Ajavahemikus juuni-september 2007 viidi läbi ISKE rakendamise pilootprojekt konkreetse maavalitsuse baasil. Pilootprojekti käigus kaardistati maavalitsuse andmekogud, viidi läbi IT varade inventuur, määrati turvaklassid ja turbeastmed ning rakendamisele kuuluvad turvameetmed. Lisaks vaadati ja analüüsiti olemasolevat infoturbe alast dokumentatsiooni ning tehti asjakohaseid parandusettepanekuid olemasolevatesse dokumentidesse ja kirjutati juurde mõningaid infoturbe alaseid juhendeid ja kordasid.
NB! Loodud infoturbe alase dokumentatsiooni osas ei ole kontrollitud vastavust ISKEga ja see ei ole ka tõenäoliselt täielik, mida ISKEle vastavuse saavutamiseks vaja oleks. Lisaks on tõenäoliselt konkreetses dokumentatsioonis asjaolusid, mis ei kehti mitte alati ja iga asutuse jaoks.
Seletuskiri ISKE rakendamise pilootprojekti tööde kohta
Kogu järgneva teksti koos dokumentidega saad alla laadida SIIT
1. Kommentaarid lähtuvalt pakkumiskutses olevast tööde kirjeldusest
Töö käigus kasutati töö teostamise hetkel kõige värskemaid alusdokumente, milleks olid:
• ISKE rakendusjuhend versioon 2.01 Oktoober 2006
• Inglise keelne IT-Grundschutz Manual 2004
Lisaks nendele põhidokumentidele kasutati mõningate turvameetmete sisu mõistmiseks, ning turvameetmete prioriseerimismetoodika aluseks rakendamisplaani väljatöötamisel ka saksakeelset IT-Grundschutz-Kataloge Stand 2006 (8. Ergänzungslieferung).
1.1 Kaardistatakse maavalitsuse andmekogud
Andmekogude kaardistus oli esimene sooritatud ülesanne, kuigi rõhuasetus ISKE juhendis on infosüsteemidel. Kõrvalekalle ISKEs toodud tööde järjekorrast osutus vajalikuks, kuna see oli eelduseks andmete turvaklassi määramisele vastavalt ISKE juhendi jaotisele 2.3.
Maavalitsuse andmekogude kaardistamisel lähtuti esimeses lähenduses intervjuust maavalitsuse IT juhiga. Selle tulemusena koostati tabel andmekogudest ja turbeastmetest.
ISKE rakendusjuhendi punkt 2.1.3 (Infosüsteemide rakenduste ja käideldava teabe spetsifitseerimine) ei loetle kohustuslikke parameetreid ehk välju andmekogudele, nii nagu seda teeb näiteks punkt 2.1.2 infosüsteemide kohta. Tabeli väljad loodi minimaalselt vajaliku põhimõtet arvestades.
Paralleelselt intervjuudele vastutavate ametnikega lisati andmekogude tabelisse mõned uued andmekogud, mis olid algul kahe silma vahele jäänud (AK, EVL, LPS, KOP) ning samuti lepiti kokku, et varasemalt eraldi käsitletud surmaregister ja pereregister saavad ühise nimetuse „surmaarhiivi ja perekonnaarhiiviregister” ning seda käsitletakse ühe andmekoguna.
Andmekogu KOP lisandus vastutava ametniku puhkuse tõttu alles töö lõppfaasis. Lisandunud andmekogu tõttu tuli täiustada või muuta viimasel hetkel mitmeid senidefineeritud tabeliteid. Defineeritud Excel tabelite struktuur ja filtrite kasutamine hõlbustas seda ülesannet märgatavalt, kuid siiski saaks siin spetsiaalse tarkvara kasutamisega muudatuste tegemist oluliselt automatiseerida. Näiteks oleks sellise tarkvara abil võimalik erinevaid tabeleid siduvate väljade (kirjeldatud p 1.2) automaatne linkimine. Sisuliselt tähendaks see kogu turvameetmete komplekti automaatset uuendamist peale uue andmekogu defineerimist ja vaid mõne seose kirjeldamist. Esialgse hinnangu kohaselt oleks võimalik luua selline tööriist ka standardsete MS Excel vahenditega, kuid kuna see oleks väljunud käesoleva töö raamidest, siis hetkel kasutati tabelitevaheliste seoste käsitsi defineerimist.
Andmekogusid spetsifitseerivatesse tabelitesse kanti juba kaardistamise käigus nende turvaklassi määramiseks vajalikud väljad, mis täideti hiljem koos osakonnajuhatajatega. Turvaklassi määramine sooritati kahest nõueteaspektist lähtudes (seadustest/lepingutest tulenevad nõuded ja Põhitegevusest tulenevad nõuded) ning lisaks sellele hinnati veel tagajärgede kaalukust vastavalt ISKE juhendi punktile 2.3.
Vastavalt kasutatud juhendi versioonile omistati kõikidele isikuandmetele klass S2, kuigi juhendi uue, töö teostamise viimases etapis avaldatud versiooni kohaselt tuleb S2 omistada vaid delikaatsetele isikuandmetele. Töö teostaja ning ka maavalitsuse IT juhi hilisema subjektiivse hinnangu kohaselt ei avaldaks see juhendi muudatus mõju maavalitsuse andmekogude konfidentsiaalsuse turvaosaklassidele.
1.2 Viiakse läbi IT varade inventuur
Infosüsteemide inventuuri osa on ISKEs käsitletud põhjalikumalt kui andmekogude inventuuri osa. Vastavalt ISKE jaotisele 2.1.2 loodi eraldi tabelid võrgus olevatele ja autonoomsetele infovaradele, lisaks sellele jagati võrgus olevad infovarad kahte gruppi:
• võrgus olevad andmekogusid käitavad infovarad
• võrgus olevad andmekogusid käitavaid infovarasid toetavad infovarad
• autonoomsed infovarad
Toetavate infosüsteemide eraldamine oli vajalik selleks, et määrata toetusaste vastavalt ISKE jaotises 2.4 toodud metoodikale. Autonoomsete infovarade hulka loetakse ka varad mille esmane funktsioon ei ole seotud andmetega, nagu näiteks majad ja ruumid.
Töö käidus loodud tabelite omavaheliseks sidumiseks on kasutusele võetud järgmised väljad:
• veerud pealkirjaga „lühend”, „turvaklass” ja „käitav IT süsteem” andmekogude tabelis
• veerud pealkirjaga „käitatav andmekogu” ja „käitatavate andmete kõrgeim turvaklass” andmekogusid käitatavate infosüsteemide tabelis
• veerud pealkirjaga „toetatavad infovarad”, „toetatava infovara maksimaalne turvaklass” ja „toetusaste” toetavate infovarade tabelis
• veerud pealkirjaga „seotud infovara”, „seotud infovara maksimaalne turvaklass” ja „toetusaste” autonoomsete infovarade tabelis.
IT varade inventuuri tabelisse kanti kohe alguses väljad turbeastme ja ISKE mooduli jaoks, mis täideti hiljem, peale turvaklasside määramist.
1.3 Määratakse andmekogude turvaklassid ja turbeastmed
ISKE juhendi järgi tuleb turvaklassid määrata andmekogude omaniku poolt, kelleks osutusid maavalitsuses osakonnajuhatajad. Seetõttu tuli kõigepealt leida andmekogudele omanikud. Esialgne andmekogude kuuluvus määrati toetudes maavalitsuse IT juhi pikaajalisele töökogemusele maavalitsuses, hiljem andmekogude kuuluvus kooskõlastati vastavate osakonnajuhatajatega.
Andmekogudele turvaklasside määramiseks intervjueeriti vastutavaid maavalitsuse osakonnajuhatajaid. Selleks, et kohtumised oleks võimalikult produktiivsed saadeti osakonnajuhatajatele ettevalmistavad meilid, mille näidis on SIIN. Vaata ka lisatud Maavalitsuse andmekogude koondtabelit.
Osakonnajuhatajad olid intervjuuks hästi ettevalmistatud. Turvaklassi määramine sooritati kahest nõueteaspektist lähtudes (seadustest/lepingutest tulenevad nõuded ja põhitegevusest tulenevad nõuded) ning lisaks sellele hinnati veel tagajärgede kaalukust vastavalt ISKE juhendi punktile 2.3.
Hindamise tulemusena selgus, et ühele andmekogule määrati kõrgeim tervikluse turvaosaklass, mille tulemusena määrati sellele andmekogule ka turbeaste H. Kõrgeima tervikluse turvaosaklassi määramise tingis tagajärgede kaalukus tervikluse osaeesmärgi täitmatajäämise korral.
1.4 Määratakse kõigile infovaradele nõutavad turbeastmed
Enne turbeastmete määramist määrati kõikidele infovaradele turvaklassid. Käesoleva seletuskirja punktis 1.2 on kõik infovarad jagatud kolme gruppi.
• võrgus olevad andmekogusid käitavad infovarad
• võrgus olevad andmekogusid käitavaid infovarasid toetavad infovarad
• autonoomsed infovarad
Kõigi kolme infovarade grupi turvaklasside määramiseks kasutati erinevat metoodikat alljärgnevalt:
Võrgus olevad andmekogusid käitavad infovarad
Infovarade turvaklassi määramisel lähtuti käitatavate andmekogude turvaklassist. Juhul, kui süsteem käitab erinevaid andmekogusid määrati infosüsteemile kõikide käitatavate andmekogude igast turvaosaklassist kõrgeim turvaosaklass, millest moodustus infosüsteemi turvaklass.
Võrgus olevad andmekogusid käitavaid infovarasid toetavad infovarad
Kõigepealt leiti toetatavad infovarad ja kanti need tabeli vastavasse lahtrisse. Seejärel leiti toetavate infovarade maksimaalne turvaklass (igast turvaosaklassist kõrgeim). Järgmisena leiti toetavate infosüsteemide toetusaste vastavalt ISKE p 2.4 toodud metoodikale.
Selgus, et juhendis on küll defineeritud 4 toetusastet, kuid hiljem kasutatakse sisuliselt vaid kaheastmelist granulaarsust. Seetõttu jäi neljaastmelise skaala vajadus esialgu mõistmatuks ning teeme ettepaneku tulevastes ISKE versioonides kaaluda vastava muudatuse vajalikkust.
Kuna ISKE ei täpsusta mida on mõeldud toetava ja asjakohase toetusastme korral „ühe taseme võrra madalama turvaklass” all, siis käesolevas maavalitsuse projektis alandasime nende toetusastmete korral kõiki kolme turvaosaklassi ühe astme võrra.
Autonoomsed infovarad
Natuke probleeme tekitas andmete-, varade- ja süsteemialaste mõistete segane kasutamine ISKE juhendis. Näiteks jäi segaseks ISKE p 2.4 pealkiri „Muude infovarade turvaklassi määramine” – kas mõeldud on kõiki varasid välja arvatud andmed? Samuti nõudis ISKE punkt 2.1.1 autonoomsete infovarade loetlemist, kuid ISKE ei sätesta mida selle loeteluga edaspidi tehakse.
Oluliselt aitaks ISKE loetavust parandada kõikide varadega seotud mõistete selgitus koos omavaheliste seoste näitamisega. Seda oleks võimalik teha ka graafiliselt (puu-struktuurina)
Käesoleva projekti raames liigitasime siia gruppi enamasti infrastruktuuri osad, nagu hooned ja ruumid, kuid ka tehnilised varad nagu sidesüsteemid. Seega kõik ISKE moodulites (lk 20) loetletud varad, millel ei ole ühendust maavalitsuse IP võrguga. Käesolevas projektis ei loetud võrguühenduseks selles kontekstis faksi ja sidesüsteemi ühendust telekommunikatsioonivõrguga.
Autonoomsete varade turvaklasside määramiseks toimiti alljärgnevalt:
1) leiti autonoomsete varadega seotud infovarad
2) leiti seotud infovarade maksimaalne turvaklass (ehk siis maksimaalne igast turvaosaklassist)
3) leiti toetusaste vastavalt ISKE 2.4 metoodikale
4) toetusastmest lähtuvalt määrati toetavale varale kas toetatava vara maksimaalne turvaklass või siis alandatud turvaklass kus kõiki osaklasse on alandatud ühe taseme võrra.
Kõiki kolme gruppi kuuluvate varade turbeastme määramisel turvaklassi järgi lähtuti ISKE p 3.1 toodud tabelist. Tegemist oli lihtsa protseduuriga, mis oleks ka lihtsalt automatiseeritav.
Selgus, et maavalitsuse infosüsteemidele määratud turbeastmeid oli 3 (L, M ja H). Vastavalt juhendile arutati tsoneerimise otstarbekust kuid jõuti järeldusele, et tsoneerimine ei ole antud olukorras põhjendatud kuna lisanduvate H-turvameetmete rakendamise kulud (Intranetile ja võrguseadmetele lisanduks 5 turvameedet) on esialgse hinnangu kohaselt odavamad tsoneerimise kuludest.
Ilmselt aitab otsuse põhjendamisele kaasa fakt, et Maaosakond, kellele kuulub ainus kõrge turbeastmega andmekogu asub eraldi majas. Ehk siis sisuliselt on füüsiline tsoneerimine juba toimunud, kuid võrkude eraldamise eeldatavaid kulusid hinnatakse liiga kõrgeks võrreldes viie lisanduva H-turvameetmete rakendamise kuludega. Dokument - infovarad ja turbeastmed.
1.5 Määratakse kindlaks vajalikud moodulid, ning rakendamisele kuuluvad turvameetmed
Iga infosüsteemi (või vara) kohta määrati kõik ISKE moodulid, mille kood kanti kõigi kolme infovarade tabeli viimasesse veergu. Moodulite määramisel vaadati läbi kõik juhendis lk 20 toodud pealkirjad, ning mõnel juhul tuli lugeda ka inglise- või saksakeelseid BSI originaale. Näiteks selgus alles moodulikirjeldustest, et mooduli B3.206 „Klient Windows 95” turvameetmeid tuleb rakendada ka Windows 98 kliendiarvuti jaoks.
Lähtuvalt infovaradest nende turbeastmetest ning infovaradele vastavatest moodulitest leiti igale spetsifitseeritud infovarale vastav turvameetmete komplekt. Selle tulemusena määrati 1605 turvameedet. Osa nendest turvameetmetest on juba rakendatud ning osa nendest ei ole erinevatel põhjustel võimalik rakendada.
Selgus, et väga mugav on rakendamisele kuuluvate turvameetmete spetsifitseerimisel kasutada MS Excel tabeleid. Kasutades MS Exceli filtreerimisfunktsiooni saab mõne hetkega ülevaate infovarade, prioriteetide, turbeastmete või turvameetme koodi kaupa. Dokument - turvameetmed.
1.6 Luuakse rakendamisplaan turvameetmete rakendamiseks
Rakendamisplaan ja selle koostamiseks kasutatud metoodika on kirjeldatud eraldi dokumendis.
1.7 Töötatakse välja (või täiendatakse olemasolevat) vajalik dokumentatsioon organisatoorsete turvameetmete rakendamiseks
Maavalitsuses olid välja töötatud järgmised dokumendid, mis on seotud infoturbe halduse temaatikaga:
1) Infoturvapoliitika (aastast 2004), mis katab osaliselt väga erinevaid ISKE infoturbe haldust reguleerivate turvameetmete nõudeid
2) Arvuti ja arvutivõrgu kasutamise eeskiri (aastast 2007)
3) Maavalitsuse hädaolukorra plaan (aastast 2002).
4) Maavalitsuse ohuplaan (aastat 2004) on sisuliselt paljuski kattuv hädaolukorra plaaniga. Sisuliselt katab olemasolev ohuplaan ISKE turvameetmete M6.2, M6.8 nõuded. Kuna moodulite grupile B1 on määratud turvaaste H, siis vastavalt erinevatele H-astme turvameetmetele, tuleb kõik ohuplaanis olevad andmed vähemalt 2 korda aastas üle vaadata ja kaasajastada.
5) Maavalitsuse tegevusriskide hindamine
6) Maavalitsuse asjaajamiskord
7) Töötajate ametijuhendid
8) Osakondade põhimäärused
Lisaks nendele dokumentidele töötati välja järgmiste infoturbe poliitikat täiendavate dokumentide ettepanekud: „Paroolide kasutamise reeglid” vastavuses ISKE turvameetme M2.11-ga, „Viirusetõrje eeskirjad” vastavuses ISKE turvameetme M2.160-ga; „Meiliteenuse kasutamise reeglid” vastavuses ISKE turvameetme M2.119-ga. Nende dokumentide koostamise metoodika on kirjeldatud eraldi dokumendis.
Samuti töötati välja turvapoliitika muudatuste ettepanekud.
2. Üldised kommentaarid ja pilootprojekti kokkuvõte
Pilootprojekt annab võimaluse tagasisideks ISKE, kui metoodika ning selle kasutatavuse kohta lähtuvalt ühest konkreetsest projektist.
1. Üheks pilootprojekti positiivseks tulemuseks on projekti käigus avastatud ISKE juhendit puudutavate väiksemate ebatäpsuste avastamine praktilise töö käigus.
2. Pilootprojekti tulemusena selgus, et rakendamisel kuuluvate turvameetmete hulk on ca 1600 turvameedet ja nende väljaehitamine nõuab arvestatavaid investeeringuid. Maavalitsuse IT aastaeelarve on umbes 400 000 krooni, millest hinnanguliselt on infoturbe osa umbes neljandik ehk 100 000 krooni. ISKE kõikide turvameetmete täpne ja kiire väljaehitus nõuab pilootprojekti läbiviijate hinnangul suurusjärgu võrra suuremaid infoturbe investeeringuid. ISKE kiireks rakendamiseks vajalikud investeeringud jagunevad:
• Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks. Siia alla kuuluvad näiteks kulud serverite ning turvalüüside kõrgkäideldavaks muutmiseks, ründeavastus- ning ründetuvastussüsteemide väljaehitus, erinevate kaugindikatsioonide väljaehitus. (suuremaid kulusid nõuavad ISKE turvameetmed HG.25, M4.240z, M5.71z, M2.282, M2.66z; M4.97z; M5.63z ). Suurem osa nendest kuludest on ühekordne investeering, kuid arvestada tuleb ka edaspidise hooldusega, ehk siis operatiivsete kuludega.
• Infoturbe koolitusele. ISKE spetsifitseerib väga erinevaid koolitusmeetmeid nii IT spetsialistidele kui ka kõigile maavalitsuse töötajatele. (näiteks HG.21; M3.28; M3.34; M3.35; M3.37; M3.38; M3.43; M3.49; M3.5; M7.6; M3.11; M3.4). Kuigi mõned ametnike koolitused oleks võimalik teostada ka maavalitsuse sisemiselt (vaba tööjõuressursi olemasolul), tuleks siiski enamus koolitusi osta erialastelt koolitusfirmadelt.
• Lepingulisele tööjõule ja audititele. Enamuse spetsifitseeritud turvameetmete rakendamine on tööjõukulukas protseduur. Juhul, kui seatakse eesmärgiks kõik spetsifitseeritud turvameetmeid kiiresti välja ehitada, tuleks kaaluda lepingulise tööjõu kaasamist, kuna tegemist on arvestatava tööjõukulu suurenemisega piiratud aja jooksul. Lisaks sellele spetsifitseerib ISKE erinevaid auditi nõuded. (HT.22, HG.31, M2.199, M2.260). Ka auditite läbiviimiseks tuleks kaasata välispartnereid.
• Maavalitsuse infoturbe personali suurendamisele. Infoturve on pidev protsess mille käigushoidmiseks on vaja personali ka pärast turvameetmete esmakordset rakendamist. ISKE määratleb erinevaid perioodilise iseloomuga turvameetmeid, millega tuleb tegeleda regulaarselt. Selleks kulub rohkelt töötunde, ning ilmselt oleks majanduslikult otstarbekam kasutada nende lisanduvate ülesannete täitmiseks maavalitsuse palgalist personali. Perioodilise iseloomuga turvameetmete näideteks on HG.33, HG.36, HG.38, HT.11, HT.31, HG.11, HG.12; HG.13, HG.14, HG.15, HG.16, HG.17, HG.24, HG.4, HT.2, HT.3, HT.7, HT.8, HT.9, M4.3, M5.29, M2.261, M2.263, M2.264, M2.266, M2.330 jne.
3. Töö tulemusena tekkinud turvameetmete nimekiri on väga hea baas edasiste optimeerimisotsuste tegemiseks ja nende põhjendamiseks. Näiteks selgub mõne hetkega, et juhul kui maavalitsuses kasutatavad Windows 98 operatsioonisüsteemid (kokku 4 arvutit) välja vahetada, kaoks vajalike turvameetmete nimekirjast 72 turvameedet.
Teise analoogse, pilootprojekti tulemusena selgunud näitena võib tuua kõrge turbevajadusega andmekogude tsentraliseerimisest saadava infoturbe kulude kokkuhoiu. Näiteks juhul kui tsentraliseerida kõikide maakondade kõrge turbevajadusega maabaas, aitaks see oluliselt vähendada kõikide maakondade infoturbe investeeringute kogusummat. Peamine tsentraliseerimisest tulenev kokkuhoid seisneb selles, et paljusid kulukaid, kõrgele turbastmele vastavaid turvameetmeid, ei ole vaja välja ehitada igas maavalitsuses, vaid ainult ühes asukohas, kus paikneb tsentraalne andmekogu. Ühe tsentraliseeritud andmekogu näitena saab vaadelda rahvastikuregistrit, kus erinevad maakonnad kasutavad tsentraliseeritud andmebaasi teenuseid online kliendiarvutite vahendusel.
Sellelaadseid optimeerimisvõimalusi on väga lihtne leida ja ka põhjendada kasutades pilootprojekti tulemusena loodud turvameetmete tabelit ning selle filtreerimisfunktsiooni.
4. Võttes aluseks intervjuude käigus saadud andmekogude omanike hinnanguid andmekogude turbevajaduse kohta on töö autorid arvamusel, et enamik turvameetmete väljaehitamiseks vajalikest investeeringutest on põhjendatud. Ainult väike osa ISKE poolt nõutud turvameetmetest tundub esmapilgul (ilma analüüsita subjektiivne hinnang) majanduslikest kaalutlustest lähtudes ebaotstarbekana. Kolmeastmelise etalonsüsteemi olemusest lähtuvalt võib lugeda tekkinud „viga” väikeseks ehk aktsepteeritavaks. Alternatiivne investeering detailsesse riskianalüüsi aitaks küll sellist „viga” oluliselt vähendada, kuid suure töömahu tõttu oleks koguinvesteering veelgi suurem.
5. Meie hinnangul tuleks ISKE kiireks rakendamiseks kõikides avaliku sektori asutustes käsitleda ka turvameetmete finantseerimist valitsuse ja ministeeriumite tasandil. Ühe riiklike andmekogude infoturbe finantseerimise parameetrina võiks arvestada andmekogude reaalset turbevajadust ehk siis ISKE metoodika alusel leitud turbeastet.
6. Maavalitsuse andmekogude puhul on tegemist riigi haldusalas olevate andmekogudega, mis paiknevad füüsiliselt erinevates Maakondades. Samas on kõikides maakondades sarnastel andmekogudel sarnased turbevajadused. Seetõttu võib andmekogude turvaklassi määrata ka ministeeriumi tasemel ning vastavalt sellele tuleks eraldada ka andmekogude pidajatele vahendeid turvameetmete väljaehitamiseks.
