Teksti suurus

Reavahe

Kontrastsus
Seaded

 

ISKE korduma kippuvad küsimused (KKK)

Üldiselt ISKE kohta

Mis on ISKE?

ISKE on infosüsteemide kolmeastmeline etalonturve.

Mis on etalonturve?

Etalonturve on turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks.

Millal ilmus ISKE esimene versioon?

ISKE ametlik esimene versioon ilmus 2003. aasta oktoobris.

Millal ilmus ISKE viimane versioon?

ISKE viimane versioon 8.00 ilmus jaanuaris 2017.

Mille alusel ISKE välja töötatakse?

ISKE väljatöötamise alus on Saksamaa Infoturbeameti (saksa k. Bundesamt für Sicherheit in der Informationstechnik, BSI) IT etalonturbe käsiraamat (saksa k. IT Grundschutz Handbuch).

Mis reguleerib ISKE rakendamist?

ISKE rakendamist reguleerib Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 „Infosüsteemide turvameetmete süsteem”.

Kellele on ISKE kohustuslik?

ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.

Kas kohalike omavalitsuste hallatavatele asutustele on ISKE rakendamine kohustuslik? Keda mõeldakse määruses definitsiooni "kohalik omavalitsus" all?

Avaliku teabe seaduses (AvTS) kasutatakse erinevaid termineid:

  1. kohaliku omavalitsuse asutus;
  2. kohaliku omavalitsuse üksus;
  3. kohalik omavalitsus.

AvTSi peatükk 5.1 räägib üksnes „kohalikust omavalitsusest”, samuti räägib üksnes „kohalikust omavalitsusest” ka VV 20.12.2007. aasta määrus nr 252. Siin seda terminit laiendatud ega täpsustatud ei ole. Seetõttu tuleb seda ka tõlgendada kitsalt ehk kui „kohalikku omavalitsust”, mitte kohaliku omavalitsusega seotud hallatavaid asutusi või kohaliku omavalitsuse üksusi.

ISKE ja andmekogud

Mis on andmekogu?

24. juulil 2009 jõustunud „Avaliku teabe seaduse” § 431 lg 1 kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks.

Mis on riigi andmekogu?

Riigi andmekogu on riigi kui avalik-õigusliku juriidilise isiku poolt tema organite kaudu „Avaliku teabe seadusega” kooskõlas vastavalt seadusega või seaduse alusel antud õigusaktiga pandud avalike ülesannete täitmiseks asutatud andmekogu. Riigi andmekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks ning riigi infosüsteemi mittekuuluvateks andmekogudeks.

Mis on kohaliku omavalitsuse andmekogu?

Kohaliku omavalitsuse andmekogu on kohaliku omavalitsuse asutuse poolt „Avaliku teabe seadusega” kooskõlas vastavalt seadusega või seaduse alusel antud õigusaktiga pandud avalike ülesannete täitmiseks asutatud andmekogu. Kohaliku omavalitsuse andmekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks ning riigi infosüsteemi mittekuuluvateks andmekogudeks.

Kas registri volitatud töötleja peab rakendama oma asutuses sama turvaklassiga ISKEt, mille vastutav töötleja on kirja pannud RIHAsse?

Vastavalt AvTS-le on volitatud töötleja kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse. See aga ei tähenda, et andmete töötlemise kohtadele rakenduksid automaatselt samad nõuded, mis kogu andmekogule. Seega tuleks andmekogu vastutaval töötlejal nõuete määramisel kindlasti analüüsida andmetöötluse iseloomu igal töökohal eraldi, st kui tundlikke andmeid töödeldakse konkreetses asutuses.

Mis ajaks peab ISKE olema rakendatud andmekogudele, mis ei ole andmekogude seaduse mõttes andmekogud, aga mis on uue avaliku teabe seaduse mõttes andmekogud?

Kuue kuu jooksul alates avaliku teabe seaduse uue redaktsiooni jõustumisest, st 1. juuliks 2008.

Turvaklassid

Mis on andmete turvaanalüüs?

Andmete turvaanalüüs on turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine.

Mis on turvaklass?

Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina.

Mis on turvaosaklass?

Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal (0–3).

Kes on andmete omanik?

Andmete omanik on ISKE kontekstis isik, kes vastutab andmete eest terve elutsükli jooksul (muuhulgas andmete loomise, klassifitseerimise, kasutamise, ligipääsude reguleerimise ja administreerimise eest). Andmete omanik omakorda delegeerib andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT-osakonnale. IT-osakond tavaliselt haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku esitatud nõuetele. Andmete omanik on enamasti isik põhitegevuse (äritegevuse) poolelt. Andmete "omanik" ei tähenda, et isikul on tegelikud omandiõigused nende varade suhtes. "Omaniku" mõiste asemel kasutatakse sageli ka mõisteid "valdaja" või "peakasutaja". Nt asutuse raamatupidamise andmete "omanik" on pearaamatupidaja.

ISKE rakendamise määruses ja ISKE rakendusjuhendis on turvaosaklassid erinevalt defineeritud. Millest tuleks lähtuda?

Turvaosaklasside määramisel tuleks lähtuda ISKE rakendusjuhendi viimasest versioonist.

Kuidas edastada ISKEt puudutav info Riigi Infosüsteemi Haldussüsteemi (RIHA)?

RIHAsse sisestab andmekogu turvaosaklassid ja ISKE rakendusstaatuse infosüsteemi ülem koos teiste andmekogu puudutavate andmetega. Igale infosüsteemile määrab RIHAs ülema RIHA asutuse haldur.

Mis on tüüpmoodulid?

Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika.

Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel.

Kuidas tuleb määrata käideldavuse turvaosaklassi?

ISKEs on käideldavus defineeritud järgmiselt:

Andmete käideldavus on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul/nõutaval ajahetkel ja vajaliku/nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).

Seega esmalt peaks konkreetse andmekogu kasutajaid arvestades kokku leppima tööaja, millal on vajalik tagada andmete kasutajatele ligipääs sellele andmekogule.

Näiteks, tööaeg võib olla tööpäeviti kella 9.00–17.00 (ehk 5*8), tööpäeviti ja laupäev 8.00–18.00 (ehk 6*8), iga päev 24 tundi (ehk 7*24). Kui tööaeg on määratud, siis tuleks käideldavuse turvaosaklassi definitsioonidest lähtuvalt määrata käideldavuse turvaosaklass (kas K0, K1, K2 või K3). Käideldavuse klassi määramisel tuleb arvestada, mis on lubatud maksimaalne seisak ja maksimaalne reaktsiooni aja kasv eelnevalt kokku lepitud tööajal.

Kuidas arvutada käideldavust?

Käideldavus arvutatakse teenuse tegeliku töösoleku aja jagamisel kokkulepitud tööajaga.

Valem: Käideldavus = tegelik töösoleku aeg : kokkulepitud tööaeg x 100%

Milline konfidentsiaalsuse turvaosaklass peab olema määratud delikaatsete isikuandmete ja AK info puhul?

Delikaatsete isikuandmete ja AK informatsiooni puhul, mis on asutusesiseselt mõeldud kasutamiseks ainult kindlatele isikutele (gruppidele, osakondadele), peab konfidentsiaalsuse turvaosaklass olema vähemalt S2.

Turvameetmed

Mis on turvameetmed?

Turvameetmed on organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks

Mis on etalonmeetmed?

Etalonmeetmed on tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest.

Mitu turbeastet on ISKEs?

ISKEs on kolm turbeastet:

  • L (Low) – madal turbeaste
  • M (Medium) - keskmine turbeaste
  • H (High) – kõrge turbeaste

Mida tähendab, et on saavutatud andmete turvalisus? Mis on turvalisuse osaeesmärk?

Andmete turvalisus kui üldeesmärk on mitmemõõtmeline ja koosneb osaeesmärkidest. ISKE põhineb kolmel osaeesmärgil, andmete kolme omaduse – käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S) tagamisel.

Mis on turbetase?

Turbetase on andmete turvaeesmärkide hindamisskaala neljapalli süsteemis.

Süsteem ISKE põhineb neljapallilisel skaalal ja kolmel turvaeesmärgil – käideldavus (K), terviklus (T) ja konfidentsiaalsus (S). Rakendades kolmele turvaeesmärgile neljapallilist skaalat määratletakse turvaosaklassid (nt K1T3S2). Turvaosaklassi tähis koosneb turvaeesmärgi tähisest ja turvataseme väärtusest.

Mitu turvameedet on L, M ja H turbeastmetes?

Turbeastmetes L ja M on kokku 1096 turvameedet ja mis on jagatud 6 rühma:

  • M1 – infrastruktuur,
  • M2 – organisatsioon,
  • M3 – personal,
  • M4 – riistvara ja tarkvara,
  • M5 – side,
  • M6 – hädaolukorraks valmisolek.

Turbeastmes H on kokku 222 turvameedet ja mis jagatakse 4 rühma:

  • HG: Kohustuslikud üldmeetmed
  • HK: Teabe käideldavuse turvameetmed
  • HT: Teabe tervikluse turvameetmed
  • HS: Teabe konfidentsiaalsuse turvameetmed

Kas tuleb rakendada kõik konkreetsesse turbeastmesse kuuluvad turvameetmed?

  1. Konkreetsesse turbeastmesse kuuluvatest turvameetmetest tuleb rakendada nende moodulite turvameetmed, millega konkreetne andmekogu on seotud.
  2. Mõningates moodulites on turvameetmeid, mis on märgistatud "Z" ja "W" tähega. "Z" märgistus tähistab soovituslikkust ja "W" märgistus märgib teadmuslikkust (rakendama ei pea, pakub vajalikku teadmist antud alal).
  3. Turbeastmes „H” jagunevad turvameetmed kohustuslikeks (HG) ja tingimuslikeks (HT, HK, HS) turvameetmeteks. Tingimuslikud turvameetmed on eesmärgispetsiifilised lisameetmed. Neist on kohustuslikud need, mille nõutavast turvatasemest tuleneb kõrgeima turbeastme rakendamise nõue. Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu x, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.

ISKE rakendamisega seonduv dokumentatsioon

Missugune infoturbealane dokumentatsioon tuleb ISKE rakendamise käigus luua?

ISKE kataloogi (.pdf, 25.34 MB) turvameede „M2.192 Infoturbe poliitika koostamine“ kirjeldab infoturbe poliitika koostamisega seonduvaid asjaolusid. Infoturbe poliitika koostamisel võib juhinduda ka standardi lisas A toodud sisukorra näidisest (.pdf, 49 KB).

Kas on kohustus pidada arvestust rakendatud turvameetmete rakendamise kohta (nt exceli tabelis või mujal)?

Otseselt sellist kohustust ei ole, aga sellist laadi arvestuse pidamine võimaldab saada ülevaate ISKE rakendatuse seisust asutuses ja on igati abiks ISKE rakendamisega tegelevatele inimestele.

Kas nt exceli tabelis turvameetmete kohast arvestust pidades peab märkima, missuguse dokumendi mis punktis on antud organisatoorse turvemeetmega seonduv reguleeritud?

Ei pea märkima, aga võib. Infoturbe juht/spetsialist, IT juht peaks teadma missuguses dokumendis on konkreetse organisatoorse turvameetmega seonduv asjaolu reguleeritud.

Kas infoturbe poliitika dokumentatsioonis konkreetse punkti järel peab märkima või viitama missugune turvameede nõuab vastavat regulatsiooni/lauset?

Ei pea märkima, kuid võib.

Turvastandardid

Kuidas on seotud ISO27001, ISO27002 ja ISKE?

ISKE aluseks oleva BSI IT etalonturbe käsiraamatu väljatöötamisel arvestatakse ISO 27001 ja ISO 27002 soovitustega ja käsiraamatu väljatöötamisel järgitakse standardi struktuuri. Standardite ISO27001, ISO27002 ja ISKE vastavustabelid leiab ISKE juhendite ja materjalide alt.

Mis erinevus on BSI IT Grundschutz Handbuch’i ja ISKE vahel?

On mitmeid erinevusi, siinkohal nendest olulisemad:

  • ISKE rakendusjuhendis on turbeaste H, mis on Eestis väljatöötatud.
  • BSI juhendis on turbeastmed: A – Entry level, B – Higher level ,C – Certificate level, Z – optional, W – know how. Kõik nimetatud tasemete turvameetmed on paigutatud ISKE turbeastmetesse L ja M.
  • BSI juhendis puudub turvaklasside ideoloogia ja lähtuvalt turvaklassidest turbeastmesse jagamine.

Kas ISKE reguleerib teenustasemetega seonduvat?

ISKE käsitleb ühe turvaeesmärgina käideldavust. ISKEs on määratud käideldavuse turvaosaklassid järgmiselt:

  • K0 – töökindlus – madal, lubatud summaarne seisak on üle ühe ööpäeva nädalas;
  • K1 – töökindlus – lubatud summaarne seisak nädalas ööpäev;
  • K2 – töökindlus – lubatud summaarne seisak nädalas 2 tundi;
  • K3 – töökindlus – lubatud summaarne seisak nädalas 10 minutit.

ISKE määratleb käideldavuse suhteliselt suurte vahemike tagant. ISKE ei määra ega käsitle enamikke teenustaseme lepingutega seonduvaid asjaolusid ja teenustaset määravaid parameetreid (päringule vastamise aeg, teenindavate kasutajate arv, hooldustööde teostamise aeg jmt).

ISKE rakendamise auditeerimine

Kus reguleeritakse ISKE auditeerimisega seonduvad asjaolud?

ISKE auditeerimisega seonduvad asjaolud reguleeritakse määruses nr 252 „Infosüsteemide turvameetmete süsteem“.

Kui tihti tuleb auditeid tellida/teha?

Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „H”, on kohustatud üks kord kahe aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.

Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „M” on kohustatud üks kord kolme aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.

Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „L” on kohustatud üks kord nelja aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.

Mis nõudeid esitatakse audiitoritele?

Audiitor peab olema isik, kes omab auditi läbiviimise ajal kehtivat rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati.

Kas kõik auditeerimisel osalevad audiitorid peavad omama CISA sertifikaati?

Ei pea. Auditeerimisel võib kasutada mitte CISA sertifikaati omavaid audiitoreid. Auditi raporti kvaliteedi, asjakohasuse, õigsuse, korrektsuse, sõltumatuse jmt osas aga vastutab CISA sertifitseeritud audiitor, kes ka allkirjastab lõppraporti.

Mis ajaks peavad auditid olema tehtud?

  • Turbeastmele „H” on esmakordne auditeerimise kohustuslik hiljemalt 2010. aasta 1. märtsiks
  • Turbeastmele „M”on esmakordne auditeerimine kohustuslik hiljemalt 2010. aasta 1. detsembriks
  • Turbeastmele „L” on esmakordne auditeerimine kohustuslik hiljemalt 2011. aasta 1. märtsiks.

Kas said vastuse oma küsimusele?

Lisatud 22.01.2007
Uuendatud 31.01.2017

Tagasi lehele "Infosüsteemide turvameetmete süsteem ISKE"



ISKE kataloogide kehtiv versioon on 8.00