1 / 31

Andmeturve Sissejuhatus. Andmeturbe olemus

Andmeturve Sissejuhatus. Andmeturbe olemus. 5. september 2003 loos @ vkhk.ee. Aine eesmärk. Nimetus: Andmeturve ( Data Security)

kalb
Download Presentation

Andmeturve Sissejuhatus. Andmeturbe olemus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Andmeturve Sissejuhatus. Andmeturbe olemus 5. september 2003 loos@vkhk.ee

  2. Aine eesmärk Nimetus:Andmeturve (Data Security) Eesmärk:anda süsteemne ülevaade kaasaegsest andmeturbest (ja krüptoloogiast) nii teoreetilise kui ka praktilise poole pealt mahus, mis on vajalik ühele infotehnikaga tegelevale praktikule selle valdkonna piisavaks tundmiseks

  3. Protsessuaalne teave Ainekood: PAT Sisaldab: 20 tundi loenguid, 10 tundi praktikume, Ainepunkte: 1 Lõpeb: hindelise arvestusega Loenguväline suhtlus õpetaja ja õppurite vahel: Interneti teel Arvutiteeninduse II kursuse veebilehe ning meili vahendusel

  4. Loengute plaan, I • Sissejuhatus, põhimõisted. Infoturve, selle mõiste, olemus ja tähtsus kaasaja infosüsteemides ning maailmas. Turbe kolm komponenti ja nende olemus erinevates infosüsteemides ja infovarade kaitsel. Turbe majanduslik külg. Turvaprobleemi lahendamine praktilistes süsteemides. • Infosüsteemi ohud. Ohtude liigitus. Nõrkuste (turvaaukude) liigitus. Metoodikad, mida kasutatakse ohtude leidmisel ja hindamisel.

  5. Loengute plaan, II • Infosüsteemi nõrkused. Nõrkuste liigitus. Metoodikad, mida kasutatakse nõrkuste leidmisel ja hindamisel. Koosmõju ohtudega, risk • Turbe tagamine ja turvameetmed. Turvameetmete olemus, liigitamine ja rakendamine. Koosmõju ohtude ja nõrkustega. Praktiline turvalisus kui riski minimeerimine. Selle saavutamise kaks peamist teed – riskianalüüs ja etalonturbe metoodika; nende võrdlus. Turbe komponentide tagamine erinevate infovarade korral

  6. Kirjandus • Põhiõpikut ei ole, selle aset täidavad loengute slaidiprogrammid • Toetav kirjandus: • V. Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetika, 1997, 125 lk • V. Hanson, A. Buldas, H. Lipmaa Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika, 1998, 372 lk • V. Praust. Digitaalallkiri — tee paberivabasse maailma. Tallinn, ILO, 2001, 179 lk • V. Praust. Infoühiskonna aabits. Tallinn, Avita, 1997, 327 lk • Arvuti ettevõtte asjaajamises. Tallinn, AS Estada, 2001, 488 lk

  7. Mida me kaitseme: informatsioon ehk teave Informatsioon ehk teave(information)–teadmine, mis puudutab objekte, näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus Informatsiooni mõiste on seega seotud temast üldisema — teadmuse — mõistega, mille üheks osaks on see mida teatakse, st mingi asjaolu (objekt), ja teiseks osaks see, kes teab (subjekt) Informatsioonil iseenesest puudub vorm. See tekib alles esituse (andmete) kaudu

  8. Mida me kaitseme: andmed Andmed (data)–informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks Andmed on informatsiooni esitus, st tema kirjapanek mingis eelnevalt kokkulepitud kujul(mis võimaldab andmetele vastavat teavet edasi anda subjektilt subjektile) Samade andmete tõlgendus erinevate subjektide poolt võib olla erinev (nt sõna 'hallitus' tähendus sõltub mõnevõrra sellest, kas tema lugeja on eestlane või soomlane)

  9. Digitaalkujul andmed • Informatsioon võib olla andmetena kirja pandud mitmel erineval viisil. Olulisemad neist on kaks: • paberkandjal andmed (tekst, skeemid, pildid jm) • digitaalkujul andmed (esitatud arvude 0 ja 1 abil teatud tehniliste seadmete vahendusel) Rääkides arvutiga (infotehniliste seadmetega) töödeldavatest andmetest, mõtleme me andmete all alati digitaalkujul andmeid, seega andmeid, mis koosneb bitijadadest ehk märkide 0 ja 1 jadadest.

  10. Andmeturbe lähtekoht Lähtekoht: nii paber- kui ka digitaalkujul andmetel (informatsioonil) on reeglina mingi väärtus ja omadused mingi subjekti (kas inimese või tehnilise süsteemi) jaoks Info- ehk andmeturve tegeleb andmete (informatsiooni) omaduste ja seeläbi kaväärtuste tagamisega

  11. Andmeturbe komponendid • Andmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust peavad olema tagatud suvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse(see oli nii ajaloolises plaanis)

  12. Käideldavus Andmete käideldavus (availability) on teabe õigeaegne ning mugav kättesaadavus ning kasutatavus selleks volitatud isikutele ning subjektidele • Käideldavus on reeglina andmete olulisim omadus ehk andmeturbe olulisim komponent– halvim mis andmetega võib juhtuda, on see et ta pole (volitatud subjektidele) kättesaadav • Näited: • piirivalvel pole teavet tagaotsitavate kohta või see jääb hiljaks; • maakorraldajal pole teavet, kellele mingi maatükk kuulub

  13. Terviklus Andmete terviklus(integrity) on andmete pärinemine autentsest allikast ning veendumine, et need pole hiljem muutunud ja/või neid pole hiljem volitamatult muudetud Terviklus on käideldavuse järgi olulisuselt teine andmete omadus (andmeturbe komponent) Andmed on reeglina seotud selle loojaga, loomisajaga, kontekstiga jm sarnasega; nimetatud seose rikkumisel on halvad tagajärjed Näide: karistusregistri kuritahtliku muutmisega saab vang õigusevastaselt varem vabaks

  14. Konfidentsiaalsus Andmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud isikutele (ning kättesaamatus kõikidele ülejäänutele) • Oli ajalooliselt andmeturbe olulisim komponent • Kaasajal on ta vaid üks kolmest olulisest komponendist • Näited: • riigi- või firmasaladus tuleb avalikuks • operatiivne jälitusteave tuleb avalikuks • isikuandmeid levitamine ilma isiku nõusolekuta

  15. Andmete vs infovarade turve Tihti räägitakse andmeturbe asemel kõikide infosüsteemi varade ehk infovarade turbest • (Info)varade hulka kuuluvad: • andmed (mingis vormingus olev informatsioon) • IT aparatuur (riistvara, sideseadmed, toiteseadmed jm) • andmesidekanalid • tarkvara (süsteemne ja rakendustarkvara) • Vahel loetakse infovaradeks lisaks: • organisatsioon (selle struktuur ja talitlus) • personal • andmekandjad (sh dokumendid) • infrastruktuur (hooned, tööruumid, jms)

  16. Infovarade omadusi • Varade suur, kuid kaudne väärtus: seda on tihti raske hinnata • Portatiivsus: väikeste füüsiliste parameetritega ja kergest teisaldatavatel esemetel võib olla väga suur väärtus • Füüsilise kontakti vältimise võimalikkus (eriti kaasaja netiajastul): füüsiline ja loogiline asukoht ja struktuur eralduvad järjest üksteisest • Kahjustuste varjatus: neid on tihti raske ja keeruline avastada

  17. Turbe kahjustumine • Infovaradele (infosüsteemile) mõjuvad ohud(threat) • Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi(vulnerabilities) • Ohud koos nõrkustega määravad ära riski (risk) • Ohu realiseerumisel tekib turvakadu(security loss) • Riski vähendamiseks tuleb turvaauke lappida kasutades turvameetmeid(security measures)

  18. Turbe kahjustumine (skeem)

  19. Turvameetme mõju

  20. Veelturbemõisteid • Oht (threat) – potentsiaalne (info)turbe rikkumine • Nõrkus e turvaauk (vulnebarility) – infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt • Risk (risk) – tõenäosus, et teatud oht kasutab ära infosüsteemi teatud nõrkuse • Turvakadu e turvarike (security loss) – sündmus, mille käigus kahjustus infosüsteemi kuuluvate varade turvalisus (käideldavus, terviklus ja/või konfidentsiaalsus) • Turvameede (security measure) – infosüsteemi modifitseering, mis vähendab mingit riski (reeglina mitmeid korraga)

  21. Turvakao näiteid • seadme rikkiminek – IT aparatuuri tervikluskadu • seadme hävitamine või varastamine – IT aparatuuri käideldavuskadu • registri volitamatu muutmine – andmete tervikluskadu • tööruumide muutumine kasutuskõlbmatuks – infrastruktuuri käideldavuskadu • andmesideliinide pealtkuulamine, kui andmed ei olnud krüpteeritud – andmete konfidentsiaalsuskadu

  22. Turvalisus ja jääkrisk NB!Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele Reeglina mõeldakse selle all olukorda, kus varade väärtus, rakendatud turvameetmete hind ja aktsepteeritav jääkrisk on omavahel teatavas tasakaalus

  23. Turvamõistete vahelised seosed

  24. Turbe majanduslik külg

  25. Turbe majanduslik külg Turvalisus on rõhtteljel väljendatud suhtelistes ühikutes, Tüüpiliselt on kahjude ja turbekulude kõverad eksponentsiaalsed Kahjude kõver lõikab püsttelge punktis, mis vastab varade kogumaksumusele Turvakulude kõver läheneb 100% juures püstteljele asümptootiliselt Kõverad illustreerivad ülesandes peituvat vastuolu: turve kahandab kahjusid, kuid tekitab oma maksumusega uusi. Optimaalset lahendit näitab kõverate lõikepunkt. Varade, ohtude, nõrkuste ja turvameetmete suure arvu korral ei ole võimalik seda optimumi intuitiivselt leida, vajalik on süstemaatiline riskianalüüs

  26. Organisatsiooni turve Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis Riigi- ja äriasutuste tegevus sõltub kaasajal tugevalt informatsiooni (andmete) kasutamisest Infovarade turvakadu avaldab tihti kahjulikku mõju asutuse muudele varadele ja seega kogu asutusele Kaasajal on andmeturbega tegelemine ülioluline, sest paljud organisatsioonid on seesmiselt ja väliselt seotud mitmete infosüsteemide ja võrkude kaudu

  27. Organisatsiooni turbe põhimõtted Organisatsiooni turbe korraldamisel võetakse varade väärtuseks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao (turvakao) korral • Olulisim koht on organisatsioonilistel turvameetmetel • Organisatsiooni (andme)turvet saab korraldada mitmel meetodil: • riskianalüüs • etalonturbe metoodika • segametoodika

  28. Turvaprobleemi lahendamine Detailne riskianalüüs on kulukas toiming, seda tasub sooritada ainult siis, kui ta on majanduslikult põhjendatud Tekib kaks probleemi: • Kuidas saada eelnevalt teada, kas ta tasub end? • Kuidas toimida siis, kui on teada, et detailne analüüs pole tasuv?

  29. Turvaprobleemi lahendamine Tasuvuse probleemile vastuse saamiseks tuleb kõigepealt teha jäme riskianalüüs Kui see näitab, et algrisk on väärtustes mõõdetuna väga suur ja ta vähendamiseks tuleb rakendada kulukaid meetmeid ning tasub kulutada ressursse detailsele analüüsile.

  30. Turvaprobleemi lahendamine Kui detailne riskianalüüs pole tasuv, sobib etalonturbe (baseline security) meetod On välja töötatud tüüpseid turvameetmestikke, mille toime riski vähendamisel teatud tingimustes on teada, ja mida rakendatakse tingimuste jämeda võrdluse alusel Nõutava kaitsetaseme saavutamiseks tuleb selline etalonmeetmestik rakendada täielikult, midagi välja jätmata

  31. Turvaprobleemi lahendamine

More Related