andmeturve ja krüptoloogia, iv riskihaldusmetoodikaid praktilise turbe saavutamisel
DESCRIPTION
Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel. 25. september 2001 Valdo Praust [email protected] Loengukursus IT Kolled ž is 2001. aasta sügissemestril. Andmeturbe alusmõisteid (kordus). Oht ( threat ) – potentsiaalne (info)turbe rikkumine - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/1.jpg)
Andmeturve ja krüptoloogia, IVAndmeturve ja krüptoloogia, IV
Riskihaldusmetoodikaid Riskihaldusmetoodikaid praktilise turbe saavutamiselpraktilise turbe saavutamisel
25. september 2001
Valdo Praust
Loengukursus IT Kolledžis2001. aasta sügissemestril
![Page 2: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/2.jpg)
Andmeturbe alusmõisteid Andmeturbe alusmõisteid (kordus)(kordus)
• Oht (threat) – potentsiaalne (info)turbe rikkumine• Nõrkus e turvaauk (vulnebarility) – infosüsteemi
(infovarade) suvaline nõrk koht või turvadefekt• Risk (risk) – tõenäosus, et teatud oht kasutab ära
infosüsteemi teatud nõrkuse• Turvakadu e turvarike (security loss) – sündmus, mille
käigus kahjustus infosüsteemi kuuluvate varade turvalisus (käideldavus, terviklus ja/või konfidentsiaalsus)
• Turvameede (security measure) – infosüsteemi modifitseering, mis vähendab mingit riski (reeglina mitmeid korraga)
![Page 3: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/3.jpg)
Riskihaldusmetoodika olemusRiskihaldusmetoodika olemus
• Nii käideldavuskao risk, tervikluskao risk kui ka konfidentsiaalsuskao risk tuleb viia lubatud jääkriskide piiresse
• Tavaliselt on kõikide infovarade korral need kolm riski IT spetsialistile (andmeturbespetsialistile) ette antud
Riskihaldusmetoodika eesmärk: rakendada täpselt selline kompleks turvameetmeid, mis viiks turvariski (ohtude kaalukus + nende realiseerimistõenäosus nõrkuste näol) meile ettekirjutatud jääkriski piiresse
![Page 4: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/4.jpg)
Riskihaldusmetoodika Riskihaldusmetoodika praktilised alternatiividpraktilised alternatiivid
1. Detailne riskianalüüs. On ideaallahendus
2. Etalonturbe metoodika. On odav ja mugav lahendus paljudel praktilistel juhtudel
3. Segametoodika. Võtab eeltoodud kahest parimad küljed, neid kombineerides
4. Mitteformaalne metoodika. On alternatiiv eeltoodud süsteemsetele (formaalsetele) lähenemistele
![Page 5: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/5.jpg)
Detailne rDetailne riskianalüüsiskianalüüs
2. Leitakse valdkonnad, kus on jääkriski vaja vähendada3. Rakendatakse nendes valdkondades vajalikke
turvameetmeid4. Leitakse uus jääkrisk ja hinnatakse, kas see on
piisaval tasemel (võrrelduna varade väärtuse ja turvameetmete maksumusega)
5. Kogu protseduuri korratakse, kuni saavutatakse aktsepteeritav jääkrisk
1. Hinnatakse jääkrisk. Selleks kasutatakse kas kvalitatiivset või kvantitatiivset riskianalüüsi metoodikat
![Page 6: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/6.jpg)
Detailse rDetailse riskianalüüsiskianalüüsi i omadusedomadused
Eelised: • annab olukorrast üsna tõepärase
pildi • arvutatud jääkrisk on suure
tõenäosusega tegelik jääkrisk• korraliku metoodika kasutamisel ei
jää “turvaauke kahe silma vahele”
Tõsine puudus: on tohutult ressursimahukas (töö, aeg, raha, spetsialistid)
![Page 7: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/7.jpg)
Detailne rDetailne riskianalüüsiskianalüüs praktikaspraktikas
Nende infosüsteemide korral, kus arenduseks kulutatavad rahalised vahendid on piiratud või arendustööle on seatud lühikesed tähtajad, detailne riskianalüüs ei sobi
Järeldus: detailne riskianalüüs tasub ära vaid kalliste ülioluliste infosüsteemide korral, kus arendustöö on jäetud piisavalt aega ja raha
Sel juhul tuleb kasutada alternatiivseid riskihaldusmeetodeid
![Page 8: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/8.jpg)
Etalonturbe metoodika Etalonturbe metoodika olemusolemus
On peamine alternatiiv detailsele riskianalüüsile juhul, kui rahalised või ajalised ressursid ei võimalda seda realiseerida
Etalonturbe metoodika korral on ette antud komplekt kohustuslikke turvameetmeid, millest kõikide realiseerimine peaks tagama teatud etalontaseme turbe (jääkriski) kõikide süsteemide kaitseks mingil etteantud (etalon)tasemel
![Page 9: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/9.jpg)
Etalonturbe metoodika põhiideeEtalonturbe metoodika põhiidee1. Võetakse ette tüüpiline infosüsteem oma
komponentidega (hoone,tööruumid, serverid, riistvara, tarkvara, sideliinid, kasutajad, organisatsioon, pääsu reguleerimine jm)
2. Võetakse ette mingi etteantud turvatase3. Rakendatakse riskianalüüsi (ühe korra!), nii et see
turvatase saavutatakse4. Fikseeritakse kõik kasutatud turvameetmed ühtse
paketina ja loetakse etalonmeetmeteks5. Eeldatakse, et igal teisel infosüsteemil annab
sama paketi meetmete rakendamine sama tugevusega turbe (sama jääkriski komponendid)
![Page 10: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/10.jpg)
Etalonturbe metoodika Etalonturbe metoodika omadusedomadused
Eelised:• riskianalüüsiga võrreldes kulub (mõni
suurusjärk) vähem ressursse — aeg, raha, töö, spetsialistid
• samu meetmeid saab rakendada paljudele erinevatele süsteemidele
Puudused:• kui etalontase on kõrgel, võime teha tühja tööd• kui etalontase on liiga madal siis jäävad liiga
suured jääkriskid (esineb turvakadu)• unikaalse arhitektuuriga infosüsteemide korral
võib mõni valdkond jääda katmata ja tekitada ülisuure turvariski
![Page 11: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/11.jpg)
SegametoodikaSegametoodika: olemus: olemus
Segametoodika kaks peamist võtet:
1. Etalonturbe metoodikad (etalonmeetmete komplektid) on välja töötatud mitme erineva turvataseme (käideldavus- terviklus- ja konfidentsiaalsustaseme) jaoks
2. Infosüsteemi kriitilistes valdkondades ja unikaalse arhitektuuriga osades kasutatakse riskianalüüsi, mujal aga odavamat etalonturbe metoodikat
Segametoodika võtab nii riskihalduse metoodikast kui ka etalonturbe metoodikast üle mitmeid häid omadusi, leides nende vahel mõistliku kompromissi
![Page 12: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/12.jpg)
SegametoodikaSegametoodika omadused omadused Eelised:
• riskianalüüsiga võrreldes on ta vähem ressursimahukam
• etalonmetoodikaga võrreldes võimaldab ta samas infosüsteemide (infovarade)ja nende komponentide lõikes individualiseeritumat lähenemist
Puudused:
• võrreldes riskianalüüsiga annab ta siiski vähem tõepärasema pildi
• võrreldes etalonmetoodikaga on ta kallim
![Page 13: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/13.jpg)
Mitteformaalne metoodikaMitteformaalne metoodika
Kasutatakse juhul, kui:• riskianalüüs on vaja läbi viia väga kiiresti • etalonturbemetoodikaid ei ole või neid ei saa mingil
põhjusel kasutada• riskihalduse metoodikad on liialt ressursimahukad
ja seepärast kõlbmatud• on olemas arvestavate kogemustega spetsialistid
Mitteformaalse riskihalduse metoodika korral ei põhine riskide hindamine mitte abstraktsetel meetoditel, vaid spetsialistide (oma töötajad, välised konsultandid) kogemusel
![Page 14: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/14.jpg)
Mitteformaalse metoodika Mitteformaalse metoodika omadusedomadused
Eelised: • pole vaja õppida uusi oskusi ja tehnikaid• saab läbi viia väiksemate ressurssidega (odavamalt)
kui detailset riskianalüüsi
Puudused:• struktuursuse eiramisega kaasneb alati risk jätta
midagi olulist kahe silma vahele• kogemused võivad olla subjektiivsed või sageli
hoopis puududa• kulutused turvameetmetele ei ole (juhtkonna ees)
sageli põhjendatud• Suured probleemid tekivad analüüsi läbiviija töölt
lahkumisel või töösuhte lõpetamisel
![Page 15: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/15.jpg)
Kvantitatiivne riskianalüüsKvantitatiivne riskianalüüsKvantitatiivse riskianalüüsi korral hinnatakse ohtude suhtelisi sagedusi ja rahalisi suurusi, mis on tarvilik, et need ohud kasutaksid ära teatud nõrkusi. Kõik arvutused sooritatakse tõenäosustena rahalisel (vm sellele analoogilisel) skaalal
Nii varade väärtus kui ka kahju suurus hinnatakse reeglina rahaliselt
Ka ainetute varade väärtusele (nt andmete terviklus) antakse rahaline hinnang
![Page 16: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/16.jpg)
Kvantitatiivne riskianalüüsKvantitatiivne riskianalüüsEeldab:• kõikide varade detailset spetsifitseerimist• kõikide ohtude ja nende
esinemissageduste spetsifitseerimist• kõikide varade kõikide nõrkuste
hindamist ründeks vajaminevate rahaliste kulutustega
• ohtude ja ohustatud varade kokkuviimist kõikide varade korral
• põhjalikke matemaatilisi arvutusi (reeglina on kasutusel spetsiaalne küsimustik või tarkvara)
![Page 17: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/17.jpg)
Kvantitatiivse riskianalüüsi Kvantitatiivse riskianalüüsi omadusedomadused
Eelis: kui arvandmed nii ohtude realiseerimise sageduse kui ka nõrkuste ründe summase kohta on olemas, annab kvantitatiivne riskianalüüs küllalt täpse tulemuse
Puudused: • suur töömahukus ja ressursikulu (ohte ja nõrkusi
on sadu) • tõenäosuste leidmiseks vajalik ohtude statistika
või puududa või olla ebatäpne (nt Eesti oludes), mis teeb selle meetodi pruukimise võimatuks
![Page 18: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/18.jpg)
Kvalitatiivne riskianalüüsKvalitatiivne riskianalüüs
Ka teadaolevad täpsed rahalised väärtused viiakse sellisele kujule
Kvantitatiivselt raskesti mõõdetavate väärtuste puhul kasutatakse ka empiirilisi ja subjektiivseid (ekspert)hinnanguid
Täpsete tõenäosuste ja rahaliste väärtuste asemel kasutatakse siin väärtuste tinglikke ja jämedaid astmikke. Tavaliselt on kasutusel 3-4 astet (nt suur- keskmine-väike)
![Page 19: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/19.jpg)
Kvalitatiivne riskianalüüs: Kvalitatiivne riskianalüüs: ohu toime hindamineohu toime hindamine
Reeglina võetakse jämeda skaala põhjal arvesse järgmised tegurid:
• vara ahvatlevus (ründe puhul)• hõlpsus, millega vara on muundatav hüvituseks (ründe puhul)• ründaja tehnilised võimalused• nõrkuste ärakasutatavuse määr• ohu tegeliku realiseerumise sagedus
![Page 20: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/20.jpg)
Kvalitatiivse riskianalüüsi Kvalitatiivse riskianalüüsi näide: etteantud väärtustega näide: etteantud väärtustega
riskimaatriksriskimaatriks
• Ohte ja nõrkusi hinnatakse 3-astmelisel skaalal
• Varade väärtusi hinnatakse 5-astmelisel suhtelisel skaalal
• Risk esitatakse 9-pallises skaalas
![Page 21: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/21.jpg)
Kvalitatiivse riskianalüüsi näide: Kvalitatiivse riskianalüüsi näide: talumatute riskide leidminetalumatute riskide leidmine
• Kahjude ulatust hinnatakse 5-astmelisel skaalal
• Kahjude sagedust ka 5-astmelisel skaalal• T on talutav risk, M talumatu risk
![Page 22: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/22.jpg)
Turvalisuse tagamine toimuks järgmise skeemi kohaselt: turvavajadused turvanõuded turvaklass turvameetmed
Etalonturbemetoodikast Etalonturbemetoodikast Eesti avaliku halduse näitelEesti avaliku halduse näitel
On mõeldud rakendada Eesti avalikus halduses (riik + kohalikud omavalitsused) turva-alase klassifitseerimismeetodina ja etalonmeetmetena. On sisuliselt segameetod (palju turvatasemeid)
![Page 23: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/23.jpg)
Turvavajadused — tunnetab asutuse juhtkondTurvanõuded — määratleb asutuse juhtkond empiirilisel kujulTurvaklass — etteantud klassifikaatori raamesse surutud turvanõuded (Kehtestab asutuse juhtkond vastavalt turvanõuetele. Ta ei pruugi sel juhul teada midagi turvameetmetest)Turvameetmed — teostavad andmeturbespetsialistid vastavalt etteantud turvaklassile (nad ei pruugi teada üldse selle praktilist tagamaad)
Etalonturbemetoodikast Etalonturbemetoodikast Eesti avaliku halduse näitelEesti avaliku halduse näitel
![Page 24: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/24.jpg)
Kogu andmeturve jagatakse neljaks haruks, mida eraldi klassifitseerida:
• terviklus (T)• aegkriitilisus (K)• hilinemise tagajärgede kaalukus (R). Kaks
viimast on käideldavuse eri tahud, mis on pooleks löödud)
• konfidentsiaalsus (S)
TurvaklassidTurvaklassid
![Page 25: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/25.jpg)
Klass T3. Teabel peab olema tõestusväärtus (teave on niivõrd kaaluka tähtsusega, et võib olla vaja kohtus tõestada tegelikku sisestajat või viimase muudatuse tegijat)
Klass T2. Teabe allikas peab olema tuvastatav (teave on piisava tähtsusega, et selle teabe vastutav töötleja peab saama tuvastada, milline tema alluvaist on andmed sisestanud või neis viimati muudatusi teinud)
Klass T1. Teabe muutmine peab olema tuvastatav (teave, mille kõik volitamata muudatused peavad olema tuvastatavad, isegi kui need on tehtud süsteemiülema poolt tema töö käigus)
Klass T0. Teabe allikas ega muutmise tuvastatavus pole olulised
Turvaklassid: terviklusTurvaklassid: terviklus
![Page 26: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/26.jpg)
Klass K3. Teabe saamine on oluline sekundite jooksul
Klass K2. Teabe saamine on oluline tundide jooksul
Klass K1. Teabe saamisele on seatud tähtaeg päevades
Klass K0. Teabe saamisele ei ole esitatud mingeid tähtaegu
Turvaklassid: aegkriitilisusTurvaklassid: aegkriitilisus
![Page 27: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/27.jpg)
Klass R3. Teabe mittesaamine toob kaasa funktsiooni mittetäitmise
Klass R2. Teabe mittesaamine toob kaasa olulise takistuse funktsiooni täitmisel
Klass R1. Teabe mittesaamine võib tuua kaasa takistusi funktsiooni täitmiseks
Klass R0. Teabe mittesaamine ei too kaasa mingeid märgatavaid tagajärgi
Turvaklassid: hilinemise Turvaklassid: hilinemise tagajärgede kaalukustagajärgede kaalukus
![Page 28: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/28.jpg)
Klass S3. Teave on seaduses või seaduse alusel salastatud
Klass S2. Teabele on juurdepääs lubatud vaid eraldi subjekti või omaniku nõusolekul
Klass S1. Teabele on juurdepääs lubatud ainult teatud tingimuste täitmisel
Klass S0. Teabele ei ole seatud mingeid juurdepääsupiiranguid
Turvaklassid: Turvaklassid: konfidentsiaalsuskonfidentsiaalsus
![Page 29: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/29.jpg)
Erinevaid turvaklasse on 4 4 4 4 = 256, komponente on kokku 16 Üks konkreetne turvaklass on näiteks S1K2R2T1
Turvaklassid: rakendamineTurvaklassid: rakendamineAndmetele (infovaradele) seatakse vastavusse nii konfidentsiaalsus-, aegkriitilisus-, hilinemise tagajärgede kaalukus- kui ka terviklusnõuded
![Page 30: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/30.jpg)
Praegu on etalonmeetmed esimeses lähenduses kindlaks määratud, samuti kindlaks määratud nende esialgne seos turvaklassidega; kokku on neid umbes 150 Enamik etalonmeetmeid on ka välja töötatud (valmis tehtud)
Turvaklassidele vastavad Turvaklassidele vastavad etalonmeetmedetalonmeetmed
Igale turvaklassile (täpsemini nende komponentidele) on ette nähtud vastavusse seada komplekt etalonmeetmeid
![Page 31: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/31.jpg)
Tehnovõrkude plaanid
Preventatiivne infrastruktuuriga seotud turvameede. Rakendatakse alates klassidest S0, T0, R0, K0
Kõikide tehnovõrkude (elektrivõrgu, telefonivõrgu, andmesidevõrkude, signalisatsioonisüsteemi, gaasitorustiku jms) kohta peavad olema koostatud täpsed plaanid, millelt peavad sisalduma:
• kaablite täpne asukoht kas hoone põhiplaanil (hoonete korral) või maa-ala plaanil (hooneväliste rajatiste korral), millele peab olema märgitud ka kaabli kõrgus põrandast (maapinnast vms) ja paigaldusviis (krohvialune, plastkarbis, seinale kinnitatud jne);
• kaablite tehnilised andmed (mark, läbilaskevõime jms);• kaablite markeering (värvus, jaotusseadmetes asuvad tähised jms);• jaotusseadmete asukoht ja tüüp;• kaablite ja jaotusseadmete paigaldus- ja parandusajad. Nimetatud plaane tuleb uuendada peale igat tehnovõrkude topoloogia
muudatust.
Etalonmeetme näide 1Etalonmeetme näide 1
![Page 32: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/32.jpg)
Krüpteerimishaldus
Preventatiivne organisatsiooniline turvameede. Rakendatakse alates klassidest S1, T2
Kui infosüsteemis kasutatakse teabe krüpteerimist, peavad olema täidetud järgmised tingimused:
• Krüpteerimisvõtmed tuleb genereerida vahendiga, mis välistab võtme äraarvamise — soovitavalt tuleb selleks kasutada füüsikaseadustel põhinevat juhuarvude generaatorit või äärmisel juhul keerukatel mittelineaarsetel matemaatilistel teisendustel põhinevat pseudojuhuarvude generaatorit. Krüpteerimist võimaldavatel tarkvaratoodetel tuleb vaikimisi võti igal juhul muuta.
• Võtmeid tuleb hoida kindlalt, et need ei satuks volitamata isikute kätte. Mittevajalikud võtmed tuleb hävitada (kustutada).
• Võtmeid ei tohi edastada üldkasutavate sidevahendite (telefon, faks, Internet) vahendusel krüpteerimata kujul.
• Võtmeid tuleb perioodiliselt muuta.
Etalonmeetme näide 2Etalonmeetme näide 2
![Page 33: Andmeturve ja krüptoloogia, IV Riskihaldusmetoodikaid praktilise turbe saavutamisel](https://reader035.vdocuments.site/reader035/viewer/2022062305/56814a46550346895db76302/html5/thumbnails/33.jpg)
Ruumide pääsuõiguste haldus
Preventatiivne organisatsiooniline turvameede. Rakendatakse alates klassidest S2, T2, R2, K2 Enne pääsuõiguste andmist tuleb täpselt ja kindlalt määratleda need piirkonnad (ruumid), millesse pääsu soovitakse reguleerida. Tuleb lähtuda reeglist, et kriitilistesse ruumidesse (serveri ruum, andmehoidla jm) antakse pääsuõigusi minimaalselt ning vaid nendele isikutele, kelle tööülesannete täitmiseks on see hädavajalik. Pääsuõiguste andmine kui ka äravõtmine tuleb dokumenteerida; igal ajal peab saama kontrollida, millistel isikutel on millistesse ruumidesse pääsu õigused ning kuidas ja millal on neid õigusi muudetud. Ruumide (piirkonnade) sissepääsud, millesse pääsu reguleeritakse, peavad olema varustatud kas pääsuteenistusega või tehniliste vahenditega (lukk, kaardilugeja), mis välistavad volitamata sisenemise.
Etalonmeetme näide 3Etalonmeetme näide 3