570 likes | 777 Views
Andmeturve, III Riskihaldus. Praktilised lahendused – BSI ja ISKE. 3. mai 2006 Valdo mois @ mois .ee Sisekoolitus AKIs AD 2006 vt http://www.mois.ee/sk/. Info turbe komponendid.
E N D
Andmeturve, IIIRiskihaldus. Praktilised lahendused – BSI ja ISKE 3. mai 2006 Valdo mois@mois.ee Sisekoolitus AKIs AD 2006 vt http://www.mois.ee/sk/
Infoturbe komponendid • Infoturbe (information security) ehk andmeturbe (data security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust peavad olema tagatud suvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse(see oli nii ajaloolises plaanis)
Turbe kahjustumise standardmudel • Infovaradele (infosüsteemile) mõjuvad ohud(threat) • Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi(vulnerabilities) • Ohud koos nõrkustega määravad ära riski (risk) • Ohu realiseerumisel tekib turvakadu(security loss) • Riski vähendamiseks tuleb turvaauke lappida turvameetmeid(security measures) kasutades
Turvalisus ja jääkrisk NB!Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele Reeglina mõeldakse selle all olukorda, kus varade väärtus, rakendatud turvameetmete hind ja aktsepteeritav jääkrisk on omavahel teatavas tasakaalus
Vajadus turbetasemete ja nende saavutamismetoodikate järele Et praktilist turvet kuidagi standardida, on vaja: • sätestada (klassifitseerida, standardida) turvatasemedelik käideldavus-, terviklus- ja konfidentsiaalsustasemed • luua mingisugune süsteem, mis iga taseme (tasemete komplekti) korral näeb ettemingi korra või tegevused, mille tulemusena turve tagatakse ehk viiakse meile sobiva jääkriski piiridesse Ülalkirjeldatut nimetatakse andmeturbes riskihaldusmetoodikaks
Riskihaldusmetoodika olemus Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse • Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse • Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud
Riskihaldusmetoodika praktilised alternatiivid • 1. Detailne riskianalüüs. On ideaallahendus • 2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel • 3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides • 4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele
Detailne riskianalüüs 1. Hinnatakse jääkrisk. Selleks kasutatakse kas kvalitatiivset või kvantitatiivset riskianalüüsi metoodikat 2. Leitakse valdkonnad, kus on jääkriski vaja vähendada 3. Rakendatakse nendes valdkondades vajalikke turvameetmeid 4. Leitakse uus jääkrisk ja hinnatakse, kas see on piisaval tasemel (võrrelduna varade väärtuse ja turvameetmete maksumusega) 5. Kogu protseduuri korratakse, kuni saavutatakse aktsepteeritav jääkrisk
Detailse riskianalüüsi omadused • Eelised: • annab olukorrast üsna tõepärase pildi • arvutatud jääkrisk on suure tõenäosusega tegelik jääkrisk • korraliku metoodika kasutamisel ei jää “turvaauke kahe silma vahele” • Tõsine puudus: on tohutult ressursimahukas (töö, aeg, raha, spetsialistid)
Detailne riskianalüüs praktikas Järeldus: detailne riskianalüüs tasub ära vaid kalliste ülioluliste infosüsteemide korral, kus arendustöö on jäetud piisavalt aega ja raha Nende infosüsteemide korral, kus arenduseks kulutatavad rahalised vahendid on piiratud või arendustööle on seatud lühikesed tähtajad, detailne riskianalüüs ei sobi Sel juhul tuleb kasutada alternatiivseid riskihaldusmeetodeid
Etalonturbe metoodika olemus Etalonturbe metoodika korral on ette antud komplekt kohustuslikke turvameetmeid, millest kõikide realiseerimine peaks tagama teatud etalontaseme turbe (jääkriski) kõikide süsteemide kaitseks mingil etteantud (etalon)tasemel On peamine alternatiiv detailsele riskianalüüsile juhul, kui rahalised või ajalised ressursid ei võimalda seda realiseerida
Etalonturbe metoodika põhiidee • Võetakse ette tüüpiline infosüsteem oma komponentidega (hoone,tööruumid, serverid, riistvara, tarkvara, sideliinid, kasutajad, organisatsioon, pääsu reguleerimine jm) • Võetakse ette mingi etteantud turvatase • Rakendatakse riskianalüüsi (ühe korra!), nii et see turvatase saavutatakse • Fikseeritakse kõik kasutatud turvameetmed ühtse paketina ja loetakse etalonmeetmeteks • Eeldatakse, et igal teisel infosüsteemil annab sama paketi meetmete rakendamine sama tugevusega turbe (sama jääkriski komponendid)
Etalonturbe metoodika omadused • Eelised: • riskianalüüsiga võrreldes kulub (mõni suurusjärk) vähem ressursse — aeg, raha, töö, spetsialistid • samu meetmeid saab rakendada paljudele erinevatele süsteemidele • Puudused: • kui etalontase on kõrgel, võime teha tühja tööd • kui etalontase on liiga madal siis jäävad liiga suured jääkriskid (esineb turvakadu) • unikaalse arhitektuuriga infosüsteemide korral võib mõni valdkond jääda katmata ja tekitada ülisuure turvariski
Segametoodika: olemus Segametoodika võtab nii riskihalduse metoodikast kui ka etalonturbe metoodikast üle mitmeid häid omadusi, leides nende vahel mõistliku kompromissi Segametoodika kaks peamist võtet: 1. Etalonturbe metoodikad (etalonmeetmete komplektid) on välja töötatud mitme erineva turvataseme (käideldavus- terviklus- ja konfidentsiaalsustaseme) jaoks 2. Infosüsteemi kriitilistes valdkondades ja unikaalse arhitektuuriga osades kasutatakse riskianalüüsi, mujal aga odavamat etalonturbe metoodikat
Segametoodika omadused • Eelised: • riskianalüüsiga võrreldes on ta vähem ressursimahukam • etalonmetoodikaga võrreldes võimaldab ta samas infosüsteemide (infovarade)ja nende komponentide lõikes individualiseeritumat lähenemist • Puudused: • võrreldes riskianalüüsiga annab ta siiski vähem tõepärasema pildi • võrreldes etalonmetoodikaga on ta kallim
Mitteformaalne metoodika Mitteformaalse riskihalduse metoodika korral ei põhine riskide hindamine mitte abstraktsetel meetoditel, vaid spetsialistide (oma töötajad, välised konsultandid) kogemusel • Kasutatakse juhul, kui: • riskianalüüs on vaja läbi viia väga kiiresti • etalonturbemetoodikaid ei ole või neid ei saa mingil põhjusel kasutada • riskihalduse metoodikad on liialt ressursimahukad ja seepärast kõlbmatud • on olemas arvestavate kogemustega spetsialistid
Mitteformaalse metoodika omadused • Eelised: • pole vaja õppida uusi oskusi ja tehnikaid • saab läbi viia väiksemate ressurssidega (odavamalt) kui detailset riskianalüüsi • Puudused: • struktuursuse eiramisega kaasneb alati risk jätta midagi olulist kahe silma vahele • kogemused võivad olla subjektiivsed või sageli hoopis puududa • kulutused turvameetmetele ei ole (juhtkonna ees) sageli põhjendatud • Suured probleemid tekivad analüüsi läbiviija töölt lahkumisel või töösuhte lõpetamisel
ISKE olemus ja ajalugu ISKE on oma olemuselt segamatoodika sugemetega etalonturbemetoodika– on sätestatud erinevad turvatasemed ning neile vastavad kohustuslikud etalonturvameetmed • ISKE on välja töötatud avaliku sektori (riik ja omavalitsused) vajadusi ja eripärasid silmas pidades • ISKE esimene versioon (visand) valmis 1999, lõpliku vormi ja kuju sai ta 2003 sügisel • Käidaldavus on ISKEs jaotatud kaheks autonoomseks osaks: aegkriitilise teabe käideldavus ningteabe hilinemise tagajärgede lubatav kaalukus
Miks oli ISKE laadset asja vaja, I • Praktilise süsteemi turbe lähtekohad: • Detailne riskianalüüs on liialt kallis enamikel juhtudel • Samas meid ei rahulda tüüpne etalonturbemetoodika, kuna me vajame diferentseeritavust käideldasvus-, terviklus- ja konfidentsiaalsustasemete juures • Lahendus (omalaadne segametoodika): • Tuleb sätestada ja klassifitseerida erinevad turbetasemed (turvaklassid) • Igale tasemele tuleb vastavusse seada hulk eri turvaeesmärke (kust lähtuvad turvanõuded)
Miks oli ISKE laadset asja vaja, II Praktilise süsteemi turbe lähtekohad: • Absoluutne turve üheski turbevaldkonnas (käideldavus, terviklus, konfidentsiaalsus) ei ole saavutatav • Mingit turvet (mingi taseme turvet) me peame reeglina aga nõudma
ISKE õigusaktina 12. augustil 2004 võeti andmekogude seaduse põhjal vastu vabariigi Valitsuse määrus nr 273 ”Infosüsteemi turvameetmete süsteemi kehtestamine” (RTI2004, 63, 443) Määrus rakendab ISKE metoodika riigi ja kohalike omavalitsuste andmekogude pidamisel kasutatavatele infosüsteemidele Koheselt rakendub ISKE uutele ja modifitseeritavatele andmekogudele; olemasolevad tuleb ISKE metoodikaga kooskõlla viia 1. jaanuariks 2008.
Lõike ISKEt kehtestavast õigusaktist § 4 lg 2. Andmekogu vastutav töötleja on kohustatud üks kuu enne andmekogu pidamiseks kasutatava infosüsteemi kasutusele võtmist või olemasoleva infosüsteemi vastavate arendustööde käivitamist edastama ”Andmekogude riikliku registri” volitatud töötlejale andmete turvaanalüüsi tulemusena kindlaksmääratud turvaklassid. § 11 lg 3. ISKE rakendamisjuhendi töötab välja Riigi Infosüsteemide Arenduskeskus ja see avaldatakse Riigi Infosüsteemide Arenduskeskuse veebilehel. § 13. Etalonmeetmete ajakohasuse tagamiseks viib Riigi Infosüsteemide Arenduskeskus iga aasta 1. jaanuariks läbi ISKE ajakohasuse kontrolli ning teeb selles vajadusel muudatusi.
ISKE neli turvaeesmärki • ISKE metoodika võtab aluseksneli turvaeesmärki: • teabe hilinemise tagajärgede lubatav kaalukus (R) • aegkriitilise teabe käideldavus (K) • teabe terviklus (T) • teabe konfidentsiaalsus (S) • Need neli eesmärki loetakse suures osas olevat üksteisest sõltumatud Kõikidel nendel eesmärkidest defineeritakse neljapalliline skaala, mille rakendamine igal eesmärgil neljast määrab ära turvaosaklassid
ISKE neljapalline hindamisskaala ISKEs jagatakse kõik neli turvaeesmärki järgmise neljapallise hindamisskaala kohaselt: 0 – eesmärgi saavutamata jäämine ei too kaasa mingeid kahjusid 1 – eesmärgi saavutamata jäämisel tekkida võivad kahjud ei ole olulised 2 – eesmärgi saavutamata jäämisel võivad tekkida olulised kahjud 3 – eesmärgi saavutamata jäämisel võib olla võimatu täita andmekogu funktsiooni
Teabe hilinemise tagajärgede lubatava kaalukuse (R)skaala R0 – teabe saamatajäämisega ei kaasnetagajärgi R1 – teabe saamatajäämisega võib tuua kaasa takistusi funktsiooni täitmisele R2 – teabe saamatajäämisega toob kaasa olulise takistuse funktsiooni täitmisele R3 – teabe saamatajäämisega toob kaasa funktsiooni täitmatajäämise
Aegkriitilise teabe käideldavuse(K)skaala K0 – teabe saamisele ei ole seatud tähtaegu K1 – teabe saamisele on seatud tähtaeg päevades K2 – oluline on teabe saamine tundide jooksul K3 – oluline on teabe saamine sekundite jooksul
Teabe tervikluse(T)skaala T0 – teabe allikas ega muutmise tuvastavatus ei ole olulised T1 – teabe muutmise fakt peab olema tuvastatav T2 – teabe allikas peab olema tuvastatav T3 – teabel on tõestusväärtus
Teabe konfidentsiaalsuse(S)skaala S0 – juurdepääsu teabele ei piirata S1 – teabele juurdepääsu tingimuseks on juurdepääsu taotle va isiku identifitseerimine S2 – juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral S3 – teave on seaduse alusel tunnistatud juurdepääsupiiranguga teabeks
ISKE ja BSI, I ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) baastaseme etalonturbe meetodil ja käsiraamatul • BSI baastaseme etalonturbe metoodika on avalik dokument, mida BSI eksperdid vähemalt kord aastas täiustavad • BSI metoodika (ingliskeelne versioon) on saadaval veebilehel http://www.bsi.de/gshb/english/etc/index.htm
ISKE ja BSI, II • ISKE keskmine turbeaste (M) vastab täpselt BSI üheastmelisele süsteemile, mis on rajatud keskmise turbeastme saavutamiseks • Hetkel ei ole ISKE turvameetmed detailselt lahti kirjutatud. Nende spetsifikatsiooni (madala ja keskmise turbeastme korral) leiab BSI dokumentatsioonist inglise või saksa keeles
BSI ja ISKE kohane infosüsteemide analüüs Jaotub kolme suurde faasi: • infosüsteemide inventuur • infosüsteemide spetsifitseerimine • rakenduste ja käideldava teabe spetsifitseerimine
Infosüsteemide inventuur • Täpsustatakse: • asutuse võrkude konfiguratsioon • andmesideaparatuur • arvutid, (allüksuste ja platvormide haaval) • välisseadmed, • autonoomsete infovarad • üldkasutatavad infrastruktuuri osad (nt arhiivi- ja laoruumid, toitekilbid jne)
Infosüsteemide spetsifitseerimine, I • Dokumenteeritakse: • süsteemi identifikaator • nimetus ja tüüp • asukoht • kuuluvus võrkudesse, ühenduste identifikaatorid • tööviis (autonoomne, klient, server) • olek (töökasutuses, testimisel, plaanitud)
Infosüsteemide spetsifitseerimine, II • Dokumenteeritakse: • süsteemi kasutajad (üksus/ametikoht/roll/...) • operatsioonisüsteem (arvuti puhul) • rakendustarkvara (arvuti puhul) • süsteemi juurde kuuluvad sidevahendid (telefon, automaatvastaja) • süsteemi juurde kuuluvad infrastruktuuriosad (ruumid, kaitsekapp, toiteliin jms)
Infovarade tüüpmoodulid: roll ISKE põhineb turvet vajavate infovarade kirjeldamisel tüüpmoodulite abil • Eeldatakse, et moodulid on vaadeldavad ehituskividena, millede ”keeles” saab lahti seletada suvalise infosüsteemi • Eeldatakse, et sääraste moodulite kui ehituskivide roll on igal pool sarnane, st ka neile mõjuvad ohud ja rakendatavad turvameetmed on sarnased • ISKE infovarade moodulid põhinevad pea üks-ühele Saksa infoturbe baasstandardil BSI-l
Infovarade moodulid ISKE järgi • ISKE (ja BSI) jagavad seitsmesse suurde jaotisse: • B1 Üldkomponendid • B2 Infrastruktuur • B3 Autonoomsed ja klientsüsteemid • B4 Võrgustatud süsteemid • B5 Andmeedastussüsteemid • B6 Side • B7 Muud IT komponendid
Infovarade moodulid –B1 üldkomponendid B1.1 Infoturbe haldus B1.2 Organisatsioon B1.3 Personal B1.4 Ootamatuste plaanimine B1.5 Andmevarunduspoliitika B1.6 Andmete privaatsuse kaitse B1.7 Viirusetõrje kontseptsioon B1.8 Krüptokontseptsioon B1.9 Turvaintsidentide käsitlus B1.10 Riistvara ja tarkvara haldus
Infovarade moodulid –B2 infrastruktuur B2.1 Hooned B2.2 Kaabeldus B2.3.1 Bürooruum B2.3.2 Serveriruum B2.3.3 Andmekandjate arhiiv B2.3.4 Tehnilise infrastruktuuri ruum B2.4 Kaitsekapid B2.5 Kaugtöökoht kodus B2.6 Arvutuskeskus
Infovarade moodulid –B3 autonoomsed ja klientsüsteemid B3.1 DOS-PC (ühe kasutajaga) B3.2 Unix-süsteem B3.3 Sülearvuti B3.4 Mitme kasutajaga PC B3.5 Windows NT PC B3.6 Windows 95 PC B3.7 Windows 2000 Client B3.8 Interneti-PC B3.9 Muu autonoomne IT-süsteem
Infovarade moodulid –B4 võrgustatud süsteemid B4.1 Servervõrk B4.2 Unix-server B4.3 Võrdõigusteenused (peer-to-peer) B4.4 Windows NT võrk B4.5 Novell Netware 3.x B4.6 Novell Netware 4.x B4.7 Heterogeensed võrgud B4.8 Võrgu- ja süsteemihaldus B4.9 Windows 2000 server
Infovarade moodulid –B5 andmeedastussüsteemid B5.1 Andmekandjate vahetus B5.2 Modem B5.3 Tulemüür B5.4 E-post B5.5 WWW server B5.6 Kaugpöördus B5.7 Lotus Note
Infovarade moodulid –B6 side B6.1 Sidesüsteem (sisekeskjaam) B6.2 Faks B6.3 Automaatvastaja B6.4 Kohtvõrguühendus ISDN kaudu B6.5 Faksiserver B6.6 Mobiiltelefon
Infovarade moodulid –B7 muud IT komponendid B7.1 Tüüptarkvara B7.2 Andmebaasid B7.3 Kaugtöö B7.4 Novell eDirectory
Andmete turvaklass, I Andmete turvaklass on nelja turvaosaklassi konkreetne kombinatsioon.Selliste kõikvõimalike kombinatsioonide arv on 4444, seega on erinevaid turvaklasse 256 Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses R-K-T-S. Üks konkreetne andmete turvaklass on näiteksR1K2T3S1. Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel
Andmete turvaklass, II Andmeturbe eesmärkide tagamiseks peavad olema rakendatud turvameetmed, mis vastavad infovara turvaklassile. Turvameetmed valitakse turvaklassile vastavast etalonmeetmete kataloogist konkreetse infovara etalonturbe spetsifikatsioonide alusel Andmete turvaklassi määrab andmete omanik (vastutav töötleja) turvaanalüüsi tulemusena Turvaanalüüsi viib läbi asutuse juhtkondvõi selle poolt määratud esindaja. Turvaklassi määrab reeglina IT spetsialist koos infoturbespetsialistiga
Turbeaste ja selle seos turvaklassiga • ISKEs on sätestatudkolm turbeastet: • madal turbeaste(L), • keskmine turbeaste(M) • kõrge turbeaste(H) 256 erinevat turvaklassi on eelnimetatud kolme turbeastmega spetsiaalse tabeli abil seotud
Turvameetmed (etalonmeetmed) • Jagunevad: • madala turbeastme (L) meetmed • keskmise turbeastme (M) meetmed • kõrge turbeastme (H) meetmed • Kõrge turbeastme meetmed jagunevad omakorda sõltuvalt sellest, milline neljast turvaeesmärgist on kõrgtasemel • L ja M meetmeid on kokku 685 • H meetmeid on lisaks 65
Kõrgastme turvameetmed HR meetmed– rakendatakse siis, kui hilinemise tagajärgede kaalukuse eesmärk on kõrgtasemel HK meetmed– rakendatakse siis, kui aegkriitilise teabe käideldavuse eesmärk on kõrgtasemel HT meetmed– rakendatakse siis, kui tervikluse eesmärk on kõrgtasemel HS meetmed– rakendatakse siis, kui konfidentsiaalsuse eesmärk on kõrgtasemel HG meetmed– rakendatakse siis, kui ükskõik milline neljast eesmärgist (R,K,T,S) on kõrgtasemel