Mine sisu juurde

Andmeturve

Allikas: Vikipeedia
Andmeturbe kolm komponenti: konfidentsiaalsus, terviklus ja käideldavus

Andmeturve (inglise information security) on kõik aspektid, mis on seotud andmete või andmetöötlusvahendite konfidentsiaalsuse, tervikluse, käideldavuse, mitteäraütlemise, aruandluse, autentsuse ja usaldusväärsuse pidamisega.

Muud definitsioonid

[muuda | muuda lähteteksti]

Andmeturve – objekti kaitstud seisund. Samal ajal andmete turve on kaitstud andmete lekkimise ennetamine, ning mittesanktsioneeritud ja ettekavatsetud mõju andmete peale ennetamine, teisisõnu selle seisundi saavutamise protsess.

Organisatsiooni andmeturve – selle ametivõimude ja ametiisikute eesmärgikindel tegevus, abinõude ja jõudu kasutamisega jõutakse organisatsiooni andmete turvalisuseni nii, et sel oleks võimalus korralikult talitleda ja dünaamiliselt areneda.[1]

Andmeturbe korteež – tegevuste järjekord konkreetse eesmärgi saavutamiseks.

Riiklik andmeturve – riigi andmeressursside ja teaduslike inim- ja ühiskonnaõiguste turvaline seisund andmesfääris.[2]

Kaasaja sootsiumis on informatsioonisfääril kaks komponenti[3]: infotehniline (tehniline, tehnoloogiline jne tehismaailm, mis on loodud inimese abil) ja infopsühholoogiline (loodusmaailm, kaasa arvatud inimene). Kohaselt, üldjuhtumis ühiskonna- ja riigiturve saab esitada kahe komponendiga: infotehnilise ja infopsühholoogilise turbega.

Standardiseeritud definitsioonid

[muuda | muuda lähteteksti]

Konfidentsiaalsus – põhimõte, et andmetele on ligipääs vaid volitatud isikutel ja protsessidel.[4]

Terviklus – andmete terviklikkus, õigsus ja sidusus. Veendumus, et andmeid pole volitusteta muudetud ja et tehtud muudatused on dokumenteeritud.[4]

Käideldavus – õigeaegne ja mugav ligipääs andmetele. See hõlmab andmete kättesaadavust ja kasutatavust.[4]

Andmete turvalisus – andmete kaitstud seisund, millal nende konfidentsiaalsus, käideldavus ja terviklus on garanteeritud.

Andmeturve – andmete turvalisuse kaitsmine.

Andmete turvalisust defineeritakse lubamatu riski puudumisega, seotud informatsiooni lekkega tehniliste kanalite kaudu, mittesanktsioneeritud ja ettekavatsemata andmetele või teiste ressurssidele mõjutamisega automatiseeritud infosüsteemidele, mis on kasutatud automatiseeritud infosüsteemides.

Andmeturve (IT kasutamisel) (ingl. IT security) – andmete turvalisuse seisund, mis kindlustab andmete turvalisust, mille töötlustus see on kasutatud, ja automatiseeritud infosüsteemi andmete turvalisust, milles ta on realiseeritud.

Automatiseeritud infosüsteemi turvalisus – automatiseeritud infosüsteemi kaitstud seisund, millal garanteeritakse selle ressursside konfidentsiaalsus, kättesaadavus, terviklikkus, aruandlus ja usaldusväärsus.

Andmeturve – informatsiooni ja toetusinfrastruktuuri turvalisus juhuslike või ettekavatsetud looduslikest või tehislikest mõjudest, mis saavad kahjustada infosubjektide relatsioone. Toetusinfrastruktuur – elektro-, vee-, soojus-, gaasivarustus-, konditsioneerimisüsteemid jne, samuti teenindav personaal. Vastuvõtmatu kahju – kahju, mida ei tohi eirata.

Määravad mõisteerisused

[muuda | muuda lähteteksti]

Tavaliselt standardne kaitsemudel on kujutatud kolme kategooria abil:

  • konfidentsiaalsus (ingl. confidentiality) – informatsiooni seisund, mille korral juurdepääsu sellele saavad ainult need subjektid, kellel on selleks õigused:
  • terviklus (ingl. integrity) – mittesanktsioneeritud informatsiooni modifikatsiooni vältimine;
  • juurdepääs (ingl. availability) – alalise või aegse informatsiooni varjutust nende kasutajate eest, kellel on vajalikud kasutajaõigused.

Aga on ka teised, mitte alati kohustuslikud kaitsemudeli kategooriad:

  • mitteäraütlemine või apelleerimine (ingl. non-repudiation) – võimatu on autorsuse ülesütlemine;
  • tõepärasus (ingl. reliability) – juurdepääsu subjekti ja tema toimingute registreerimise identifikatsiooni garanteerimine;

Süsteemne juurdepääs andmeturbe kirjelduses võimaldab eraldada järgmised andmeturbe komponendid:

  • Seaduslik, normatiiv-õiguslik ja teaduslik alus.
  • Ametite (allüksuste) struktuur ja ülesanded, mis peavad garanteerima IT turvalisuse.
  • Organiseerimis-tehnilised ja režiimsed abinõud ja meetodid (andmeturbe poliitika).
  • Programmi-tehnilised andmeturbe garanteerimise laadid ja abinõud.

Allpool on andmeturbekomponenti vaadeldud lähemalt.

Mingi olemi andmeturbe realiseerimise eesmärgiks on selle olemi andmeturbe tagatissüsteemi (OATS) ehitus. Efektiivse OATS-i ehitamise ja ekspluateerimise jaoks on vaja[1]:

  • selgitada välja andmeturbe nõuded, mis on spetsiifilised antud kaitseobjektile;
  • arvestada riiklike ja rahvusvaheliste õigusaktide nõuetega;
  • kasutada juba olnud töös sarnaste OATSide ehituste standardid ja metodoloogiad;
  • määrata allüksused, mis peavad vastutama OATSe realiseerimise ja toetuse eest;
  • jagada allüksuste vahel vastutuse alad OATSi nõudede realiseerimises;
  • andmeturbe riskide juhtimise alusel defineerida üldised seisundid, tehnilised ja organisatsioonilised nõuded, millest tekib olemi andmeturbe poliitika;
  • realiseerida andmeturbe poliitika nõuded, juurutades vastavad programmi-tehnilised andmeturbe laad ja abinõud;
  • realiseerida andmeturbe juhtimise süsteemi (ATMS);
  • ATMS-i abil korraldada regulaarne OATS-i efektiivsuse kontrollimine ning vajaduse korral ATMSi ja OATSi ülevaatamine ja korrigeerimine.

Nagu on näha viimasest tööetapist, alatine ja tsükliline OATSi realiseerimise protsess (pärast iga ülevaadet) läheb tagasi esimese etapi juurde ja kordab kõik järgmised uuesti. Nii OATS-i korrigeeritakse efektiivse andmeturbe ülesannete lahendamise uute alati uuendatava infosüsteemi nõuetega kooskõla jaoks.

Andmeturbe tagamise allüksused

[muuda | muuda lähteteksti]

Sõltuvalt andmeturbealas teotahe täiendist (riigi- või kommertsametivõimude raames), ise tegevus organiseeritakse spetsiaalsete riigiametivõimude või ettevõtlusametite abil. Riigiametivõimud, kes kontrollivad andmeturbe tegevust:

Organiseerimis-tehnilised ja režiimsed meetodid ja abinõud

[muuda | muuda lähteteksti]

Tavaliselt konkreetse infosüsteemi andmeturbe tehnoloogia kirjelduse jaoks ehitatakse nn andmeturbe poliitika ehk konkreetse infosüsteemi turvalisuse poliitika.

Turvalisuse poliitika (andmete organisatsioonis) (ingl. organization security policy) – dokumenteeritud reeglite, protseduurite, praktilise võttete või juhtimisprintsiibide andmeturbe sfääris kogum, mida kasutab organisatsioon oma tegevuses.

Info-telekommunikatsiooni tehnoloogiate turvalisuse poliitika (ingl. ICT security policy) – reeglid, direktiivid, ajalooliselt tekkinud praktikad, mis määravad, kuidas organisatsiooni ja selle info-telekommunikatsiooni tehnoloogiate piirides juhtida, kaitsta ja jagada aktiivid, kaasa arvatud kriitilist informatsiooni.

Andmeturbepoliitika ehitamiseks antakse nõu eraldi vaadelda järgmised suunad infosüsteemi kaitsmises:

  • infosüsteemi olemite kaitse;
  • protsesside, protseduurite ja andmetöötlemise programmide kaitse;
  • sidekanalite kaitse;
  • kõrvalelektromagnetilise kiirguse lämmatus;
  • kaitsesusteemi juhtimine.

Iga eespool suuna jaoks andmeturbe poliitika peab kirjeldama järgmised etapid andmeturbe abinõude loomises:

  • info- ja tehniliste ressursside defineerimine, mis kuuluvad kaitse alla;
  • potentsiaalselt võimalike ohude ja lekkekanalite täishulga välja selgitamine;
  • informatsiooni haavatavuse ja riskide hindamine, kui on mingi hulk ohte ja lekkekanaleid;
  • nõuete defineerimine kaitsesüsteemi juurde;
  • kaitsemeedete ja nende karakteristikute valimine;
  • valitud abinõude ja laadide juurutamine ja kasutamise korraldamine;
  • terviklikkuse kontrolli ja kaitsesüsteemi juhtimise realiseerimine.

Andmeturbepoliitika

[muuda | muuda lähteteksti]

Andmeturbepoliitika vormistatakse infosüsteemile dokumenteeritud nõuete kujul. Tavaliselt dokumendid eristatakse kaitse protsessi kirjelduse (detaliseerimise) taseme järgi.

Kõrgema taseme dokumendid

[muuda | muuda lähteteksti]

Kõrgema taseme kaitsepoliitika dokumendid näitavad organisatsiooni positsiooni andmeturbe sfääris tegevuse kohta, selle purgimus rahuldada riigi- ja rahvusvaheliste standardite sfääris. Sellised dokumendid võivad olla 'AT kontseptsioon', 'AT juhtimisreglement', 'AT poliitika', 'AT tehniline standard' jne. Kõrgtaseme dokumentide levimisharu tavaliselt pole piiratud, aga antud dokumendid võivad ilmneda kahes redaktsioonis: sise- ja väliskasutamise jaoks.

Keskmise taseme dokumendid

[muuda | muuda lähteteksti]

Kesktaseme kuuluvad dokumendid, mis puutuvad eraldi andmeturbe aspekte. See on andmeturbe abinõude loomise ja ekspluatatsiooni, organisatsiooni info- ja äriprotsesside korraldamiste nõudlus konkreetse andmete turvalisuse suuna kohta. Näiteks: andmete turvalisus, kommunikatsioonide turvalisus, krüptograafiliste kaitsevõtete kasutamine, sisaldise filtreerimine ja muud. Niisugused dokumendid tavaliselt ilmuvad siseliste tehniliste ja organisatsiooniliste poliitikate (standardite) kujul. Kõik kesktaseme andmeturbepoliitika dokumendid on konfidentsiaalsed.

Algtaseme dokumendid

[muuda | muuda lähteteksti]

Algtaseme andmeturbepoliitikasse kuuluvad tööde reglemendid, administreerimise juhatused, eraldi andmeturve teeninduste ekspluatatsiooni juhendid.

Programm-tehnilised andmeturbe tagamise võtted ja abinõud

[muuda | muuda lähteteksti]

Kirjanduses pakutakse järgmine andmeturbe abinõude klassifitseerimine:

  • Mittesanktsioneeritud juurdepääsu eest kaitsevahendid;
  • Autorisatsioonivahendid;
  • Mandaatne juurdepääsu juhtimine;
  • Juurdepääsu valikjuhtimine;
  • Juurdepääsude juhtimine rollide alusel;
  • Ajakirjamine (või Audiit);
  • Analüüsimisüsteemid ja andmevoolu modelleerimine (CASE-süsteemid);
  • Võrgudemonitooringu süsteemid;
  • Sissemurdmise ilmutamis- ja ennetamissüsteemid (IDS/IPS);
  • Konfidentsiaalse info lekete ennetamissüsteemid (DLP-süsteemid);
  • Protokollide analüsaatorid;
  • viirusetõrje abinõud;
  • Võrguvahelised ekraanid;
  • Krüptograafilised abinõud;
  • Krüpteerimine;
  • Digiallkiri;
  • Reservkopeerimise süsteemid;
  • Katkematu toite süsteemid;
  • Katkematu toite allikad;
  • Koormuste reserveerimine;
  • Pingegeneraatorid;
  • Autentimissüsteemid;
  • Parool;
  • Juurdepääsu võti (füüsiline või elektrooniline);
  • Sertifikaat;
  • Biomeetria;
  • Korpuste sissemurdmiste ja varguste ennetamise abinõud;
  • Ruumidesse juurdepääsu kontrolli abinõud;
  • Instrumentaalsed kaitsesüsteemide analüüsimisabinõud;
  • Monitoringline programne produkt;

Organisatsiooniline informatsiooniobjektide kaitse

[muuda | muuda lähteteksti]

Organisatsiooniline kaitse on tootmistegevuse ja esitajate vahesuhe reglementeerimine normatiiv-õiguslikul alusel, mis arvutab välja või kardinaalselt raskendab ebaõiguspärase konfidentsiaalse informatsiooni hõivamist ja välis- või siseohtude väljendamist. Organisatsiooniline kaitse garanteerib:

  • Kaitse, režiimi, tood dokumentide ja töötajatega korraldamist;
  • Tehniliste kaitseabinõude ja info-analüütilise tegevuse kasutamist sise- ja valisohude äritegevustele väljaselgitamisel;
  • Peamiste korraldamisürituste juurde saab määrata;
  • Režiimi ja kaitse korraldamist. Nende eesmärk – elimineerida kõik kõrvaliste isikute territooriumile ja ruumidesse sissemurdmise võimalused;
  • Koostöötajate ettevalmistamise korraldamine, mis näeb ette personaali välimist ja asetust, kaasa arvatud kaadritega tutvustus ja nende uurimine, õpetamine reeglite kasutamise konfidentsiaalse informatsiooniga töö ajal, vastutuse meetmetega tutvumine andmeturbe reeglite rikkumise eest jne;
  • Dokumentide ja dokumenteeritud informatsiooniga töö korraldamine, sh dokumentide ja konfidentsiaalsete infokandjate käsitluse ja kasutamise korraldamine, nende arvestus, täitmine, tagastamine, hoidmine ja hävitamine;
  • Konfidentsiaalse informatsiooni tehniliste kogumis-, töötlemis- ja säilitamisvõtete kasutamine;
  • Sise- ja välisohude konfidentsiaalse informatsioonile analüüsimine ja andmekaitse jaoks tõkendite väljatöötamise korraldamine;
  • Süstemaatilise personali, kes töötab konfidentsiaalse informatsiooniga, dokumentide ja tehniliste kandjate arvestuse, hoidmise ja hävitamise korra kontrolli korraldamine.

Igas konkreetse juhtumi puhul on korraldusüritused iga organisatsiooni jaoks spetsiifilised, aga nende eesmärk on ikkagi andmeturbe garanteerimine konkreetsetes tingimustes.

Ajaloolised aspektid, mis tekitasid ja arendasid andmeturvet

[muuda | muuda lähteteksti]

Objektiivselt tekkis kategooria "andmeturve" infokommunikatsioonide tekkimisega loomade vahel, ning inimese arusaamatusega, et erinevatel inimestel on omad huvid, mis võivad olla kahjustatud infokommunikatsioonidele mõjutamisega, milliste murdelisus ja arenemine tekitavad infovahetuse kõikide sootsiumielementide vahel.

Arvestades mõjutamist andmeturve ideede transformatsiooni peale infokommunikatsioonide arenemises on võimalik eristada järgmisi etappe:

  • I etapp – enne 1816. aastat – kasutati ainult loomulikult tekitavaid infokommunikatsioone. Selles perioodis andmeturbe ülesandeks olid sündmuste, vara, asukohtade, faktide ja teiste andmete, mis olid isiklikult inimese või ühiskonna jaoks elutähtsad, kaitse.
  • II etapp – alates 1816. aastast – on seotud sellega, et alustati kasutama tehnilisabinõued, elektro- ja raadiosidesid. Kinnisuse ja hairekindlustatud raadioside garanteerimiseks oli vaja kasutada esimese andmeturbe etapi kogemust kõrgemal tehnilisel tasandil (häirekindlustatud kodeerimissignaali kasutamine edasise saadud signaali dekodeerimisega).
  • III etapp – alates 1935. aastast – seotud sellega, et ilmusid raadilokatsiooni- ja hüdroakustikaabinõud. Alusvahendiks, mis garanteeris andmeturbe sel perioodil, oli korralduslikke ja tehniliste vahendite kombinatsioonid, mis olid suunatud raadiolokatsiooniliste abinõude turvalisuse kindlustuse nende vastuvõtmise aparaatidele mõjutamise aktiivsete maskeering- ja passiivselt imiteerivate raadiohäirete eest.
  • IV etapp – alates 1946. aastast – seotud arvutite leiutamise ja praktilise tegevusse juurutamisega. Andmeturbe ülesanded lahendati peamiselt füüsilise juurdepääsu arvutitele piirangu meetoditega.
  • V etapp – alates 1965. aastast – seondub lokaalsete infokommunikatsiooniliste võrkude ilmumise ja arendamisega. Andmeturbe ülesanded lahendati samamoodi, piirati füüsilist juurdepääsu võrgu objektidele ja nende ressurssidele.
  • VI etapp – alates 1973. aastast – on seotud supermobiilsete kommunikatsiooniaparaatide laia ülesannete spektriga kasutamisega. Ohude tase kasvas tunduvalt. Andmeturbe tagamiseks traadita side võrku ühendatud arvutites olid vaja uute turvakriteeriumite täiustamised. Tekkisid uued inimeste seltskonnad – häkkerid, kelle eesmärkideks olid erakasutajate, organisatsioone või riikide andmeturbe kahjustamine. Inforessurss muutus kõige olulisemaks riigiressursiks, ja selle andmeturbe garanteerimine – olulisemaks kohustuslikuks riikliku turvalisuse osaks. Tekib andmeõigus – uus rahvusvahelise õigussüsteemi haru.
  • VII etapp – alates 1985. aastast – on seotud globaalsete infokommunikatsioonivõrkude ilmumise, arenemise ja nende kasutamisega kooskõlas kosmose abinõudega.

Võib arvata, et järgmine etapp andmeturbe arenemises, arvatavasti, saab olla seotud supermobiilsete kommunikatsiooniaparaatide laia ülesannete spektriga laia kasutamisega ja globaalse aja ja ruumi ulatusega, mis on garanteeritud kosmose infokommunikatsioonisüsteemidega. Sellel etapil andmeturbe ülesannete lahendamiseks on vaja luua inimkonda andmeturbe makrosüsteemi juhtivate rahvusvaheliste foorumite egiidiga.

  1. 1,0 1,1 Venemaa Föderatsiooni ravhuslik standard «Infotehnoloogia. Praktilised andmeturbe juhtimisreeglid » (ГОСТ Р ИСО/МЭК 17799—2005).
  2. Turvalisus: teooria, paradigmad, kontseptsioon, kultuur. Sõnastik-teatmik[alaline kõdulink] / Autor professor V. F. Pilipenko. 2. väljaandmine, ПЕР СЭ-Пресс, 2005.
  3. Andmeturve (Sotsiaalse-poliitilise projekti «Sootsiumi aktuaalsed turvalisuse probleemid» 2. raamat). М.: «Relvad ja tehnoloogiad», 2009.
  4. 4,0 4,1 4,2 "Riigi Infosüsteemi Amet – Riigi infosüsteemi võtmepõhimõtted". Originaali arhiivikoopia seisuga 9. märts 2016. Vaadatud 2. veebruaril 2016.
  5. elektroonilise side seaduse §-ides 185 (jälitus- ja julgeolekuasutusele teabe andmise ning sidevõrgule juurdepääsu võimaldamise kohustuse rikkumine) ja 186 (teostamise ja eraelu puutumatuse õiguse piiramise ning sõnumi saladuse õiguse piiramise toimingu andmete saladuses hoidmise kohustuse rikkumine).
  • A. J. Stšerbakov Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
  • S. A. Petrenko, V. A. Kurbenko Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.
  • V. A. Galatenko Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
  • S. A. Petrenko Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
  • V. F. Šangin Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
  • A. N. Lepjohin Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
  • V. N. Lopatin Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
  • J. Roditšev Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
  • Scott Barmen Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.
  • S. V. Zapechnikov, Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
    • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
    • Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.

Välislingid

[muuda | muuda lähteteksti]

Spetsialiseeritud portaalid

[muuda | muuda lähteteksti]