Ago Poolakese, CISSP, CISA ISO/IEC – miks, mis ja kuidas 1 Tallinn 01. November, 2007

Sisukord –Milleks infoturbe standard –Valikuvõimalused –ISO/IEC –ISO/IEC kujunemine –ISO/IEC seeria –ISO/IEC osad –Riskianalüüs –Kohaldusmäärang –Auditeerimine, sertifitseerimine –Seotus ISKE-ga 2

Milleks rakendada infoturbe standardit? Infoturbe täiustamiseks Hoida kokku kulusid infoturbele Standard pöörab tähelepanu kõigile turvalisust puudutavatele aspektidele Tõendusmaterjal kolmandatele osapooltele Õigusaktidest tulenevad nõuded Jne… 3

Milleks? Õigusaktid - Eesti Eesti Vabariigi Valitsuse 12. augusti a määrus nr 273 – “Infosüsteemide turvameetmete süsteemi kehtestamine”. Selle järgi on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis alates aasta 1. jaanuarist Eestis kohustuslik. ISKE auditeerimine muutub lähitulevikus kohustuslikuks. ISKE auditeerimisega seonduvad asjaolud reguleeritakse ettevalmistatavas majandus- ja kommunikatsiooniministri määruses „Riigi infosüsteemi infotehnoloogilise auditeerimise kord“. Määrus kehtestatakse kehtima hakkava «Avaliku Teabe Seaduse» § 43 lõike 2 alusel. 4

Milleks? Õigusaktid - EL Euroopa Ühenduse Komisjoni määrus (EÜ) nr 885/2006, 21. juuni 2006 –Nähakse ette nõukogu määruse (EÜ) nr 1290/2005 kohaldamise üksikasjalikud eeskirjad seoses makseasutuste ja teiste organite akrediteerimise ning EAGFi ja EAFRD raamatupidamisarvestuse kontrollimise ja heakskiitmisega B) Infosüsteemide turve –Infosüsteemide turve põhineb kriteeriumidel, mis on sätestatud ühes järgmistest rahvusvaheliselt tunnustatud standarditest vastaval eelarveaastal kehtivas redaktsioonis: –i) International Standards Organisation 17799/British Standard 7799: Code of practise for Information Security Management (BS ISO/IEC 17799), –ii) Bundesamt für Sicherheit in der Infomationstechnik: IT- Grundschutzhandbuch/IT Baseline Protection Manual (BSI), –iii) Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT). 5

Milleks? Seos ettevõtte strateegiliste eesmärkidega Demonstreerid oma praegustele ja tulevastele klientidele, partneritele ja omanikele, et infovaradega, mis on Sinu kätte usaldatud äriprotsesside käigus, käiakse ümber kohusetundlikult. Annab turvatunde. Sellega kaasneb ettevõtte usaldusväärsuse ja maine tõus, mis peaks olema iga ettevõtte strateegilistesse plaanidesse sisse kirjutatud. 6

Milleks veel? Võib aidata ära hoida piinlikkust tekitavaid olukordi. 7

Erinevad IT standardid CobIT HIPAA GLBA Bill C7 PCI Visa CISP ITIL NIST (ITSN) SAS 70 BS BSI ISKE ISO/IEC 27001:2005 8

Valikuvõimalused – ISKE (1) ISKE – Infosüsteemide kolmeastmeline ETALONTURBE süsteem. Süsteem ISKE on mõeldud infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE põhineb Saksamaa Infoturbeameti (BSI) infotehnoloogia etalonturbe meetodil ja käsiraamatul. Süsteem põhineb turvet vajavate infovarade kirjeldamisel tüüpmoodulite abil ning sisaldab vahendeid iga tüüpmooduli turvaklassi määramiseks ja mooduli nõutava turbeastme määramiseks selle turvaklassi järgi. 9

Valikuvõimalused – ISKE (2) Vastavalt Eesti Vabariigi Valitsuse 12. augusti a määrusele nr Infosüsteemide turvameetmete süsteemi kehtestamine on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis kohustuslik. Infosüsteemide turvameetmete süsteemi kehtestamine –!!! Alates aasta 1. jaanuarist Eestis kohustuslik neile, mis on andmekogude seaduse mõttes andmekogud. –!!! ISKE peab olema rakendatud andmekogudele, mis ei ole andmekogude seaduse mõttes andmekogud, aga mis on uue avaliku teabe seaduse mõttes andmekogud, kuue kuu jooksul alates avaliku teabe seaduse uue redaktsiooni jõustumisest st. 1. juuliks

Valikuvõimalused - ISO/IEC27001 ISO/IEC on infoturbe juhtimissüsteem, mis valmis aasta oktoobris ja baseerub BS standardi teisel versioonil. ISO/IEC käsitleb infosüsteemi turbevajaduste väljaselgitamist, vastavate turvanõuete püstitamist ja saavutamist. 11

ISO/IEC27001 Tugineb riskianalüüsil, seega meetmed tulenevad riskikäsitlusest ja terve süsteem pole üle- ega alaturvatud. 12 Infoturve on hallatud Aitab vältida kaootilisi otsuseid, mis on tingitud hetkeolukorrast e. tulekahjude kustutamist

ISO/IEC eesmärk ISO/IEC 27001:2005 standard on koostatud eesmärgiga anda mudel infoturbe halduse süsteemi (ITHS) rajamiseks, evituseks, rakendamiseks, seireks, läbivaatuseks, hoolduseks ja täiustamiseks. 13

ISO/IEC PEKT mudel (PDCA) 14

ISO/IEC27001 kujunemine e. ajalugu 15

ISO/IEC27000 seeria standardid –ISO/IEC the certification standard against which organizations' ISMS may be certified (published in 2005) – ISO/IEC the proposed re-naming of existing standard ISO (last revised in 2005, due to be renumbered in 2007) –ISO/IEC a new ISMS implementation guide (in preparation) –ISO/IEC a new standard for information security management measurements (in preparation) –ISO/IEC a proposed standard for risk management (in preparation) –ISO/IEC a guide to the certification/registration process (published in 2007) –ISO/IEC a guideline for auditing information security management systems (in preparation) –ISO/IEC a guideline for telecommunications in information security management system (in preparation) –ISO/IEC guidance on implementing ISO/IEC in the healthcare industry 16

ISO/IEC27001 standardi jaotus Võib jagada selguse mõttes nõuete osas kaheks osaks. –Peatükid 4 – 8 –Annex A - standard ISO/IEC Lisa A-s loetletud kõik juhtimiseesmärgid ja -meetmed on tuletatud otseselt ISO/IEC 17799:2005 jaotistes 5 kuni 15 ja on numbriliselt nendega kooskõlas. 17

ISO/IEC27000 osad – kohustuslikud e. shall.. Standardi nõuded osades 4 – 8 on KOHUSTUSLIKUD –Näit: 7.1 Üldine - Organisatsiooni ITHS pideva sobivuse, adekvaatsuse ja toimivuse tagamiseks peab juhtkond ta plaaniliste vaheaegadega läbi vaatama (vähemalt kord aastas). Selline läbivaatus peab sisaldama ITHS – sealhulgas infoturbepoliitika ja infoturbe eesmärkide – täiustamise võimaluste ja muutmise vajaduste hindamist. Läbivaatuste tulemused tuleb selgelt dokumenteerida ja protokollid tuleb säilitada Kui Inglise keelses standardis on “shall” siis see on alati kohustuslik. Sama kehtib ka Annex A kohta. 18

ISO/IEC27001 osad – valikulised Lisas A olevad nõuded valitakse riskianalüüsi tulemusena. –Näit: A Kasutajate pääsuõiguste läbivaatus--- Meede: Juhtkond peab regulaarsete vaheaegade järel formaalse protsessiga vaatama läbi kasutajate pääsuõigused. Nii valik, kui ka väljajätmine peavad olema märgitud SoA (kohaldusmäärang) tabelisse. 19

Varade loend Üheks esmaseks kohustuseks rakendamisel on detailse varade loendi koostamine. "Omanik“ (owner) tähendab standardi seisukohalt isikut või üksust, kes on on endale võtnud haldamisvastutuse varade valmistuse, arenduse, hoolduse, kasutamise ja turbe juhtimise alal. "Omanik" ei tähenda, et isikul on tegelikud omandiõigused nende varade suhtes. Varade loendit kasutatakse riskianalüüsi käigus ja siis lisatakse sinna ka valitud meetmete osa. Omanik saab/võib delegeerida AINULT kohustusi ja ülesandeid, kuid MITTE VASTUTUST 20

Riskianalüüs (1) Mida ütleb standard riskianalüüsi kohta…. –The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results. Seega pole oluline millist riskianalüüsi metoodikat kasutada, vaid see, et analüüs ise oleks korratav ja tulemused võrreldavad. 21

Riskianalüüs (2) Tuleb selgitada välja riski kaalutlemise metoodika. (Risk Assessment Methodology) Tuleb töötada välja riskide aktsepteerimise kriteeriumid ja selgitada välja aktsepteeritavad riskitasemed. Riski mõõt tuleks määratleda enne ja pärast meetme rakendamist. See annab võimaluse määratleda kasu turvameetmest. 22

Riskianalüüs (3) Millised on need ohud, mis ohustavad meie varasid? Kuidas identifitseerida ? –A) ajurünnak –B) avaldatud andmed –C) kasuta ISKE ohtude kataloogi 23

Riskianalüüs (4) * Ohu näide on võetud ISKE ohtude loetelust * Meede. Käitusprotseduurid tuleb dokumenteerida, dokumentatsiooni hooldada ja teha ta kättesaadavaks kõigile kasutajaile, kes seda vajavad. * A Meede. Infotöötlusvahendite ja -süsteemide muudatusi tuleb ohjata. ( Change logs…) 24

SoA - Statement of Applicability e. kohaldusmäärang Tabel nõutud meetmetega ja viitega dokumentatsioonile, kus selle juhend asub. 25

ISO/IEC27001 auditeerimine (1) Esimeses osas kontrollitakse: –Kas on piirid määratletud(scope) ? –Kas on varade loend koos omanikuga. –Kas riskianalüüs on tehtud? –Standardi jaotistes 4, 5, 6, 7 ja 8 spetsifitseeritud nõuete kontroll Kas on koolitusi korraldatud? Siseauditid? Kas on välja selgitatud seadustest jne. Tulenevad nõuded? Kas on olemas kohaldusmäärang (SoA) 26

ISO/IEC27001 auditeerimine (2) Teises osas kontrollitakse: –Vastavalt kohaldusmäärangule valitud meetmete täitmist. Auditeeritakse kas käitutakse nii nagu seda on lubatud või juhendatud. –Näiteks kui me väidame, et personali väljalangemise ohu vastu kasutame meedet (Käitusprotseduurid tuleb dokumenteerida) ja SoA viitab konkreetsele asutusesisesele juhisele, mille järgi peame leidma näiteks juhise andmete taastamise kohta X andmebaasis, siis audiitor kontrollib selle juhise olemasolu ja kas seda on võimalik reaalselt kasutada andmete taastamisel X andmebaasis. 27

Kokkuvõte – kuidas rakendada Varade loend Riski kaalutlemise metoodika Riski aktsepteerimise kriteeriumid Kohaldusmäärang Meetmete rakendamine Audit 1. Osa Audit 2. Osa Järelaudit 28

Seotus ISKE-ga (1) ISKE aluseks oleva BSI IT etalonturbe käsiraamatu väljatöötamisel on arvestatud ISO soovitustega ja käsiraamatu väljatöötamisel järgitakse ISO standardi struktuuri. –Täpne juhis ja võrdlustabel asub BSI kodulehel (Saksa keelne) – 99_GS.pdfhttp:// 99_GS.pdf 29

Seotus ISKE-ga (2) ISO/IEC standardi rakendamiseks on vajalik selgitada välja ITHS rakendusalas varad ja nende omanikud. Varasid ähvardavad ohud ja nõrkused, mida need ohud saavad ära kasutada ning konfidentsiaalsuse, tervikluse ja käideldavuse kadude võimalikud toimed neile varadele. Seda kõike aitab teha ISKE etalonturbe mudel. 30

Tänan ! Küsimused ? 31