ISKE ja Mitnicki valem


https://www.oixio.ee/et/Blogi/Artiklid/iske-infos%C3%BCsteemide-turvameetmete-s%C3%BCsteem

Me elame maailmas, kus pidevalt muutuvad IT süsteemid ja programmid. Sellega kaasnevad ka suured ohud IT rünnakutele või andmevargustele. Kuidas ennast või oma ettevõtted kaitsta? Siin on meil abiks, kui järgida Mitnicki valemit.

Mitnicki valem koosneb  kolmest komponendist - tehnoloogia, koolitus ning reeglid. Antud valemi järgimine peaks suurendama andmeturvet ja kaitset rünnakute vastu. Samal eesmärgil on ka loodud ISKE turvameetmete süsteem. Olen käinud mitmel ISKE koolitusel ning seetõttu leidsin koheselt seoseid Mitnicki valemiga. Antud artiklis võrdlen omavahel ISKE ja Mitnicki valemi sarnasusi.

Kõigepealt, mis on ISKE. See on kolmeastmeline nö. etalonturbe süsteem, mille eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe terviklikkusest, aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede lubatavast kaalukusest.

Tehnoloogia. ISKe juhend ütleb: Infosüsteemide inventuuri vastavaust tuleb kontrollida vähemalt korra aastas. Soovituslik on kõik infosüsteemides toimunud muudatused, mis omavad tähtsust ISKE rakendamise osas, koheselt oma inventuuri haldamise töövahendisse sisse märkida. Lisaks seadmetele tuleb spetsifitseerida üldkasutatavad infrastruktuuri osad (nt arhiivi- ja laoruumid, koosolekuruumid, serveriruumid, seadmekapid, toitekilbid, toiteliinid jne).

ISKE rakendamisel on oluline, et IT-osakonnal oleks olemas täpsed teadmised kasutavatest tehnoloogiatest. Selle käigus tehakse põhjalik inventuur ning määratakse turvaklass vastavalt ohtlikusele.

Koolitus. ISKE juhend ütleb: ISKE rakendamise eest vastutav isik korraldab järgnevat: 1. viib läbi koostöös asutuse IT eest vastutava töötajaga ja asutuse juhtkonnaga infovarade inventuuri ja spetsifitseerimise vastavalt juhistele jaotises 2.1 2. viib läbi koostöös põhitegevuse poole esindajatega andmekogude kaardistamise.

ISKE rakendamine nõuab ettevõtte sisemist koolitamist ning ohtude teemal suhtlemist. Samuti see tõstab vastutavate isikute teadlikust.

Reeglid: ISKE juhend ütleb: Perioodiliselt ja asutuse IT keskkonna või süsteemide muudatuste puhul tuleb üle kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajadusel rakendada vajalikke turvameetmeid. ISKE rakendamise paremaks korraldamiseks asutuses tuleb määrata ISKE rakendamise eest vastutav isik – ISKE koordinaator/infoturbe eest vastutav isik/infoturbejuht vms.

ISKE rakendamine on pidev protsess ning see käib ettevõttes sisemiselt seatud reeglite alusel.

Pidevalt muutuvad IT süsteemid ja programmid eeldavad kõigilt asjaosalistelt kõrget eneseinitsiatiivi uute teadmiste omandamiseks, mis süsteemi kompetentseks kasutamiseks vajalikud on. Siin on meile abiks Mitnicki valem ning ISKE järgimine.

referentsid:
https://iske.ria.ee/8_03/?action=AttachFile&do=get&target=ISKE%20rakendusjuhend%20ver.%208.00.pdf

Comments

Post a Comment

Popular posts from this blog

Kes on häkkerid? Kuidas saada häkkeriks?

Image
https://www.knowledgehut.com/blog/security/enumeration-in-ethical-hacking Millistena  kujutavad  inimesed häkkereid ette? Kas nohikutena või veidrikena? Kas patsiga poisteks, kes on suunatud inimeste eest peitu keldrisse? Kas inimestena, kelle sotsiaalsed suhtlemise oskused on selgelt puudulikud või ebameeldivad? Sellistena tõepoolest võitakse häkkereid ette kujutada. Tihti võitakse häkkereid ajada segamine kräkkeritega. Olgu juba kohe ära mainitud, et häkker ei tegele tegevustega, mille eesmärk on teistele kahju tekkida või teenida omakasu. Need omadused ja sihid kuuluvad inimestele, keda täpsemalt nimetakse kräkkeriteks. Häkker on oma tegemistes alati eetiline. Algusues nimetatud inimesi on häkkerite seas kindlasti palju, kuid mitte ainult. Häkkerite koolkonna moodustavad palju laiema karakteri skaalaga inimesed. Toome mõne näite ka. Tean  isiklikult  hästi ühte inimest, kes on otseses mõttes elupõhnet häkker. Kuid kes peale IT valdkonna kõrval on veel professionaalne sukeldumise ja
Read more

Teenuste kättesaadavus

Pole kahtlustki, et viimase 20. aasta jooksul on meie riigis toimunud tohutu IT-hüppe. Järgmine aasta saab näiteks X-tee loomisest 20. aastat. Vahepeal on riigi IT-portfelli lisandunud ID-kaart ning SmartID, esimesed riiklikud juturobotid  teevad edusamme ning seda võiks veel jätkada. Selgitan lähemalt dokumendist EESTI INFOÜHISKONNA ARENGUKAVA 2020, alajaotuse INFOÜHISKONNA VISIOON 2020 sektsioonist ühte visooni, mis on täppi läinud, ning samuti teist visiooni, mis ei ole veel hästi õnnestunud. Kõigepealt on õnnestunud järgmine lubadus: Tervishoid ja sotsiaalteenused (eriti hoolekanne) on viidud IKT abil uuele kvaliteeditasemele. Need on personaalsed ja ennetavad, tuginevad tõhusalt toimivale tagatoale ja kaugteenuste osutamisele. See teema on mulle hästi tuttav, sest ma olen oma ettevõtte kaudu panustanud SKAIS 2.0 arendusse olulisel määral. Ma saaksin siin tuua näite enda elust. Natuke rohkem kui 7. aastat tagasi sündis meie perre esimene laps. Seetõttu oli vajalik lapse sünd regist
Read more

Noppeid IT ajaloost

1. ajast enne aastat 1900. Aastal. Aastal 1800.  mõtles prantsuse leiutaja ja kaupmees Joseph Marie Jacquard välja esimese programmeeritava tööstussüsteemi - programmeeritavad kangasteljed ( JACQUARD LOOM ). Masinasse sisestati tegemist vajav muster kasutades perfokaarte.  Masinast veelgi olulisem oli perfokaartide leiutamine. Perfokaart on nelinurkne kartongist kaart, mis kannab digitaalset informatsiooni sõltuvalt avade olemasolust või puudumisest teatud kohtades. Perfokaartide idee võttis hiljem üle britti leiutaja Charles Babbage kui ta aastal 1830. püüdis teha analüütilist masinat ( Analytical Engine ).  Aastal 1890 leidsid perfokaardid laialdast kasutust kui Herman Hollerith leiutas perfokaartidega masina USA rahvaloenduse andmete töötlemiseks. Tema firmast hiljem kasvas välja suurfirma IBM. 2. aastatest 1901-1950 Aastal 1945 töötas Alan Turing välja masina kontseptsiooni ( Turing's Automatic Computing Engine ), mis kirjeldas erakordse keerukusega arvutilogaritme ja pani
Read more