andmeturbe põhialused praktikule, i andmeturbe olemus ja baasmõisteid
Post on 03-Jan-2016
116 Views
Preview:
DESCRIPTION
TRANSCRIPT
Andmeturbe põhialused praktikule, IAndmeturbe põhialused praktikule, I
AndmeturbeAndmeturbe olemus ja olemus ja baasmõisteidbaasmõisteid
Andmeturbe põhialused praktikule, IAndmeturbe põhialused praktikule, I
AndmeturbeAndmeturbe olemus ja olemus ja baasmõisteidbaasmõisteid
Valdo Praust
mois@mois.ee
arvuti- ja andmeturbespetsialist isikuandmete kaitse seaduse kaasautor
Infoühiskonna harrastusfilosoof
Täienduskoolitus IT Kolledzis 21. septembril 2004
Valdo Praust
mois@mois.ee
arvuti- ja andmeturbespetsialist isikuandmete kaitse seaduse kaasautor
Infoühiskonna harrastusfilosoof
Täienduskoolitus IT Kolledzis 21. septembril 2004
Mida me kaitseme: Mida me kaitseme: informatsioon ehk teaveinformatsioon ehk teave
Mida me kaitseme: Mida me kaitseme: informatsioon ehk teaveinformatsioon ehk teave
Informatsioon ehk teave (information) – teadmine, mis puudutab objekte, näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus
Informatsiooni mõiste on seega seotud temast üldisema — teadmuse — mõistega, mille üheks osaks on see mida teatakse, st mingi asjaolu (objekt), ja teiseks osaks see, kes teab (subjekt)
Informatsioonil iseenesest puudub vorm. See tekib alles esituse (andmete) kaudu
Informatsioonil iseenesest puudub vorm. See tekib alles esituse (andmete) kaudu
Mida me kaitseme: andmedMida me kaitseme: andmedMida me kaitseme: andmedMida me kaitseme: andmed
Andmed on informatsiooni esitus, st tema kirjapanek mingis eelnevalt kokkulepitud kujul (mis võimaldab andmetele vastavat teavet edasi anda subjektilt subjektile)
Samade andmete tõlgendus erinevate subjektide poolt võib olla erinev (nt sõna 'hallitus' tähendus sõltub mõnevõrra sellest, kas tema lugeja on eestlane või soomlane)
Andmed (data) – informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks
Andmed (data) – informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks
Digitaalkujul andmedDigitaalkujul andmedDigitaalkujul andmedDigitaalkujul andmedInformatsioon võib olla andmetena kirja pandud mitmel erineval viisil. Olulisemad neist on kaks:
• paberkandjal andmed (tekst, skeemid, pildid jm)
• digitaalkujul andmed (esitatud arvude 0 ja 1 abil teatud tehniliste seadmete vahendusel)
Rääkides arvutiga (infotehniliste seadmetega) töödeldavatest andmetest, mõtleme me andmete all alati digitaalkujul andmeid, seega andmeid, mis koosneb bitijadadest ehk märkide 0 ja 1 jadadest.
Rääkides arvutiga (infotehniliste seadmetega) töödeldavatest andmetest, mõtleme me andmete all alati digitaalkujul andmeid, seega andmeid, mis koosneb bitijadadest ehk märkide 0 ja 1 jadadest.
Andmeturbe lähtekohtAndmeturbe lähtekohtLähtekoht: nii paber- kui ka digitaalkujul andmetel (informatsioonil) on reeglina mingi väärtus ja omadused mingi subjekti (kas inimese või tehnilise süsteemi) jaoks
Info- ehk andmeturve tegeleb andmete (informatsiooni) omaduste ja seeläbi ka väärtuste tagamisega (igas infosüsteemis)
Info- ehk andmeturve tegeleb andmete (informatsiooni) omaduste ja seeläbi ka väärtuste tagamisega (igas infosüsteemis)
AndmeAndmeturbe turbe komponendidkomponendidAndmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest:• käideldavus• terviklus• konfidentsiaalsus
Andmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest:• käideldavus• terviklus• konfidentsiaalsus
Need kolm omadust peavad olema tagatud suvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral
NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse (see oli nii ajaloolises plaanis)
NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse (see oli nii ajaloolises plaanis)
KäideldavusKäideldavusAndmete käideldavus (availability) on teabe õigeaegne ning mugav kättesaadavus ning kasutatavus selleks volitatud isikutele ning subjektidele
Andmete käideldavus (availability) on teabe õigeaegne ning mugav kättesaadavus ning kasutatavus selleks volitatud isikutele ning subjektidele
Käideldavus on reeglina andmete olulisim omadus ehk andmeturbe olulisim komponent – halvim mis andmetega võib juhtuda, on see et ta pole (volitatud subjektidele) kättesaadav
Näited:• riik ei tea oma kodanikke (rahvastikuregister pole kasutatav)• maakorraldaja ei pääse ligi maakatastrile
TerviklusTerviklusAndmete terviklus (integrity) on andmete pärinemine autentsest allikast ning veendumine, et need pole hiljem muutunud ja/või neid pole hiljem volitamatult muudetud
Andmete terviklus (integrity) on andmete pärinemine autentsest allikast ning veendumine, et need pole hiljem muutunud ja/või neid pole hiljem volitamatult muudetud
Terviklus on käideldavuse järgi olulisuselt teine andmete omadus (andmeturbe komponent)
Andmed on reeglina seotud selle loojaga, loomisajaga, kontekstiga jm sarnasega; nimetatud seose rikkumisel on halvad tagajärjedNäited:
• Riigi Teataja trükikotta tunginud häkker saab seadusi omatahtsi muuta
• Karistusregistri muutmisega saab vang varem vabaks
KonfidentsiaalsusKonfidentsiaalsusAndmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud isikutele (ning kättesaamatus kõikidele ülejäänutele)
Andmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud isikutele (ning kättesaamatus kõikidele ülejäänutele)
Oli ajalooliselt andmeturbe olulisim komponent
Kaasajal on ta vaid üks kolmest olulisest komponendist
Näited:• delikaatsed isikuandmed tulevad avalikuks• ärisaladuse leke
Andmete vs infovarade turveAndmete vs infovarade turveTihti räägitakse andmeturbe asemel kõikide infosüsteemi varade ehk infovarade turbest
Tihti räägitakse andmeturbe asemel kõikide infosüsteemi varade ehk infovarade turbest
(Info)varade hulka kuuluvad:• andmed (mingis vormingus olev informatsioon)• IT aparatuur (riistvara, sideseadmed, toiteseadmed jm)• andmesidekanalid• tarkvara (süsteemne ja rakendustarkvara)
Vahel loetakse infovaradeks lisaks:• organisatsioon (selle struktuur ja talitlus)• personal• andmekandjad (sh dokumendid)• infrastruktuur (hooned, tööruumid, jms)
Infovarade omadusiInfovarade omadusi
1. Varade suur, kuid kaudne väärtus: seda on tihti raske hinnata
2. Portatiivsus: väikeste füüsiliste parameetritega ja kergest teisaldatavatel esemetel võib olla väga suur väärtus
3. Füüsilise kontakti vältimise võimalikkus (eriti kaasaja netiajastul): füüsiline ja loogiline asukoht ja struktuur eralduvad järjest üksteisest
4. Kahjustuste varjatus: neid on tihti raske ja keeruline avastada
TurTurbe kahjustuminebe kahjustumine
1. Infovaradele (infosüsteemile) mõjuvad ohud (threat)
2. Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi (vulnerabilities)
3. Ohud koos nõrkustega määravad ära riski (risk)
4. Ohu realiseerumisel tekib turvakadu (security loss)
5. Riski vähendamiseks tuleb turvaauke lappida turvameetmeid (security measures) kasutades
TurTurbe kahjustumine (skeem)be kahjustumine (skeem)
TurTurvameetme mõjuvameetme mõju
Veel turbemõisteidVeel turbemõisteid• Oht (threat) – potentsiaalne (info)turbe rikkumine
• Nõrkus e turvaauk (vulnebarility) – infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt
• Risk (risk) – tõenäosus, et teatud oht kasutab ära infosüsteemi teatud nõrkuse
• Turvakadu e turvarike (security loss) – sündmus, mille käigus kahjustus infosüsteemi kuuluvate varade turvalisus (käideldavus, terviklus ja/või konfidentsiaalsus)
• Turvameede (security measure) – infosüsteemi modifitseering, mis vähendab mingit riski (reeglina mitmeid korraga)
TurvamTurvamõistete vahelised seosedõistete vahelised seosed
Mis on infovarade turvaohud?Mis on infovarade turvaohud?
Oht (threat) on potentsiaalne (info)turbe rikkumine
Oht (threat) on potentsiaalne (info)turbe rikkumine
Oht on seega kas:
• potentsiaalne tervikluse rikkumine
• potentsiaalne käideldavuse rikkumine
• potentsiaalne konfidentsiaalsuse rikkumine
Ohud, nende liigitamineOhud, nende liigitamineOhte saab liigutada• turvalisuse komponendi järgi (mida ohustab, kas
käideldavust, terviklust või konfidentsiaalsust)
• ohuallika järgi (mis põhjustab)• kahjustuse olulisuse seisukohalt
Ohtude liigitus allika järgi• stiihilised ohud
• keskkonnaohud
• tehnilised rikked ja defektid
• inimohud
• ründed
KeskkonnaohudKeskkonnaohud
Liigitus:• äike• kahjutuli• vesi• lubamatu temperatuur ja niiskus• tolm ja saastumine• elektromagnetilised kiirgushäiringud• väliste infrastruktuuride rikked või häiringud
Tehnilised rikked ja inimohudTehnilised rikked ja inimohud
Tehnilised rikked:• infotöötluse infrastruktuuri avarii• riistvara defektid ja rikked• sideliinide rikked ja häiringud• infokandjate defektid• turvavahendite tõrked
Inimohud:• personali väljalangemine• juhuslikud äpardused
RündeohudRündeohud
Ründeohte on otstarbekas eritleda
• ründeobjektide (mida rünnatakse) ja
• ründemeetodite (kuidas rünnatakse)
järgi
Ründeohud lähtuvad inimestest, kes on mitmesugustel motiividel ja ajenditel (isiklikud huvid, huligaansus, riiklik või eraluure jne) valmis sihilikult kahju tekitama
Ründeallikad ja -kanalidRündeallikad ja -kanalidRündeallikad:• infosüsteemide volitatud kasutajad (NB! On statistikas
esikohal) • majandus- ja sõjalise luure agendid • kräkkerid (osakaal väike)• muud (meil eelkõige kriminaalne element)
Ründekanalid:• vahetu kontakt rünnatava objektiga (infosüsteemiga,
personaliga vms)• ründetarkvara sisaldavad andmekandjad (nt viirustega
nakatatud disketid)• võrgud, sh Internet
Nõrkused e turvaaugudNõrkused e turvaaugud
Nõrkused (vulnerabilities) on kaitstava objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvaradavad ohud
Nõrkused (vulnerabilities) on kaitstava objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvaradavad ohud
Jagunevad:• infrastruktuuri nõrkused• infotehnilised nõrkused• personali nõrkused• organisatsiooni nõrkused
Nõrkused e turvaaugudNõrkused e turvaaugudJagunevad neljaks:
1. Infrastruktuuri nõrkused: • kaitstava objekti ebasoodne asukoht;• primitiivne või amortiseerunud infrastruktuur
2. Infotehnilised nõrkused:• piiratud ressursid• aparatuuri või sideliinide väär paigaldus• vead või defektid tarkvaras protokollide ja
sideprotseduuride puudused• andmehalduse puudused• vahendite ja meetmete tülikus (ka turvamehhanism ise
võib kahjustada käideldavust)
Nõrkused e turvaaugudNõrkused e turvaaugud3. Personali nõrkused: • väärad menetlused • teadmatus ja motivatsioonitus• turvanõuete eiramine
4. Organisatsiooni nõrkused:• töökorralduse puudused• ressursihalduse puudused• dokumenteerimise puudused• turvameetmete valimise puudused• turvasüsteemide halduse puudused
TurvameetmedTurvameetmed
• Võimaldavad vähendada nõrkusi ehk turvaauke
• Seeläbi võimaldavad vähendada süsteemi jääkriski
Turvameetmete otstarveTurvameetmete otstarve
Otstarbe järgi jagatakse turvameetmeid:• profülaktilised meetmed• turvarikete tuvastusmeetmed
(avastusmeetmed)• rikke-eelse oleku taastemeetmed
Paljud turvameetmed on polüfunktsionaalsed (nt veaparanduskoodid)
Turvameetmete liigitus Turvameetmete liigitus teostusviisi järgiteostusviisi järgi
• organisatsioonilised turvameetmed
• füüsilised turvameetmed
• infotehnilised turvameetmed
Olulisimad on organisatsioonilised meetmed, ilma milleta ei toimi reeglina ei füüsilised ega ka infotehnilised meetmed
Olulisimad on organisatsioonilised meetmed, ilma milleta ei toimi reeglina ei füüsilised ega ka infotehnilised meetmed
Organisatsioonilised Organisatsioonilised turvameetmedturvameetmed
Organisatsioonilised turvameetmed sisaldavad töökorralduse, turbesüsteemide kavandamise, halduse ja turvaintsidentide käsitluse tegevused ning toimingud
Organisatsioonilised turvameetmed sisaldavad töökorralduse, turbesüsteemide kavandamise, halduse ja turvaintsidentide käsitluse tegevused ning toimingud
Siia all kuulub reeglina kõik see: kes mida peab tegema kes mida ei tohi teha mis juhtub siis, kui keegi midagi keelatut teeb mis juhtub siis, kui keegi midagi vajalikku tegemata
jätab
Füüsilised turvameetmedFüüsilised turvameetmedFüüsilised turvameetmed hõlmavad:
1. Objekti infrastruktuuri: • ehituslikud piirdeid
• kommunikatsioonid • kütte- ja kliimaseadmed • turvauksed ja –aknad, seifid, barjäärid • tõkkepuud, väravad
2. Mehaanilisi komponente: lukud, sildid, viidad, pakendid, märgised
Sageli liigitatakse füüsiliste turvameetmete alla ka pääslatöötajad, turvamehed jmt töötajad
Organisatsiooni turveOrganisatsiooni turve
Infovarade turvakadu ehk turvarike avaldab tihti kahjulikku mõju asutuse muudele varadele ja seega kogu asutusele
Ka abipersonal on reeglina kaudselt siiski seotud andmete ning nende turvaomadustega
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis
TurvaTurvalisus ja jääkrisklisus ja jääkrisk
Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele
NB! Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud
NB! Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud
Reeglina mõeldakse selle all olukorda, kus turvameetmete maksumus ning prognoositav turvarikest tulenev kahju on omavahel mõistlikus tasakaalus
Turbe majanduslik külgTurbe majanduslik külg
Mitu % eelarvest?Mitu % eelarvest?
Rusikareegel: Turbele tuleb kulutada vähemalt 10% kogu IT süsteemi arenduseelarvest ning halduskuludest
Rusikareegel: Turbele tuleb kulutada vähemalt 10% kogu IT süsteemi arenduseelarvest ning halduskuludest
Turbele vähem raha kulutades annavad reeglina olulist tooni turvariketest e turvakadusest tingitud majanduslikud kahjud
Kõrgendatud turbevajaduse korral (käideldavusvajaduse, terviklusvajaduse, konfidentsiaalsusvajaduse korral) on tihti reaalne ka 20-25% ja vahel koguni enam. Täpse arvu näitab ära turvaanalüüs
EpiloogEpiloogEpiloogEpiloog
Vrd: Ei ole võimalik tõestada, et ihukaitse kaitseb VIPi turvaliselt
On võimalik vaid tõestada, et ta kaitseb VIPi ebaturvaliselt – VIP maha lasta
Süsteemi turvalisuse määrab ära nõrgim lüli
Ei ole võimalik tõestada turvalisust, tõestada saab vaid ebaturvalisust
Süsteemi turvalisuse määrab ära nõrgim lüli
Ei ole võimalik tõestada turvalisust, tõestada saab vaid ebaturvalisust
EpiloogEpiloogEpiloogEpiloog
Vrd: Ei ole võimalik tõestada, et ihukaitse kaitseb VIPi turvaliselt
On võimalik vaid tõestada, et ta kaitseb VIPi ebaturvaliselt – VIP maha lasta
Süsteemi turvalisuse määrab ära nõrgim lüli
Ei ole võimalik tõestada turvalisust, tõestada saab vaid ebaturvalisust
Süsteemi turvalisuse määrab ära nõrgim lüli
Ei ole võimalik tõestada turvalisust, tõestada saab vaid ebaturvalisust
Edasised küsimused palun aadressil
mois@mois.ee
Käesoleva ettekande materjalid (MS PowerPoint 2000 vormingus) on saadaval veebis aadressil
http://www.itcollege.ee/~valdo/taiend/plokk1-1.ppt
Tänan tähelepanu eest!Tänan tähelepanu eest!Tänan tähelepanu eest!Tänan tähelepanu eest!
top related