ISKE – tänane seis ja lähiaja arengutest Toomas Viira CISSP, CISA Pärnu, 26.05.2006

1. ISKE – tänane seis ja lähiaja arengutest Toomas Viira CISSP, CISA Pärnu, 26.05.2006

2. Millest räägime • ISKE ajaloost • ISKE sisust • ISKE tänasest seisust • Mis on probleemiks? • Lähiaja arengutest

3. ISKE • Infosüsteemide kolmeastmeline etalonturbe süsteem • Aluseks võetud IT Grundschutz Handbuch/ BSI Baseline Protection Manual

4. BSI IT Baseline Protection Manual • BSI - Bundesamt für Sicherheit in der Informationstechnik • Eelarve - 50 miljonit EUR (2004) • Töötajaid – üle 400 (2004) • ITBPM-ga tegeleb igapäevaselt ≈10 inimest

5. ISKE ajaloost • … • Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273:“Infosüsteemide turvameetmete süsteemi kehtestamine” • ISKE rakendamisjuhend versioon 1.0 “Oktoober 2003” (based on ITBPM 2002) • … • Turvaklasside määramine … • 1.jaanuar 2008 – turvameetmed rakendatud

6. ISKE – 4 turvaeesmärki • teabe konfidentsiaalsus (S) • teabe terviklus (T); • aegkriitilise teabe käideldavus (K); • teabe hilinemise tagajärgede lubatav kaalukus (R);

7. 4 tasemeline hindamiseskaala 0 - eesmärgi saavutamata jäämine ei too kaasa mingeid kahjusid; 1 - eesmärgi saavutamata jäämisel tekkida võivad kahjud ei ole olulised; 2 - eesmärgi saavutamata jäämisel võivad tekkida olulised kahjud; 3 - eesmärgi saavutamata jäämisel võib olla võimatu täita andmekogu funktsiooni.

8. ISKE – 4 turvaeesmärki & 4 tasemeline hindamine • konfidentsiaalsus- S0, S1, S2, S3 • terviklus - T0, T1, T2, T3 • käideldavus - K0, K1, K2, K3 • teabe hilinemise tagajärgede lubatav kaalukus – R0, R1, R2, R3 nt. Register x – turvaklass T2S1R0K1 → turvatase “M”

10. ISKE 3 turbetaset • L – Low (Madal) • M – Medium (Keskmine) • H – High (Kõrge)

12. ISKE rakendusjuhend • Moodulid/moodulitetabelid • Ohud/ohtude kataloogid • Turvameetmed/turvameetmete kataloogid

13. B1 Üldkomponendid (14)(draft ISKE 2006) B1.0 Infoturbe haldus B1.1 Organisatsioon B1.2 Personal B1.3 Ootamatuste plaanimine B1.4 Andmevarunduspoliitika B1.5 Andmekaitse B1.6 Viirusetõrje kontseptsioon B1.7 Krüptokontseptsioon B1.8 Turvaintsidentide käsitlus B1.9 Riistvara ja tarkvara haldus B1.10 Tüüptarkvara B1.11 Väljasttellimine(Outsourcing) B1.12 Arhiveerimine B1.13 Infoturbeteadvustus ja -koolitus

14. B2 Infrastruktuur (11)(draft ISKE 2006) B2.1 Hooned B2.2 Kaabeldus B2.3 Bürooruum B2.4 Serveriruum B2.5 Andmekandjate arhiiv B2.6 Tehnilise infrastruktuuri ruum B2.7 Kaitsekapid B2.8 Kaugtöökoht kodus B2.9 Arvutuskeskus B2.10 Mobiiltöökoht B2.11 Nõupidamis-, ürituse- ja koolitusruumid

15. B3 IT-süsteemid (23)(draft ISKE 2006) B3.301 Turvalüüs (tulemüür) B3.302 Marsruuterid ja kommutaatorid B3.401 Sidesüsteem B3.402 Faks B3.403 Automaatvastaja B3.404 Mobiiltelefon B3.405 Pihuarvuti B3.101 Server B3.102 Server Unix B3.103 Server Windows NT B3.104 Server Novell Netware 3.x B3.105 Server Novell Netware 4.x B3.106 Server Windows 2000 B3.107 Suurarvutid S/390 ja zSeries B3.201 Klient B3.202 Autonoomne IT-süsteem B3.203 Sülearvuti B3.204 Klient Unixi all B3.205 Klient Windows NT all B3.206 Klient Windows 95 all B3.207 Klient Windows 2000 all B3.208 Interneti-PC B3.209 Klient Windows XP all

16. B4 Võrgud (5)(draft ISKE 2006) B4.1 Heterogeenne võrk B4.2 Võrgu- ja süsteemihaldus B4.3 Modem B4.4 Kaugpöördus B4.5 IT-süsteemi kohtvõrguühendus ISDN kaudu

17. B5 IT-rakendused (12)(draft ISKE 2006) B5.1 Võrdõigusteenus (p2p) B5.2 Andmekandjate vahetus B5.3 E-post B5.4 Veebiserver B5.5 Lotus Notes B5.6 Faksiserver B5.7 Andmebaas B5.8 Kaugtöö B5.9 Novell eDirectory B5.10 Internet Information Server (IIS) B5.11 Apache-veebiserver B5.12 Exchange 2000 / Outlook 2000

18. Tänased vajakajäämised 1(2) • Turvaklasside määramine keeruline?! • Turvaosaklasside definitsioonid ISKE määruses ja ISKE rakendusjuhendis erinevad • Mitmed turvaosaklasside definitsioonid “viletsad” • Puudub juhend “äripoole” esindajatele turvaklasside määramiseks

19. Tänased vajakajäämised 2(2) • Rakendusjuhend - liiga mahukas, liiga detailne?! • Mõningased “ämbrid” turvameetmetes • Liiga palju “käsitööd” • Turvameetmed pole “lahti kirjutatud” • Rakendusjuhendit pole uuendatud • Puuduvad (ka BSI originaalis) mitmete uuemate moodulite/”platvormide” (nt. MS Exc2003, WIN Server 2003, …) jaoks kirjeldused /turvameetmed • … • Nõuab asutuses täiendavaid ressursse (inimest?!), kes tegeleks selle teemaga

20. Lähiaja tegevused • Turvaosaklasside definitsioonide muutmine • Juhend “äripoolele” turvaklasside määramiseks • Rakendusjuhendi uuendamine/täiendamine • Rakendustööriist

21. Muudatused uues rakendusjuhendis • Aluseks võetud IT Grundschutz Handbuch, Detsember 2005 versioon • Muudatused tüüpmoodulite struktuuris • Lisandunud ohud • Lisandunud turvameetmed

22. ISO 27001 & ISO17799 & IT Grundschutz • nn. standardite vaheline “mapping” on olemas • ISO 27001 sertifitseerimine • IS0 27001 IT Grundschutzi baasil sertifitseerimine • ISKE ?!

23. ISKE töögrupp • Töögruppi kuuluvad mitmete riigiasutuste infoturbe ja ISKE rakendamisega tegelevad inimesed • ISKE rakendusjuhendi ülesande püstituse ettevalmistamine, töödele vahehinnangute andmine, uuendatud rakendusjuhendi hindamine/aktsepteerimine • Uuendatud rakendusjuhend esitada 10.juuliks 2006 ..

24. Lähiaja arengutest - mida võiks muuta? • Võtame aluseks saksa keelse versiooni • Määruse muutmine • Turvaosaklasside definitsioonid muutmisele • Auditeerimise kohustuse määramine • Turvatasemetes “L” “M” ja “H” • kohustuslikud turvameetmed • soovituslikud turvameetmed (lisanduvad uues versioonis) • Rakendustööriist • sakslaste oma (kohandatud) • või meie enda oma • ISKE alusel serfitseerimine ?!

25. Koolitused • Infoturbe alane koolitus asutuste juhtkondadele • ISKE alane koolitus rakendajatele – IT juhtidele, infoturbe juhtidele/spetsialistidele • Millal - II poolaasta 2006

26. Kasulikud lingid www.ria.ee/iske www.bsi.de/english/gshb/- inglise keelne juhend www.bsi.de/gshb/- IT Grundschutz Handbuch saksa keelne juhend

27. Küsimusi, kommentaare, … Tänud!

28. 2. peatükkTURVAKLASSID JA TURVAMEETMED §4. Turvanõuete spetsifitseerimine • (1) Infoturbe eesmärke arvestava turvaklassi määramiseks korraldab andmekogu vastutav töötleja andmekogu andmete turvaanalüüsi. • (2) Andmekogu vastutav töötleja on kohustatud üks kuu enne andmekogu pidamiseks kasutatava infosüsteemi kasutusele võtmist või olemasoleva infosüsteemi vastavate arendustööde käivitamist edastama «Andmekogude riikliku registri «volitatud töötlejale andmete turvaanalüüsi tulemusena kindlaksmääratud turvaklassid. • (3) «Andmekogude riikliku registri» volitatud töötlejal on õigus andmekogu vastutava töötleja poolt määratud turvaklass vajadusel vaidlustada ja teha ettepanekuid selle muutmiseks.

29. 3. peatükk RAKENDUSSÄTTED §12. Määruse rakendamine enne määruse jõustumist kasutusele võetud infosüsteemide suhtes • (1) Enne määruse jõustumist asutatud andmekogu andmetele määrab andmekogu vastutav töötleja turvaklassid ja rakendab andmekogu andmeid töötlevale infosüsteemile etappide kaupa vastavad turvameetmed hiljemalt 1. jaanuaril 2008. a. • (2) Andmekogu andmetele määratud turvaklassid edastab andmekogu vastutav töötleja «Andmekogude riikliku registri» volitatud töötlejale.