ISKE pilootprojekt vallavalitsuses
Ajavahemikus jaanuar-aprill 2008 viidi läbi ISKE rakendamise pilootprojekt konkreetse vallavalit-suse baasil. Pilootprojekti käigus kaardistati vallavalitsuse andmekogud, viidi läbi IT varade inven-tuur, määrati turvaklassid ja turbeastmed ning rakendamisele kuuluvad turvameetmed. Lisaks vaa-dati ja analüüsiti olemasolevat infoturbe alast dokumentatsiooni ning tehti asjakohaseid paranduset-tepanekuid olemasolevatesse dokumentidesse ja kirjutati juurde mõningaid infoturbe alaseid juhen-deid ja kordasid.
NB! Loodud infoturbe alase dokumentatsiooni osas ei ole kontrollitud vastavust ISKEga ja see ei pruugi olla täielik, mida ISKEle vastavuse saavutamiseks vaja oleks. Lisaks on tõenäoliselt konk-reetses dokumentatsioonis asjaolusid, mis ei kehti mitte alati ja iga asutuse jaoks.
Projekti kokkuvõte ja tegevuskava
(Kogu järgneva teksti koos dokumentidega saad alla laadida SIIT.)
Sissejuhatus
1.1.1. Dokumendis on toodud ülevaade 2008. a. läbiviidud projektist „ISKE rakendamine valla-valitsuses“
1.1.2. Projekt kestis jaanuar - aprill 2008.
2. Olukorra kirjeldus
2.1.1. Vallavalituse töö toimub ühes hoones, kahel korrusel. Ruumid on varustatud valvesigna-lisatsiooniga. Rentnike vallavalitsuse ruumides ei ole.
2.1.2. Kasutusel on 26 arvutit, 1 server ja kasutatakse 7 infosüsteemi (neist 3 X-tee vahendu-sel). Valla veebilehekülg ja e-posti teenus asuvad teenuseosutaja serveris.
2.1.3. Vallavalitsuse infosüsteemi üldine turvaklass on K1T1S1 ja turbeaste L.
2.1.4. Üldine olukord andmeturbe rakendamisel on hea.
3. Projekti käigus toimunud arutelud
3.1.1. 15.01.08 Sissejuhatav nõupidamine. Olukorraga tutvumine, sisenddokumentide ülevaa-tus.
3.1.2. 30.01.08 Küsitlused võtmeisikutega. Andmekogude kaardistamine.
3.1.3. 06.02.08 Turvaklasside määramine. IT tehniline audit.
3.1.4. 11.03.08 Andmeturbe meetmete ülevaatus.
3.1.5. 10.04.08 Projekti tulemite ülevaatus.
4. Projektis teostatud tegevused
4.1.1. Tutvuti seadustega ja valla asjakohase dokumentatsiooniga.
4.1.2. Küsitleti võtmekasutajaid ja kaardistati andmekogud ning kasutatavad infosüsteemid.
4.1.3. Auditeerimiseks vajaliku riistvaralise ja tarkvaralise info kogumine viidi läbi kohapealse vaatluse alusel.
4.1.4. Koostöös IT spetsialisti ja naaberomavalitsuse töötajatega määrati andmekogudele tur-vaklassid ja turbeastmed.
4.1.5. Koostati andmekogude ja infovarade ülevaated ning määrati infosüsteemi turbeaste.
4.1.6. Koostöös IT spetsialisti ja naaberomavalitsuse töötajatega vaadati üle vajalikud moodu-lid ja nendele vastavad turbemeetmed.
4.1.7. Teostati meetmete finantsanalüüs.
4.1.8. Koostati infosüsteemi kasutamise korra ja infoturbe poliitika mustandid.
4.1.9. Koostati projekti kokkuvõte ja meetmete rakendamise tegevuskava
5. Dokumentatsioon
5.1. Projekti käigus kasutatud vallavalitsuse dokumentatsioon
5.1.1. Sisekord
5.1.2. Asjaajamine
5.1.3. Vallamaja tuleohutuse juhend
5.1.4. Valla RMK põhimäärus
5.1.5. Rahvamaja põhimäärus
5.1.6. Kunstidekooli põhimäärus
5.1.7. KK põhimäärus
5.1.8. Valla põhimäärus
5.1.9. Võrgu skeem - võrk
5.1.10. Juhend - KOV-ide õigusaktid
5.1.11. ARVUTID_VALD
5.1.12. ISKE moodulite nimekiri
5.1.13. Vallavalitsuse töötajate ametijuhendid (koduleht)
5.1.14. Infosüsteemi ülevaade
5.2. Projekti käigus koostatud dokumentatsioon
1.1.1. Vallavalitsuses rakendamise projektiplaan
1.1.2. Vallavalitsuse arvutid ja andmekogud
1.1.3. Vallavalitsuse infovarad
1.1.4. Rakendamisele kuuluvate turvameetmete loetelu
1.1.5. Infosüsteemi kasutamise kord
1.1.6. Vallavalitsuse infoturbepoliitika
1.1.7. Projekti kokkuvõte ja tegevuskava
6. Tegevuskava
Tegevus | Tulemus | Finantskulu/ ajamahu hinnang | Kommentaar | 1.1.1. Viia turvameetmetes nimetatud tegevused töötajate tööalaste juhendite hulka | § Administraatori ametijuhend on viidud meetmetele vastavaks.
§ Arhivaari ametijuhend on viidud meetmetele vastavaks.
§ Personalitöötaja ametijuhend on viidud meetmetele vastavaks.
§ Vallasekretäri ametijuhend on viidud meetmetele vastavaks. | § 32 töötundi | | 1.1.2. Kajastada füüsilise turvalisuse meetmed | § Sisekord on viidud meetmetele vastavaks
§ Tuleohutuse eeskiri on viidud meetmetele vastavaks | § 24 töötundi | | 1.1.3. Kehtestada infosüsteemi kasutamise kord | § Kehtestatud on kord, mis reguleerib:
§ Kasutajate õigused
§ Kasutajate kohustused
§ Piirangud kasutajatele
§ Administraatori õigused
§ Administraatori kohustused
§ Tulemüüri konfiguratsiooni reeglid
§ Vastavad reeglid on sisse viidud infosüsteemi | § Töörutiini käivitamise kestvus 6 kuud
§ Vajadusel korra jooksev korrigeerimine | § Tarkara korral tuleb määratleda, milline tarkvara on süsteemis lubatud. Kelle kohustus on ajutiste lahenduste (näit. konverentsil jagatud rakendused) installeerimine. | 1.1.4. Kavandada infoturbealane koolitus- ja teavitusprogramm | § Kasutajad on teadlikud infosüsteemi nõrkustest ja ohtudest ning oskavad kriisiolukorras käituda. | § 30 000.- krooni aastas | § Vt. lisaks punkt 7.3 |
6.2. Kommentaarid tegevuskava juurde
6.2.1. Asutuse turbeastet, infosüsteemi mahtu ja olemasolevat personali arvestades ei ole va-jadust suure hulga toetava dokumentatsiooni dokumentide koostamise järele.
6.2.2. Punktis 7 on toodud ülevaade võimalikust täiendavatest tegevustest ja täiendavatest dokumentidest.
6.2.3. Infosüsteemi seisund ei nõua hetkel erakorralisi investeeringuid infrastruktuuri.
6.3. Finantsanalüüs
6.3.1. Projekti käigus teostatud finantsanalüüsis arvestati vastavalt rakendatavatele meetme-tele:
6.3.1.1. kulusid olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele (väline konsultatsioon);
6.3.1.2. kulusid olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele ning rakendamisele (asutuse töötajate tegevused);
6.3.1.3. investeeringuid infrastruktuuri (tööjaamad, serverid, võrguseadmed, tagavara-koopiaseadmed) või nende renditeenuse sisseostmisele;
6.3.1.4. kulusid infrastruktuuri planeerimisele ja seadistamisele (väline konsultatsioon);
6.3.1.5. investeeringuid füüsilise turbe tagamisele;
6.3.1.6. investeeringuid tarkvarale ja litsentsidele;
6.3.1.7. kulusid koolitusele ja teavitamisele.
6.3.2. Koostöös Vallavalitsusega jõuti punktis 6 nimetatud finantskulude hinnanguni.
7. Soovitused
7.1. Konkreetsed soovitused
7.1.1. Kaaluda Windows NT serveri väljavahetamist, kuna MS ei toeta selle tehnoloogia aren-gut.
7.1.2. Tagada tagavarakoopiate tegemise vastutuse kajastamine infosüsteemi kasutamise kor-ras.
7.1.3. Tagada infosüsteemi kirjelduse (loendid, joonised) järjepidevus ja adekvaatsus, mis ta-gab asutuse talituspidevuse sõltumata spetsialistist.
7.2. Üldised soovitused
7.2.1. Järgmisena on ära toodud olulisemad nõuded, mida on vaja evitada lähtuvalt analüüsi käigus väljaselgitatud suurematest ohtudest ja nõrkustest ning tulenevalt Vallavalitsuse andmeturbe vajadustest. Nõuete väljatöötamisel on lähtutud ISKE-st, standardist ISO 13335 ja firma kogemusest.
7.2.2. Tabeli esimeses veerus on evitatavad nõuded. Keskmises veerus on välja toodud mõ-ned täpsustused esimese veeru nõuetele. Kolmas veerg sisaldab vajadusel selgitust.
7.2.3. Nõuded on grupeeritud kordade ja protseduuride kaupa. Nõuete jaotus just selliste kordade ja protseduuride vahel ei ole kohustuslik, neid võib ümber tõsta. Samas pea-vad nõuded olema kirjalikult fikseeritud.
Edasised detailsemad soovitused leiab dokumendist Projekti kokkuvõte ja tegevuskava.
|
