210 likes | 535 Views
IT lahenduste seire. Riigi infoturbe juhtimine. Ivo Koppelmaa, RIA nõunik infosüsteemide auditeerimise alal. Mis on IS audit?. Audiitortegevuse seadus kehtival kujul ei reguleeri infosüsteemi auditit
E N D
IT lahenduste seire.Riigi infoturbe juhtimine. Ivo Koppelmaa, RIA nõunik infosüsteemide auditeerimise alal
Mis on IS audit? • Audiitortegevuse seadus kehtival kujul ei reguleeri infosüsteemi auditit • IS audit on nõuetele vastavuse kontroll ja hinnangu andmine auditeeritava organisatsiooni infosüsteemile (või selle osadele), kaasa arvatud selle seostele automatiseerimata protsessidega ja organisatsioonilise struktuuriga. • Standardid (ISO, COBIT, ISKE), õigusaktid, ka organisatsiooni enda poolt kehtestatud nõuded.
IS audiitori kvalifikatsioon • ISACA (Rahvusvaheline Infosüsteemide Auditi ja Juhtimise Ühing) annab välja CISA sertifikaati • Mitmetes riikides kohalikud sertifikaadid, Eestis mitte • Eestis 12 CISA • Eesti Infosüsteemide Audiitorite Ühingus28 liiget
IS auditi protsess • Tundmaõppimine (milline on organisatsioon ja tema nõuded infosüsteemile) • IT juhtimise ja infosüsteemide ülevaatus • Nõuetele vastavuse hindamine • Riskide tõendamine
IT lahenduste seire - COBIT • Kogutakse andmeid IT protsesside toimimise kohta ja antakse aru juhtkonnale • Hinnatakse sisekontrollide adekvaatsust • Sõltumatu kinnituse hankimine – nt IT teenuste ja teenusepakkujate hindamine/sertifitseerimine • Audiitorid peavad olema sõltumatud ning tegutsema auditi hea tava kohaselt
SF projektide järelevalve • Dokumentatsiooni kontroll • Rikkumistest teatamine • Mis on rikkumine? • Miks ja kellele peab teatama? • Projektide auditeerimine IS audiitori poolt
IT projektide audit • Miks on vaja lisaks tavapärasele järelevalvele teha IS audit? • Projekte ohustavad IT-spetsiifilised riskid • Riigisektor on igal pool maailmas teada kui nõrk IT projektide tellija • Väga suur osa IT-projekte ebaõnnestub, kuna puudub asjatundlik järelevalve
IT projektide audit • Audit – nõuetele vastavuse kontroll • Nõuded: • Projekti plaan peab sisaldama riskihinnanguid ja riskide haldamise meetmeid • Projekti plaan peab sisaldama mõõdetavaid vahe- ja lõpptulemusi • Peavad olema paigas selged protseduurid vahe- ja lõpptulemuste hindamiseks ja vastuvõtmiseks • Auditeeritakse nii projektiplaani kui vahe- ja lõpptulemusi
Riigi infoturbe juhtimine • Infopoliitika 2004 – 2006 punkt eTurvalisus: • töötada välja ühtse infoturbepoliitika aluspõhimõtted • asutada rahvuslik infoturbe keskus • EL vastavate struktuuride kontaktpunkt • rünnete registreerimine • teavitamine • kaitsemeetmete väljatöötamine ja levitamine • turvateadlikkuse tõstmine
Varasemaid tegevusi • COBIT on tõlgitud eesti keelde • RISO kodulehel soovitused infoturbe korraldamise kohta • Eesti Informaatikakeskus soovitas Turvaklasside ja etalonmeetmete virtuaaljuhendit (AS Küberneetika) • Andmekogude seadus nägi ette turvameetmete süsteemi kehtestamise • ISKE määrus (12.08.2004)
Riigi infoturbe juhtimise eesmärgid • Riigi ja erasektori konkurentsivõime tõstmine • E-äri ja e-teenuste leviku toetamine • Efektiivsuse kasv • Teadlikkuse ja kompetentsi arendamine • Kodanike õiguste ja infokapitali kaitse • Koostöö nii riigisiseselt kui rahvusvaheliselt • Agentuur ENISA • CIIP, CERT, PPP, turvateadlikkus • ISKE rakendamine ja täiendamine
Kuidas ISKE saadi? • EVS-ISO/IEC 17799 Infotehnoloogia. Infoturbe halduse menetluskoodeks • EVS-ISO/IEC TR 13335 Infoturbe halduse suunised • Keskendub turvameetmete valimisele • Osa 4 mainib etalonturbe meetmete käsiraamatuid • BSI IT etalonturbe teatmik • Selge turvaeesmärk • Detailselt kirjeldatud meetmed • Hästi kirjeldatud rakendusmetoodika
ISKE põhimõtted • Eesmärgiks oli lihtsustada keskmisel tasemel turvalisuse saavutamist: • Traditsiooniline meetod nõuab ohtude määratlemist, tõenäosuse ja mõju analüüsi, olemasolevate turvameetmete hindamist ning jääkriski maandamiseks vajalike turvameetmete rakendamist • ISKE pakub valmiskomplekti turvameetmeid moodulite kaupa – nt serveriruum, e-posti server, unix-server, andmebaasid, kaugtöökoht jne.
ISKE põhimõtted (2) • Eeldused: • Normaalsed turvavajadused • Tüüpilised IT komponendid • Tüüpilised ohud ja nõrkused • Sellisele asutusele: • Soovitatakse standardsed turvameetmed • Antakse nende detailsed kirjeldused • Kirjeldatakse tüüpilisi ohte
BSI originaaljuhend • Kirjeldab samme, mis on vajalikud keskmise turvataseme saavutamiseks • Tüüpmoodulite kirjeldused (57 tk, ~170 lk) • Ohtude kataloog (333 tk, ~370 lk) • Turvameetmete kataloog (772 tk, ~1750 lk, eesti keeles 66 lk) • Mitmesugused abivahendid CD-l
ISKE rakendamise sammud • Inventuur • Võrgu topoloogia • IT varad gruppide kaupa • Rakendused • Vajaliku turvataseme määratlemine • 4 turvaosaklassi • terviklus • konfidentsiaalsus • käideldavus • teabe hilinemise tagajärgede kaalukus • 3 võimalikku turvataset
ISKE rakendamise sammud (2) • Olemasolevate turvameetmete hindamine • (BSI - vajadusel täiendav turvaanalüüs) • Rakendamist ootavate meetmete “konsolideerimine” (ID-kaardi v veetorude näide) • Maksumuse ja tööjõuvajaduse hindamine • Tööplaani tegemine (sh vastutajad) • Teavitus, koolitused jne
Mis teha kui raha ei jätku? • Turvatase on liiga kõrgeks hinnatud? • Kesksed lahendused? • USA osariigi Oregoni näide • koostati business case konsolideeritud andmekeskuse loomiseks • eeliseks on muuhulgas ka võimalus efektiivsemalt tagada süsteemide turvalisus, taastatavus ja talitluspidevus
Vastavus turvameetmete süsteemi määrusele • Rangelt võttes on ISKE süsteem range • Kui kasvõi üks meede on rakendamata, siis nõutud turvataset ei ole saavutatud • Tegelikult on turvalisuse saavutamine pikk protsess • Peab olema plaan, kuidas teha asju tähtsuse järjekorras • BSI süsteemis on meetmetel erinev prioriteetsus • Põhjendatud otsusega saab osa turvameetmeid välja jätta