Infosüsteemide turvameetmete süsteem ISKE

ITHOOLDUS EESTI ISKEISKE on infosüsteemide kolmeastmeline nö. etalonturbe süsteem, mille eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus.

Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka ettevõtted oma organisatsiooni infoturbe eesmärkide saavutamiseks.

ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik) avaldatav infoturbe standard – IT Baseline Protection Manual (saksa k. IT-Grundschutz).

Turvalisus on üks inimeste põhivajadusi ja seega ka üks ühiskonna põhivajadusi. Eriti just meie globaliseerumise, suureneva mobiilsuse ning tööstusriikide aina suurema infotehnoloogiast ja sidesüsteemidest sõltumise ajastul kerkib turvalisuse vajadus aina enam päevakorda.

Pidevalt muutuvad IT süsteemid ja programmid eeldavad kõigilt asjaosalistelt kõrget eneseinitsiatiivi uute teadmiste omandamiseks, mis süsteemi kompetentseks kasutamiseks vajalikud on. Selleks aga võib jääda lokaalsel tasandil töötaval it-töötajal vajaka. 

Paljudel suurtel institutsioonidel on kirjalikult paika pandud turvakontseptsioon ja juhised vastavate turvameetmete rakendamiseks. Pakume lahendusi turvameetmete väljatöötamiseks, kuna enamikes väikestes ja keskmise suurusega ettevõtetes need aga puuduvad.

ISKE rakendamine asutuses ei ole ühekordne projekt. See on pidev protsess, sest muutuvad nii IT-keskkond, turvaohud kui ka -meetmed.  Kasvav haavatavus ja IT riskide tulemusena suurte majanduslike kahjude tekkimise oht aina tugevdavad survet võtmaks ette ennetavaid tegevusi, et aktiivse infoturbe juhtimise kaudu vältida ja vähendada jääkriske.

IT-süsteemide väär või eeskirjadevastane kasutamine võib mõjutada nende turvet, kui selle käigus eiratakse või välditakse turvameetmeid. Näiteks võivad turvaintsidente põhjustada piisava kontrollita antud liigsed ja ebavajalikud õigused, kergesti äraarvatavad paroolid, ebapiisavalt kaitstud andmekandjad ja varukoopiad jt.

Turvaprobleemid võivad tekkida ka uue või olemasoleva tarkvara vääral paigaldamisel. Kasutussüsteemide või süsteemiprogrammide standardsel paigaldusel ilmnevad vaid harvadel juhtudel kõik tunnused, mis viitavad konfiguratsiooni õigsusele. Siin võib osutuda suureks riskiks puudulik sobitumine konkreetsete turvanõuetega.

Väära haldusega on näiteks tegemist juhul, kui võrgule luuakse või ei takistata juurdepääsuvõimalusi, mis ei ole IT-süsteemi käitamiseks tingimata vajalikud või mis kujutavad oma haavatavuse tõttu eriti suurt ohtu.

Kui ühe arvutiga töötab mitu kasutajat, võib hoolimatus või mugavus viia selleni, et töötaja vahetumisel ei logi eelmine kasutaja end korralikult välja ja uus kasutaja ei logi end nõuetekohaselt sisse. Asjaosalised põhjendavad seda tavaliselt sellega, et aeg, mis kulub IT-süsteemi taaskäivitamiseks, on väga pikk ja pole seega vastuvõetav.

Turbe jaoks olulised IT-süsteemid, nt milles hoitakse autentimiseks kasutatavaid andmeid, ei tohi asuda kergesti ligipääsetavates kohtades. Turbevaldkonna oluliste IT-süsteemide hulka kuuluvad näiteks turvalüüsid, kataloogiserverid, mis osutavad kasutaja identifitseerimisandmete kataloogiteenust, ja IT-süsteemid, kus hoitakse autentimisandmeid. Selliste süsteemide ebasobivad asukohad on näiteks avalikud koosolekuruumid, koridorid ja tavalised bürooruumid. Ka väikseid, kuid turbe jaoks siiski olulisi võrguühenduselemente nagu marsruutereid, kommutaatoreid ja pääsupunkte ei tohiks paigutada läbikäidavatesse kohtadesse, kus need on kaitseta. 

Üheks väga levinud eksiarvamuseks on, et IT turvameetmed toovad endaga kindlasti kaasa suured investeeringud turvatehnikasse ja kõrge kvalifikatsiooniga personali palkamisse. Tegelikult ei ole see nii. Kõige tähtsamad edu tagavad tegurid on üldine mõistmine, läbimõeldud organisatsioonireeglid ning usaldusväärsed ja hästi informeeritud töötajad, kes täidavad turvalisuse alaseid nõudeid iseseisvalt ja motiveeritult. Seega ei pea toimiva ja efektiivse infoturbe alase kontseptsiooni loomine alati hindamatult kallis olema. Kõige mõjuvamad meetmed on üllatavalt lihtsad ja sageli ka ei maksa midagi!

2017. aastal andis teadmatuse tõttu ettevõtte töötaja ligipääsu oma arvutile ingliskeelse telefonikõne peale, kus helistaja teatas, et on Microsofti esindaja ning vajab ligipääsu arvutile, sest see on viirusi täis. Selleks ajaks, kui IT-spetsialistid jaole said, oli jõutud arvutile parool peale panna. Andmeid pahalased seekord siiski kätte ei saanud.

2017. aastal murti sisse mitmesse valvekaamera salvestisse. Rünneteks kasutati ära kaamerate lappimata turvaauke ning asjaolu, et ligipääs seadmetele oli piiramata.

 

Rohkem infot avalikust allikast: RIA

Eesti Interneti Sihtasutus on läbinud edukalt ISKE vastavusauditi.
Ravimiamet on edukalt läbinud nii ISKE turvameetmete süsteemi kui ka Andmekaitse Inspektsiooni auditid andmete turvalise töötlemise kohta.

Trüki

ITHOOLDUS EESTI OÜ

Reg.nr. 10250525
KMKR Nr: EE100225950
Turu 34b,
51004 Tartu, Eesti

Swedbank
IBAN: EE632200221017995424

Avatud / Suletud

Esmaspäev - Reede
9.00 - 17.00
Laupäev - Suletud
Pühapäev - Suletud

Kontaktid

Seadmete ja teenuste müük

+372 601 6464
+372 50 20 212

Arvutihooldus ja teenindus

+372 641 4883
+372 51 00 345

E-post
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.