtkond peab kinnitama
![Page 35: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/35.jpg)
Infoturbeplaan, IInfoturbeplaan, I
Peab hõlmama:
• üldise turvaarhitektuuri ja lahenduse
• ülevaate IT süsteemi vastavusest organisatsiooni turvaeesmärkidele
• hinnangulistele riskidele vastavate turvameetmete piiritluse (juhtkonna poolt kehtestatult)
Infoturbeplaan on dokument, mis määratleb IT süsteemi turvapoliitika teostamiseks sooritamisele kuuluvad toimingud
![Page 36: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/36.jpg)
Infoturbeplaan, IIInfoturbeplaan, II
Peab hõlmama (järg):
• turvameetme tegeliku usaldustaseme hinnangu
• ülevaate jääkriskide hindamisest
• turvameetmete evitamiseks vajalike toimingute loetelu
• detailse tööplaani turvameetmete evitamiseks, prioriteetide, eelarve ja ajakavaga
![Page 37: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/37.jpg)
Turvameetmete teostamineTurvameetmete teostamine
Tuleb tagada, et:
• turvameetmete maksumus jääb kinnitatud piiridesse
• turvameetmed oleksid teostatud õigesti, vastavalt infoturbeplaanile
• turvameetmeid kasutatakse ja hallataks vastavalt infoturbeplaanile
Infoturbe plaani teostamise eest vastutab IT süsteemi turbe ametnik
![Page 38: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/38.jpg)
Turvameetmete teostamineTurvameetmete teostamine
Turbeplaani teostamise lõpus tuleb turvameetmete evitus ametlikult kinnitada
NB! Alles peale seda võib IT süsteemi käiku lasta.
NB! Iga IT süsteemi kaaluka muudatusega peab kaasnema süsteemi turvaalane korduskontroll, testimine ja -kinnitamine.
![Page 39: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/39.jpg)
Turvateadlikkuse programm, ITurvateadlikkuse programm, I
Programmis peab käsitlema:
• informatsiooni kaitse põhivajadusi
• turvaintsidentide tähtsust (nii kasutajale kui kogu organisatsioonile)
Turvateadlikkuse programm tuleks evitada kõikidel tasanditel, tippjuhtkonnast kasutajani. Programm peab andma teadmised üleüldise infoturbe poliitika kohta ning katma üleüldise turbeplaani eesmärgid.
![Page 40: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/40.jpg)
Turvateadlikkuse programm, IITurvateadlikkuse programm, IIProgrammis peab käsitlema:
• üleüldise infoturbe poliitika ja riskihalduse strateegia aluseks olevaid eesmärke (koos selgitusega)
• infoturbeplaani turvameetmete evitamiseks ja kontrollimiseks
• informatsiooni turvaliigitust
• andmeomanike kohustusi
![Page 41: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/41.jpg)
Turvateadlikkuse programm, IIITurvateadlikkuse programm, III
Programmis peab käsitlema:
• turvariketest (nende katsetest) teatamist ja nende uurimise vajadust
• volitamata tegevuste tagajärgi
• turbe vastavuse kontrollimist
• muutuse- ja konfiguratsioonihaldust
![Page 42: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/42.jpg)
Infoturbe järeltegevusedInfoturbe järeltegevused
• hooldus
• turvaaudit
• seire
• intsidentide käsitlus
• muutuste haldus
![Page 43: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/43.jpg)
HooldusHooldusJuhtkonna kõigi tasemete kohus on tagada:
• ressursside eraldamine turvameetmete hooldusele
• turvameetmete perioodiline taasvalideerimine• turvameetmete värskendamist (uute ilmnemisel)• hoolduskohustuste selge määratlus• turvameetmete toime muutumatus tark- ja
riistvara muutmisel• tehnoloogia täiustamisega kaasneda võivate
uute ohtude ja nõrkuste vältimine
NB! Turve ei ole ühekordne projekt, turve on pidev protsess!NB! Turve ei ole ühekordne projekt, turve on pidev protsess!
![Page 44: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/44.jpg)
TurvaauditTurvaaudit
• On turbe vastavuse kontroll (ehk meetmete vastavus nõuetele)
• Tuleb läbi viia kas väliste subjektide kaasabil või oma personaliga
• Tuleks ühitada teiste plaaniliste tegevustega
![Page 45: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/45.jpg)
TurvaseireTurvaseire
Annab juhtkonnale pildi sellest:
• mida on saavutatud võrreldes eesmärkidega ja tähtaegadega
• kas saavutused rahuldavad või mitte
![Page 46: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/46.jpg)
Intsidentide käsitlusIntsidentide käsitlus
Intsidentide uurimise põhieesmärgid:• annab aluse intsidendile mõistlikule ja
tõhusale reageerimisele• aitab õppida intsidentidest nende
edaspidiseks vältimiseks
Analüüs tuleb dokumenteerida, fikseerides:• mis ja millal juhtus?• kas personal järgis plaani?• kas vajalik teave oli personalile õigel ajal
kättesaadav?• mida oleks tulnud teha teisiti?
![Page 47: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/47.jpg)
Muutuste haldusMuutuste haldus
Muutuste halduse alla kuuluvad kõik:
• uued protseduurid
• uued omadused
• tarkvaratäiendid
• riistvara täiustused
• uued kasutajad
• võrkude laiendamine ja kokkuühendamine
![Page 48: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/48.jpg)
KokkuvõtteksKokkuvõtteks1. Organisatsiooni (info)turbe eduka
realiseerimise eelduseks on õige turbehaldus
2. Turbega tuleb tegeleda kogu organisatsioonis
3. Initsiatiiv peab tulema organisatsiooni juhtkonnalt, kes peab olema asjast eluliselt huvitatud ja juhtima turbetööd kõrgemal tasemel
4. On vajalik teatud institutsioonide, dokumentide, töökohtade jm olemasolu
![Page 49: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/49.jpg)
Mida on infoturbe halduse Mida on infoturbe halduse standardimise alal Eestis ja standardimise alal Eestis ja
maailmas tehtud?maailmas tehtud?• on koostatud standardpere
ISO/IEC TR 13335, mis on üle võetud Eesti rahvuslikeks standarditeks EVS-ISO/IEC TR 13335
• on olemas ka BS7799st üle võetud ISO/IEC 17799 ja selle uusvariant ISO/IEC 27002
• On olemas ka ISO/IEC 27001 (infoturbe halduse süsteemid)
![Page 50: Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus](https://reader033.vdocuments.net/reader033/viewer/2022061600/56814c88550346895db9a5a0/html5/thumbnails/50.jpg)
Infoturbe eesmärgid, strateegia ja poliitika
Infoturbe strateegia ja eesmärgidÜleüldine infoturbepoliitika
Üleüldise riskianalüüsi strateegia variandid
Sega-metoodika
Detailneriski-
analüüs
Mitte-formaalnemetoodika
Etalon-turbe
metoodika
Segametoodika
Jäme riskianalüüs
Turvameetmete valimine
Riski aktsepteerimine
Infotehnoloogilise süsteemi turvapoliitika
Infoturbeplaan
Etalonturbe metoodikaDetailne riskianalüüs
Infoturbeplaani teostamine
Infotehnoloogiliste süsteemide kinnitamine
Turvameetmed Teadlikkus Koolitus
Järeltegevused
Seire
Intsidentidekäsitlus
Turbe vastavusekontroll
Muutustehaldus
Hooldus