510 likes | 774 Views
Andmeturve ja krüptoloogia, XIV Organisatsiooni turve ja turbehaldus. 29. november 2011 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2011. aasta sügissemestril. Infoturbe haldus: miks on vaja?.
E N D
Andmeturve ja krüptoloogia, XIVOrganisatsiooni turve ja turbehaldus 29. november 2011 Valdo Praust mois@mois.ee Loengukursus IT Kolledžis 2011. aasta sügissemestril
Infoturbe haldus: miks on vaja? • Infoturve nagu informaatikagi on muutunud väga paljude asutuste, organisatsioonide ja firmade tegevuse lahutamatuks koostisosaks–suur osa tähtsaid ülesandeid on usaldatud IT-le • Kui on selge, mida me tahame saavutada, tuleb vastata küsimusele: milliste tegevuste tulemusena? • Infoturbe tegelemine on pidev ja kompleksne tegevus, mitte ühekordne aktsioon
Infoturbe halduses sisalduvad tegevused, I • Üleüldise infoturbe poliitika väljatöötamine • Rollide ja kohustuste piiritlemine organisatsioonis • Riskihaldus, sh kaitsmisele kuuluvate varade, ohtude, nõrkuste, toimete, riskide, turvameetmete, jääkriskide ja kitsenduste piiritlemine ning turvameetmete valimise põhimõtte valimine
Infoturbe halduses sisalduvad tegevused, II • Talitluse pidevuse plaanimine ja avariijärgse taaste plaanimine • Turvameetmete valimine ja teostamine • Turvateadlikkuse programm • Järeltegevused (hooldus, turvaaudit, seire, läbivaatus, intsidentide käsitlus, muutuste haldus)
Turbehaldus: mida teha esmalt? • Esmalt tuleb paika panna organisatsiooni sõltuvus ITst, sh infoturbest: • Millised on tegevuse tähtsad või väga tähtsad osad, mida ei saa sooritada IT toeta? • Millised on tööd, mida saab teha ainult IT abil? • Millised olulised otsused sõltuvad ITga töödeldava teabe täpsusest, terviklusest. Käideldavusest või värskusest? • Milline töödeldav konfidentsiaalne informatsioon vajab kaitset? • Millised on soovimatu turvaintsidendi tagajärjed organisatsioonile?
Organisatsiooni turbe(halduse) põhimõtted Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral Olulisim koht on organisatsioonilistel turvameetmetel Organisatsiooni (andme)turbe edukaks realiseerimiseks tuleb valida sobiv riskihaldusmetoodika ja see ka ellu viia
Organisatsiooni turve Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral
Mis on turvapoliitika (Info)turvapoliitika on eeskirjade, juhiste ja menetluste kogum, mis suunavad varade, (peamiselt infovarade) haldust, kaitset ja jaotamist organisatsioonis ning ta IT süsteemides Kui jätta eest ära eesliide info- (st turvapoliitika), siis peab infovarade asemel vaatama kõiki varasid
Miks on vaja infoturvapoliitikat? Peapõhjus– enamike (info)varade (eriti andmete) kaitse eeldab süstemaatilist tegevust kogu sellega seotud organisatsioonis, mis arvestab erinevate elualade spetsiifikaid ja nõudeid NB! Infoturvepoliitika ei ole mitte IT spetsialistide pärusmaa, vaid reeglina suure hulga erinevate elualade spetsialistide turbefoorumi koostöö tulem (IT spetsialistid tunnevad reeglina ideaalselt ja detailselt vaid oma kitsast ala)
Tippjuhtkonna oluline osa Vaid tippjuhtkond teab, kuivõrd tähtis osakaal on organisatsiooni tegevuses erinevate varade erinevate omadustel ning kui olulist kahju võib nende kadumine kogu organisatsioonile tekitada Seepärast peab just juhtkond olema see, kes paneb paika, millisel tasemel on erinevate (info)varade erinevaid omadusi on vaja kaitsta. Konkreetsed suunised pannakse aga kokku erinevate alade spetsialistide poolt
Infoturvapoliitika tuleks koostada järgmiste talituste esindajate osavõtul: • kõrgem juhtkond • auditeerimine • rahandus • infosüsteemid (spetsialistid ja kasutajad) • tehnovõrgud ja infrastruktuur (st hoone ehitusliku osa eest vastutajad) • personaliala • üleüldine turve
Turvapoliitika muid olulisi elemente • Peab sätestama kõikide varade (omaduste) jaoks üldeesmärgid, kusjuures vajalik on kooskõla • Selgelt peavad olema määratletud seos IT poliitikaga ja turunduspoliitikaga • Peavad olema määratud teed (viisid), kuidas turvaülesanne erinevates valdkondades lahendatakse (riskianalüüs, etalonturbe metoodika) • Selgelt peab paika olema pandud vastutus ja kohustused
Turvapoliitika tüüpsisu, I 1. Sissejuhatus • ülevaade • turvapoliitika rakendusala ja eesmärk 2. Turvaeesmärgid ja -põhimõtted • eesmärgid • põhimõtted 3. Turbe organisatsioon ja infrastruktuur • kohustused • (konkreetsete alamsüsteemide) turvapoliitikad • turvaintsidentidest teatamine
Turvapoliitika tüüpsisu, II 4. Infoturbe ja riskianalüüsi strateegia • sissejuhatus • riskianalüüs ja riskihaldus • turbe vastavuse kontroll 5. Informatsiooni tundlikkus ja riskid • sissejuhatus • informatsiooni märgistuse süsteem • ülevaade organisatsiooni informatsioonist • informatsiooni väärtus ja tundlikkustasemed • ülevaade ohtudest, nõrkustest ja riskidest
Turvapoliitika tüüpsisu, III 6. Riistvara ja tarkvara turve • identimine ja autentimine • pääsu reguleerimine • arvestus ja revisjonipäevik • täielik kustutus, ründetarkvara • personaal- ja sülearvutite turve 7. Side turve • võrkude infrastruktuur • Internet • side krüpteerimine ja autentimine
Turvapoliitika tüüpsisu, IV 8.Füüsiline turve • hoone turvalisus ja kaitse, sh teenuste kaitse • volitamata hõive • juurdepääs arvutitele • juurdepääs andmekandjatele • personali kaitse • piksekaitse, kahjutule ja vee kaitse • ohtude avastamine ja teatamine • seadmete kaitse varguse eest • teeninduse ja hoolduse reguleerimine
Turvapoliitika tüüpsisu, V 9. Personali turve • palkamistingimused • turvateadlikkus ja -koolitus • personal ja lepingulised töötajad • kolmandad osapooled 10. Dokumentide ja andmekandjate turve • säilitamine • edastamine • kõrvaldamine (hävitamine)
Turvapoliitika tüüpsisu, VI 11.Tegevus eriolukordades • varundamine, sh varukoopiad • eriolukordade strateegia • olulisemate eriolukordade plaanid 12. Kaugtöö 13. Alltöövõtu poliitika 14. Muudatuste reguleerimine • turvapoliitika muutmispõhimõtted • turvapoliitika staatus organisatsioonis
Turvapoliitika tüüpsisu, VII Lisad: A. Turvajuhendite loend B. Seadused ja eeskirjad C. Organisatsiooni infoturbe eest vastutava isiku pädevus D. Infoturbe foorumi pädevus E. Oluliste alamsüsteemide (komponentide) turvapoliitika sisukord
Infoturbe halduse organisatsioonilised aspektid • Rollid ja kohustused. Hädavajalikud: • infoturbe foorum • üleüldise infoturbe ametnik • Järjekindel metoodika: • tegelemine kogu (infosüsteemi) elutsükli vältel • standardite järgimine
Infoturbe foorumi ülesanded • infotehnoloogia korralduskomisjoni nõustamine turbe strateegilise plaanimise alal • infoturbe poliitika formuleerimine ja sellele kinnituse saamine infotehnoloogia korralduskomisjonilt • infoturbe poliitika infoturbe programmiks muundamine • infoturbe programmi täitmise seire • infoturbe poliitika tõhususe kontroll • infoturbe alase teadlikkuse tõstmine
Infoturbe ametniku kohustused • infoturbe programmi täitmise järelevalve • side infoturbe foorumiga ja üleüldise turbe ametnikuga • intsidentide uurimise koordineerimine • üldise turvateadlikkusprogrammi juhtimine • Konkreetsete IT projektide turbe ametnike (kui neid on) pädevuse määramine
Riskihaldus sisaldab neli põhitegevust • organisatsioonile üldise infoturbe poliitika kontekstis sobiva riskihalduse strateegia määramine (neli peamist alternatiivi) • infotehnoloogiliste süsteemide turvameetmete valimine riskianalüüsi tegevuste tulemustena või vastavalt etalonmeetmetele (eeltoodud alternatiividele) • infotehnoloogiliste süsteemide turvapoliitikate formuleerimine turbesoovituste põhjal ja vajadusel üldise infoturbe poliitika värskendamine • infoturbeplaanide koostamine turvapoliitikate põhjal turvameetmete teostamiseks
Riskihaldusmetoodika olemus Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse • Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse • Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud
Riskihaldusmetoodika praktilised alternatiivid • 1. Detailne riskianalüüs. On ideaallahendus • 2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel • 3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides • 4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele
Riskihaldusmetoodika valimise probleem Tõsiasi: detailne riskianalüüs on kulukas toiming, seda tasub sooritada ainult siis, kui ta on majanduslikult põhjendatud Tekib kaks probleemi: Kuidas saada eelnevalt teada, kas ta tasub end? Kuidas toimida siis, kui on teada, et detailne analüüs pole tasuv?
Jäme riskianalüüs esialgse indikaatorina Konkreetsetele oludele sobivaima riskhaldusmetoodika valimiseks tuleb kõigepealt teha jäme riskianalüüs Kui jäme riskianalüüs näitab, et algrisk on väärtustes mõõdetuna väga suur ja ta vähendamiseks tuleb rakendada kulukaid meetmeid ning tasub kulutada ressursse detailsele analüüsile
Millal valida etalonturbemetoodika? Kui detailne riskianalüüs pole tasuv, sobib etalonturbe (baseline security) meetod On välja töötatud tüüpseid turvameetmestikke, mille toime riski vähendamisel teatud tingimustes on teada, ja mida rakendatakse tingimuste jämeda võrdluse alusel Nõutava kaitsetaseme saavutamiseks tuleb selline etalonmeetmestik rakendada täielikult, midagi välja jätmata
Infosüsteemi jäme riskianalüüs Lähteandmed otsustamiseks, milline riskihaldusmetoodika sobib mingile infosüsteemile, võib saada järgmiste asjaolude kaalutlemisest: • infosüsteemi abil saavutamisele kuuluvad (organisatsiooni) tegevuseesmärgid • organisatsiooni tegevuse sõltuvuse määr infosüsteemist • infosüsteemi investeerimise tase süsteemi väljatöötamise, hoolduse või asendamise terminites • selle infosüsteemi varad, millele organisatsioon otseselt omistab väärtuse
Infoturbesoovitused Tekivad riskihalduse strateegia käigus, juhtkond peab kinnitama • Peavad sisaldama: • kriteeriumeid infotehniliste süsteemide aktsepteeritavate riskitasemete määramiseks • riske aktsepteeritava tasemeni kahandavate turvameetmete valimist • turvameetmete evitamisega seotud hüvesid ja riskide kahandamist • turvameetmetega seotud jääkriskide aktsepteerimist
Infoturbeplaan, I Infoturbeplaan on dokument, mis määratleb IT süsteemi turvapoliitika teostamiseks sooritamisele kuuluvad toimingud • Peab hõlmama: • üldise turvaarhitektuuri ja lahenduse • ülevaate IT süsteemi vastavusest organisatsiooni turvaeesmärkidele • hinnangulistele riskidele vastavate turvameetmete piiritluse (juhtkonna poolt kehtestatult)
Infoturbeplaan, II • Peab hõlmama (järg): • turvameetme tegeliku usaldustaseme hinnangu • ülevaate jääkriskide hindamisest • turvameetmete evitamiseks vajalike toimingute loetelu • detailse tööplaani turvameetmete evitamiseks, prioriteetide, eelarve ja ajakavaga
Turvameetmete teostamine Infoturbe plaani teostamise eest vastutab IT süsteemi turbe ametnik • Tuleb tagada, et: • turvameetmete maksumus jääb kinnitatud piiridesse • turvameetmed oleksid teostatud õigesti, vastavalt infoturbeplaanile • turvameetmeid kasutatakse ja hallataks vastavalt infoturbeplaanile
Turvameetmete teostamine Turbeplaani teostamise lõpus tuleb turvameetmete evitus ametlikult kinnitada NB! Alles peale seda võib IT süsteemi käiku lasta. NB! Iga IT süsteemi kaaluka muudatusega peab kaasnema süsteemi turvaalane korduskontroll, testimine ja -kinnitamine.
Turvateadlikkuse programm, I Turvateadlikkuse programm tuleks evitada kõikidel tasanditel, tippjuhtkonnast kasutajani. Programm peab andma teadmised üleüldise infoturbe poliitika kohta ning katma üleüldise turbeplaani eesmärgid. • Programmis peab käsitlema: • informatsiooni kaitse põhivajadusi • turvaintsidentide tähtsust (nii kasutajale kui kogu organisatsioonile)
Turvateadlikkuse programm, II • Programmis peab käsitlema: • üleüldise infoturbe poliitika ja riskihalduse strateegia aluseks olevaid eesmärke (koos selgitusega) • infoturbeplaani turvameetmete evitamiseks ja kontrollimiseks • informatsiooni turvaliigitust • andmeomanike kohustusi
Turvateadlikkuse programm, III • Programmis peab käsitlema: • turvariketest (nende katsetest) teatamist ja nende uurimise vajadust • volitamata tegevuste tagajärgi • turbe vastavuse kontrollimist • muutuse- ja konfiguratsioonihaldust
Infoturbe järeltegevused • hooldus • turvaaudit • seire • intsidentide käsitlus • muutuste haldus
Hooldus • Juhtkonna kõigi tasemete kohus on tagada: • ressursside eraldamine turvameetmete hooldusele • turvameetmete perioodiline taasvalideerimine • turvameetmete värskendamist (uute ilmnemisel) • hoolduskohustuste selge määratlus • turvameetmete toime muutumatus tark- ja riistvara muutmisel • tehnoloogia täiustamisega kaasneda võivate uute ohtude ja nõrkuste vältimine NB! Turve ei ole ühekordne projekt, turve on pidev protsess!
Turvaaudit • On turbe vastavuse kontroll (ehk meetmete vastavus nõuetele) • Tuleb läbi viia kas väliste subjektide kaasabil või oma personaliga • Tuleks ühitada teiste plaaniliste tegevustega
Turvaseire • Annab juhtkonnale pildi sellest: • mida on saavutatud võrreldes eesmärkidega ja tähtaegadega • kas saavutused rahuldavad või mitte
Intsidentide käsitlus • Intsidentide uurimise põhieesmärgid: • annab aluse intsidendile mõistlikule ja tõhusale reageerimisele • aitab õppida intsidentidest nende edaspidiseks vältimiseks • Analüüs tuleb dokumenteerida, fikseerides: • mis ja millal juhtus? • kas personal järgis plaani? • kas vajalik teave oli personalile õigel ajal kättesaadav? • mida oleks tulnud teha teisiti?
Muutuste haldus Muutuste halduse alla kuuluvad kõik: • uued protseduurid • uued omadused • tarkvaratäiendid • riistvara täiustused • uued kasutajad • võrkude laiendamine ja kokkuühendamine
Kokkuvõtteks • Organisatsiooni (info)turbe eduka realiseerimise eelduseks on õige turbehaldus • Turbega tuleb tegeleda kogu organisatsioonis • Initsiatiiv peab tulema organisatsiooni juhtkonnalt, kes peab olema asjast eluliselt huvitatud ja juhtima turbetööd kõrgemal tasemel • On vajalik teatud institutsioonide, dokumentide, töökohtade jm olemasolu
Mida on infoturbe halduse standardimise alal Eestis ja maailmas tehtud? • on koostatud standardpere ISO/IEC TR 13335, mis on üle võetud Eesti rahvuslikeks standarditeks EVS-ISO/IEC TR 13335 • on olemas ka BS7799st üle võetud ISO/IEC 17799 ja selle uusvariant ISO/IEC 27002 • On olemas ka ISO/IEC 27001 (infoturbe halduse süsteemid)