Tallinnas, 02.07.2009

Jaak Tepandi

Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”

ISKE rakendamine praktikas

Koolitusprojekti meeskond

• Tellija:

• Korraldaja:

• Koolitaja:

• Koolitaja:

Põhilised teemad

• Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine

• Ülevaade etalonturbe kontseptsioonist • Infovarade inventuur ja spetsifitseerimine• Turvaosaklasside ja turvaklasside määramine• Turbeastme määramine ja tsoneerimine• BSI/ISKE tüüpmoodulid ja nende valik• Turvameetmete rakendamine: plaan,

prioriteedid, vastutajad, kulud, maksumus• Kontroll, täiendav riskianalüüs, auditeerimine

ja sertifitseerimine • Rakendamistööriistad ja muud abimaterjalid• + Arutelud, küsimused, näited

Ajakava (orienteeruv)

9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest

10:45-12:15. Infovarad, turvaklassid, turbeastmed, tüüpmoodulid, tsoneerimine

13:00 – 14:30. Turvameetmete rakendamine

14:45-16:15. Rakendamine (jätkub), kontroll, auditeerimine, rakendamistööriistad, kokkuvõte

(Arutelud, küsimused, näited võivad muuta)

Tunnistades karme fakte …

• Riigi suur (suurim?) vara on info• Õnnetused, eksimused, hooletus, küberründed

on tegelikkus• Infoturbe tagamine on töömahukas, kulukas ja

kasutajatele ebamugav• Infoturve on “salakaval”: tuleb tõkestada kõik

teed, tehnoloogiast ei piisa: organisatsioon, infrastruktuur, protseduurid, tehnilised meetmed

• Avaliku teabe seadus: hiljemalt 1. juuliks 2008• “Tunnista karme fakte, kuid ära kunagi kaota

lootust”Jim Collins /Jim Stockdale

ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem.

Milleks? “Rakendame ISKEt,

sest X kuupäevaks tuleb rakendada”?

“Soovime piisava turvalisusega süsteeme, ISKE on selleks kasulik abivahend”?

CorelTM

Tänased eesmärgid, …• Osalejatel on ülevaade ISKE-st ja rakendusjuhendi

kasutamisest ( -> kasutame juhendit ka koolituse käigus!)

• Osalejatel on arusaamine, kas ja kuidas hakata oma asutuses ISKE-t rakendama + algoskused, et rakendada B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 ulatuses (sõltub vähe rahalistest ressurssidest)

• Osalejatel on teadmine põhilistest probleemidest ISKE rakendamisel ja sellest, kuidas nende probleemidega tegeleda

• Kontaktid ja koostöö teistega• … iga teema puhul arvestame neid küsimusi

…, mitte- eesmärgid ja eeldused

• Mitte-eesmärgid

– Infoturbe koolitus (veidi alguses)

– Detailne ISKE / BSI moodulite – ohtude – meetmete tutvustus

• Eeldused

– Vajadus ISKE-st aru saada ja seda rakendada

– Hakkame üsna algusest (kui ISKE on hästi teada, võib olla palju tuttavaid asju – võimalus aktiivselt osaleda)

ISKE rakendajad ja meie

ISKE rakendamise koordinaator

• ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum

• ISKE koordinaator - ISKE rakendamise eest vastutav isik

• Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast

• Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne

• Soovitav hea side asutuse juhtkonna ning erinevate osakondadega

Andmete omanik

• Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes

• Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele

• IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi

• Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks

ISKE rakendamise rollid

Mõningaid rolle võib täita üks ja sama inimene:• ISKE koordinaator asutuses • Infoturbe spetsialist• Asutuse IT eest vastutaja• Andmete omanik• Juhtkonna esindaja• ISKE juurutaja (näiteks asutuste struktuuriüksuste

esindaja)• ISKE administraator asutuses (kasutajate

haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)

Osalejate tutvustamine

• Nimi, asutus (,roll ISKE juurutamisel)

• (Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) )

• (Küsimus / probleem, millele tahaks koolituselt vastust leida)

ISKE rakendusala ja tähtajad

ISKE rakendusala 1

• Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 "Infosüsteemide turvameetmete süsteem" - Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.

• Avaliku teabe seadus § 431. Andmekogu. (1) Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. (2) Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.

Rakendus-/reguleerimisala 2

• § 432. Riigi infosüsteem. (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.

• § 439. Riigi infosüsteemi kindlustavad süsteemid. (1) Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid:1) klassifikaatorite süsteem;2) geodeetiline süsteem;3) aadressiandmete süsteem;4) infosüsteemide turvameetmete süsteem;5) infosüsteemide andmevahetuskiht;6) riigi infosüsteemi haldussüsteem.

Riigi infosüsteemi kindlustavad süsteemid

• (3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Käesoleva seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2, 4 ja 6 nimetatud kindlustavad süsteemid.

• Avaliku teabe seadus (alates 01.01.2008) - § 433. Andmekogu asutamine. (4) Ainult organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks peetavat ja riigi infosüsteemi mittekuuluvat andmekogu ei pea käesoleva paragrahvi lõikes 3 sätestatud korras kooskõlastama.

AvTS rakendamine

• § 581. Seaduse 51. peatüki rakendamine

• (1) Andmekogude seadusega kooskõlas asutatud riiklike registrite pidamise põhimäärused ja nende alusel peetavad andmekogud ning muud riigi ja kohalike omavalitsuste andmekogud viiakse käesoleva seadusega kooskõlla kuue kuu jooksul andmekogude seaduse kehtetuks tunnistamisest (muutus kehtetuks 01.01.2008) arvates.

Järeldusi: ISKE tähtajad

• Andmekogudele AvTS mõttes – 01.07.2008, nt:– meilisüsteemis (nt MS Exchange) olevad andmed – personaliarvestuse süsteemis olevad andmed – finantsarvestuse süsteemis olevad andmed

• VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel – (1) Andmekogu vastutav töötleja, kelle andmekogu

kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.

– (2) ... «M»… 1. detsembriks 2010. a. – (3) … «L»… 1. märtsiks 2011. a.

Rakendusala – probleeme

• Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse oma andmekogusid, nad pigem kasutavad riigi andmekogude andmeid (teenuseid)?

• Suure andmekogu puhul, millel on palju kasutajaid, kes ka andmeid uuendavad, ei ole vastutuse jaotus ISKE rakendamisel selge?

Ülevaade etalonturbe

kontseptsioonist

Infoturbe põhimõisteid

• Vara: miski, millel on organisatsiooni jaoks väärtus

• Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus

• Nõrkus: vara või vararühma nõrk koht, mida saab ära kasutada oht

• Risk: võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse

• Turvameede: riski kahandav teoviis, protseduur või mehhanism

• Jääkrisk: risk, mis säilib pärast turvameetmete teostamist

Riskianalüüs ja -haldus

• Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess

• Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna

Näide: Riskide hindamine

• Vara: maja. Tõsine tulekahju maksab 2,000,000

• Oht: tulekahju. Tõenäosus on 1% aastas

• Nõrkused: puumaja, kindlustamata, piksevarras puudub

• Tulekahju riski aastane maksumus?

• Mõistlik kulutus turbele selle riski osas?

• Meetmed?

• Jääkrisk?

• … analoogiliselt ka infoturbega (üldiselt)

(Info)turbe tase ja maksumus

Infoturbe tase

Mak-sumus

Intsidendid Infoturve

Kokku

0 100

Etalonturbe ideed (1)

• Infoturbe aluseks on riskianalüüs …

• … mis on täismahus väga töömahukas

• -> ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem

Etalonturbe ideed (2)

• EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade– Etalonkaitse dokumendid ja korrakoodeksid soovitavad

tüüpseid turvameetmestikke– Eelised. Jääb ära detailse riskianalüüsi ressursitarve ning

turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse …. Samu või sarnaseid etalonmeetmeid saab suuremate pingutusteta kohandada paljudele süsteemidele > võivad pakkuda ökonoomset lahendust

– Puudused: Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu … Raskusi võib tekkida turvet puudutavate muutuste haldusega. Näiteks on süsteemi moderniseerimisel võib-olla raske hinnata, kas esialgsed etalonmeetmed on üha piisavad

Etalonturbe maksumus

Infoturbe tase

Mak-sumus

Intsidendid Infoturve

Kokku

0 100Madal KõrgeKeskmine

ISKE ülevaade

Allikad ja turbeastmed

• ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il)

• Täiendatakse regulaarselt kord aastas• Lisateave BSI käsiraamatust• Tavaliselt on asutuses kasutusel turvanõuete taseme

poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke

• ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H). Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele

Etalonturbe ja ISKE rakendusala

• Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega

• ISKE:

– Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks

– Rakendatav ka muudes organisatsioonides– Ei ole mõeldud riigisaladust käitlevate

infosüsteemide turbeks

ISKE struktuur

• Rakendamise juhend , vt jaotis 1.5• Infovarade spetsifitseerimise ja turvaanalüüsi juhised ,

vt jaotis 2.1, 2.2• Etaloninstrumendid:

– turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3

– tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1

– (mõisted ja lühendid, jaotis 4)– infovarade tüüpmoodulite turvaspetsifikatsioonide

kataloog B, vt jaotis 5– ohtude kataloog G, vt jaotis 6– turvameetmete kataloog, vt jaotis 7

ISKE ja selle alusmaterjalid

• Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Ingliskeelne juhend IT Baseline Protection

Manual: http://www.bsi.de/english/gshb/index.htm • Saksakeelne juhend IT-Grundschutzhandbuch:

http://www.bsi.de/gshb/downloads/index.htm • Soovitused -

http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid

ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg

Ülevaade ISKE rakendamisest

1. Infovarade inventuur ja spetsifitseerimine

2. Andmekogude turvaklasside määramine

3. Muude infovarade turvaklasside määramine

4. Turvaklassiga infovarade turbeastme määramine

5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel

6. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse

7. Turbehalduse meetmete loetelu koostamine

8. Turvameetmete rakendamise plaani koostamine

9. Turvameetmete rakendamine

10. Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine

Tööd ja rollid

• ISKE koordinaator asutuses (kõik tööd)

• Infoturbe spetsialist (töödes 3-10)

• Asutuse IT eest vastutaja (töödes 1, 3, 5, 8)

• Andmete omanik (töös 2)

• Juhtkonna esindaja (töödes 5,8,9)

• ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) - töös 9

• ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)

Ressursid

• Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist

• Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas?

– Juhtkonna kaasamine

– Hinnangud

– Prioriteedid

– Ette planeerimine (eelarve)

• (Kumb on lihtsam?)

• Osa nõuavad mõlemaid. Kõik nõuavad rakendamise aega

Aeg

• Tähtajad vt eespool

• Meetmete ajaressurss ja tähtajad

– Juhtkonna kaasamine

– Hinnangud

– Prioriteedid

– Ette planeerimine (töökava)

• Kas ISKE on tähtajaline projekt?

Probleemid kuulajalt

• Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega

• Muudatused võtavad aega

• Puudub sõnastatud ühtne turvapoliitika

• Mida saab anda koolitus?

– Lisateadmised / -oskused rakendamise kohta (= lisa oskused)

– Ideid tööde korraldamiseks (= lisa inimesed)– Prioriteedid (midagi vähemaks / odavamaks /

kiiremaks) • Mida ei saa?

Infovarade inventuur ja

spetsifitseerimine (IT struktuuri

analüüs)

Varad ja infovarad

• Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvutivõrk, server, inimene, ruum, immateriaalne vara (nt. maineväärtus) jmt

• Vara eriliik on infovara – IT-süsteemidega seonduv vara: andmed, andmebaasid, rakendustarkvara, süsteemitarkvara, arvutid, serverid, arvutivõrk, marsruuterid, kommutaatorid, andmekandjad jmt

• Infovarasid hoitakse hoonetes, ruumides jne, mis üldjuhul ise ei ole infovarad

IT süsteemide ja rakenduste inventuur

• Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja selle dokumenteerimiseks

• Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv

• Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne)

• Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem

Inventuuri ja spetsifitseerimise detailsus

• Detailsus sõltub asutuse vajadustest– Detailsuse aste peaks võimaldama ISKE

rakendamist– Ei tohiks tekitada asutusele asjatut aja- ja

töökulu• Võimalusi

– Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks – moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne

– Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks

Juhtumianalüüs, kuulajate näited

• Näited, ettepanekud?• Näide – asutus X

– Personaliarvestussüsteem– Raamatupidamissüsteem– Dokumendihaldussüsteem– Kodulehe haldussüsteem– Meilisüsteem– Failisüsteem– Rahvastikuregistri klient– Asutus peab registrit Y

• Infoturbe valdkonnad: üldkomponendid / haldus, (IT) infrastruktuur, IT süsteemid, võrgud, IT rakendused / AB

Turvaosaklasside ja turvaklasside

määramine

Turvalisuse näitajad

• Turbemetoodikate aluseks on turvamudelid - 3-6 osaeesmärki

• Levinuim turvamudel põhineb käideldavuse, tervikluse ja konfidentsiaalsuse tagamisel => ISKE

• Andmete käideldavus (K) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile

• Andmete terviklus (T) on andmete õigsuse / täielikkuse / ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine

• Andmete konfidentsiaalsus (S) on andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele.

Turvaosaklassid

• ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal

• Lisaks hindamisskaalale rakendatakse lisakriteeriume (seadustest, äriprotsessidest ja tagajärgede kaalukusest tulenevad kriteeriumid)

• Turvaosaklassi tähis: turvaeesmärgi tähis + turvataseme väärtus

• Infosüsteemi turvanõudeid ja andmete väärtust teab kõige paremini andmete omanik => peaks määrama andmete vajaliku turbetaseme– IT või infoturbe spetsialist võib olla nõuandja

rollis– Soovitav lasta asutuse juhtkonnal kinnitada

Käideldavuse hindamisskaala

• K0 – töökindlus – pole oluline; jõudlus – pole oluline

• K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10)

• K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10)

• K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10)

Tervikluse hindamisskaala • T0 – info allikas, muutmise ega hävitamise

tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud

• T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele

• T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid

• T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas

Konfidentsiaalsuse hindamisskaala

• S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega)

• S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

• S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

• S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral

Tagajärgede kaalukusest tulenevad nõuded

• R0 – turvaintsidendiga (st info käideldavuse ja/või konfidentsiaalsuse ja/või tervikluse nõuete mittetäitmisega) ei kaasne märkimisväärseid kahjusid

• R1 – kaasnevad vähe olulised kahjud: takistused asutuse funktsiooni täitmisele või märkimisväärsed rahalised kaotused

• R2 - kaasnevad olulised kahjud: oluline takistus asutuse funktsiooni täitmisele, oht inimeste tervisele või keskkonnasaaste oht või olulised rahalised kaotused

• R3 - kaasnevad väga olulised (missioonikriitilised) kahjud: asutuse funktsiooni täitmatajätmine või märkimisväärsed häired riigikorralduses või oht inimelule või keskkonnasaaste või väga olulised rahalised kaotused

Kokkuvõte nõuetest, mida tuleb arvestada turvaosaklasside

määramisel • Vastava turvaeesmärgi hindamisskaala• Seadustest ja lepingutest (nt avaliku teabe

seadusest, isikuandmete kaitse seadusest jne) tulenevad nõuded

• Põhitegevuse (või äritegevuse) protsessidest tulenevad nõuded (nt nõuded käideldavusele)

• Tagajärgede kaalukusest tulenevad nõuded.• Kui eelnevalt nimetatud nõuded määravad

erinevad tasemed, siis tuleb turvaosaklassi määramisel lähtuda kõrgeimast tasemest

Näide: turvaosaklassi määramine

TerviklusT

KäideldavusK

KonfidentsiaalsusS

TerviklusKäideldavus KonfidentsiaalsusTase

seadustest/lepingutest Põhitegevuse

nõudedTagajärgede

kaalukusPõhitegevuse

nõudedTagajärgede

kaalukusPõhitegevuse

nõudedTagajärgede

kaalukus

Tase „0"

Tase „1"

Tase „2"

Tase „3"

Tase „0"

Tase „1"

Tase „2"

Tase „3"

Tase „0"

Tase „1"

Tase „2"

Tase „3"

Tase „0"

Tase „1"

Tase „2"

Tase „3"

Tase seadustest/lepingutest

Tase seadustest/lepingutest

Turvaosaklassid/nõuded

Turvaklassi määramine

• Andmete turvaklass on kolme turvaosaklassi konkreetne kombinatsioon. Nende kõikvõimalike kombinatsioonide arv on 444, seega on erinevaid turvaklasse 64

• Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, nt K2T3S1

• Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel

• Ühe andmekogu eri andmeliikidel võib olla erinev turvaklass

Turbeastme määramine ja tsoneerimine

Turbeastme määramine turvaklassi järgi

• Tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1

• Reeglid?

Tsoneerimine

• Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil

• Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks

• Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne

• Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste

Turbeaste – näited

• Raamatupidamissüsteem?

• Personalisüsteem?

• Meilisüsteem?

• Register Y?

BSI / ISKE tüüpmoodulid ja

nende valik

Moodulid

• Moodulirühmad – läbivaatus, lühiiseloomustus

• Tüüpmoodulid

• Infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B

• Vaadata läbi

– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?

Tüüpmoodulid ja moodulite grupid 1

• BSI / ISKE tüüpmoodulid kirjeldavad infovarade liike, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel

• Ohtude loetelus on toodud konkreetse tüüpmooduli puhul avastatud ohud. Ohtude loetelu võimaldab kontrollida tegelikku turvaolukorda

• Turvameetmete loetelus on toodud konkreetse tüüpmooduli jaoks rakendatavad turvameetmed: L, M, z, H

Tüüpmoodulid ja moodulite grupid 2

• Kõrgem (H) turbeaste saadakse keskmise (M) turbeastme turvameetmele (H) astme meetmete lisamise teel

• H turvameetmed jagunevad kohustuslikeks (HG) ja tingimuslikeks turvameetmeteks

• Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.

• Keskmise ja kõrgema turbeastme puhul on turvameetmeid soovitatav rakendada astmete haaval: näiteks kõrgeima turbeastme puhul saavutada kõigepealt aste L, siis aste M ja seejärel aste H

Moodulite valik

• Igas tsoonis leitakse BSI / ISKE tüüpmoodulite kataloogist infovaradele vastavate tüüpmoodulite tähised ning märgitakse need infovarade spetsifikatsiooni tabelisse

• Ühele infovarale võib vastata mitu tüüpmoodulit: nt Unix server => B 3.102 (Server Unixi all) + 3.101 (Server) + …

• Seni spetsifitseerimata varad => tüüpmoodulid, nt töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldusprotsess B1. Kogu tüüpmoodulite rühmale B1 tuleb määrata kõrgeim teistele varadele määratud turbeaste

• Näide: kui andmekogu turvaklass on K1T2S3 ning teiste varade turvaklass on väiksem, tuleb ka tüüpmoodulite rühma B1 puhul lähtuda turvaklassist K1T2S3

ISKE rakendami

ne - võimalusi

ISKE rakendamine - loogiliselt

• Tekita meeskond, tutvusta, motiveeri (sh juhtkonda) • Saa ülevaade sellest, millele ISKEt rakendada• Hinda turvaklasse ja turbeastmeid, moodusta tsoonid

(vajadusel)• Vali moodulid -> meetmed• Planeeri rakendamine: haldusmoodul, muud moodulid

– Pane prioriteedid– Hinda ressursse– Jaga rakendajate vahel

• Rakenda• Kontrolli ohte, hinda riske, täienda kui vaja• Kanna tulemused RIHAsse, auditeeri jne• Pidev tegevus! Mitte ühekordne

ISKE rakendamine – parim variant (?)

1. Tekita meeskond, tutvusta, motiveeri (sh juhtkonda)

2. Leia kõige suurem infoturbe alane probleem, mille üle muretsed ise ja teised (sh juhtkond)

3. Otsi ISKEst vastust

4. Rakenda ISKE selles valdkonnas

5. Hoolitse, et lahendus kestaks – dokumenteeri valikud / protseduurid jne

6. Reklaami tulemust

7. Kanna tulemused RIHAsse, vajadusel auditeeri jne

8. Mine tagasi punktile 1

Turvameetmete rakendamine

Rakendamise tegevusi

• Plaani koostamine rakendamiseks

• Meetmete rakendamine (rakendamise prioriteedid; vastutajad, teostusplaan)

• Kulude ja maksumuse hindamine

Turbehalduse meetmete ja turbe rakendamise plaani koostamine

• Turbehalduse meetmete rakendamine iseenesest ei eelda erilisi otseseid rahalisi kulutusi, siiski võivad tööjõukulud olla üsna suured

• ISKE juurutamine tervikuna võib olla nii aja-, raha- ja töömahukas => tuleks ette planeerida

• Plaan infoturbe halduse (moodul B1.0) meetmete rakendamiseks

• Seejärel muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaan, arvestades– Meetmete planeerimine– Maksumuse ning ajalise kestvuse prognoosid– Rakendamise prioriteedid, vastutajad ja

teostusplaan

Meetmed

• Turbeastmetes L ja M on kokku 1074 turvameedet, jagatud 7 rühma

• Turbeastmes H on kokku 153 turvameedet, jagatud 4 rühma

• Vaadata läbi

– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?

Turbehalduse meetmete loetelu koostamine

• Turbehaldus on ülejäänud tegevuste aluseks• Infoturbe spetsialist koostab kõrgeimast

määratud turbeastmest lähtudes turbehalduse meetmete loetelu, leides need meetmed mooduli B1.0 turvaspetsifikatsiooni põhjal

• Näiteks, turvaklassi K3T2S1 puhul valitakse mooduli B1.0 L- ja M-taseme meetmed, kuna HG- ja HK-meetmeid moodulis ei ole

• Valitud meetmetest kaks (M2.338z ja M2.339z) on tingimuslikud, neid võib rakendada sõltuvalt konkreetsetest tingimustest ja vajadustest

Meetmed - küsimusi

• Kuidas teha?

– Kas piisab ISKE-st (kas ISKE peaks olema ainus algallikas infoturbe probleemide lahendamiseks? Või on ta pigem kontrollnimistu?)

– Kust saada lisainfot?

• Kuidas otsustada, kas meede on rakendatud?

• Näited

Esimene rakendatav moodul - B1.0 Infoturbe haldus

Ohud

• G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne)

• G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu)

• G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb)

• G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu

B1.0 Meetmed L

• M2.192 Infoturbe poliitika koostamine• M2.335 Infoturbe eesmärkide ja strateegia

kehtestamine• M2.193 Infoturbe sobiva organisatsioonilise

struktuuri rajamine• M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni

koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste

jälgimine ja neile reageerimine,..)• M2.200 Infoturbe aruanded juhtkonnale• M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine

Näide: Infoturbe poliitika jt

• http://www.riso.ee/et/soovitused/tinfoturbpol.htm

• Tegevused infoturbe poliitika koostamisel

• Koostamine ja haldamine

• Infoturbe dokumentatsioon

• Infoturbe poliitika lühivariant

• Pikem variant

M2.195 Infoturbe kontseptsiooni koostamine

1. Vajaliku turbetaseme määramine

2. Praegune infoturbe olukord

3. Etalonmeetmete valimine

4. Riskianalüüs ja vajadusel lisameetmete valimine

5. Kõigi meetmete ühendamine ja koostoime hindamine

6. Turbekulude hindamine ja plaanimine

7. Jääkriski hindamine ja kinnitamine

M2.197 Infoturbe alase koolituse kontseptsiooni koostamine

Kõigile IT kasutajaile:• IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid• organisatsiooni infoturbe poliitika ja sellest iseendale

tulenev• turberollid ja teatamiskanalid organisatsioonis• kuidas anda oma panus infoturbesse• kuidas ära tunda turvaintsidenti ja kuidas sellest teatada• kuidas saada teadmisi ja teavet infoturbe alal

Lisateemasid sihtgruppidele:• turvaline elektrooniline suhtlus• konkreetsete IT-süsteemide ja rakenduste turvaaspektid• turvaline tarkvaraarendus• infoturbe kontseptsioonide koostamine ja auditeerimine

M2.201 Infoturbe protsessi dokumenteerimine -

miinimumdokumentatsioon• infoturbe poliitika, • infovarade spetsifikatsioonid ja plaanid• infoturbe kontseptsioon• turvameetmete evituse plaanid• IT-vahendite õige ja turvalise kasutamise

protseduurid• läbivaatuste dokumentatsioon (kontroll-loetelud,

küsitlusmärkmed jms)• infoturbepersonali koosolekute protokollid ja

otsused• infoturbe aruanded juhtkonnale• infoturbekoolituse plaanid• aruanded turvaintsidentide kohta

B1.0 Meetmed M

Aste M: lisada astme L meetmetele

• M2.336 Koguvastutus infoturbe eest juhtkonna tasemel *

• M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse *

• M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne)

• M2.339z Ressursside ökonoomne kasutamine infoturbeks

• M2.380 Erandite kooskõlastamine

B1.0 Meetmed H, HK, HT

Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele

Kohustuslikud üldmeetmed (HG) -

Teabe käideldavus (K), meetmed HK -

Teabe terviklus (T), meetmed HT• HT.11 Infoturbe aruanded juhtkonnale• HT.22 Kohustuslik turvaaudit• HT.23 Modifikatsioonide eelnev

turvajuhi poolne kinnitamine • HT.29 Esemepõhine või kombineeritud

autentimine

B1.0 Meetmed HS

Teabe konfidentsiaalsus (S) , meetmed HS

• HS.15 Turvaauditi kohustus (kord aastas)*

• HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine

• HS.20 Esemepõhine või kombineeritud autentimine

Prioriteedid, vastutajad ja teostusplaan

• Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul

• Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest

• Meetmete rakendamise teostusplaan: meetmete rakendamise ajakava, teostajad, tähtajad, ressursid ja hindamise põhimõtted

Rakendamise prioriteedid

• Infoturbe halduse moodul

• “Kust king pigistab”, reaalne

• Annab kasuliku tulemuse, nõuab vähe ressursse

• Annab kasuliku tulemuse, pädevus / realiseerija / valmidus olemas

Reaal-ne

Raske

Oluline +++ ++

Vähem-oluline

+

Meetmete rakendamine

• Rahad: planeerida järgmiste aastate eelarvetesse

• Kaasata erinevaid osapooli (töökorraldus / infra)• Plaani täitmise korraldus: turvameetmete

loetelud, turbehaldus, töötajate kaasamine, juhtkonna informeerimine

• Pidev protsess, kuna muutuvad nii IT keskkond, turvaohud ja –meetmed kui ka ISKE rakendusjuhend ise

• Muudatuste puhul tuleb uuesti kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajadusel rakendada vajalikke turvameetmeid + pärast ISKE rakendusjuhendi uuendamist

ISKE rakendamise finantseerimine

• Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse

• Saab igal juhul ära teha ning nendest tuleks alustada

• ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse

• Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti

Investeeringute arvutamine meetmete loetelu põhjal

• Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks

• Kulud infoturbe koolitusele

• Kulud lepingulisele tööjõule ja audititele

• Kulud infoturbe personali suurendamisele

• Jooksvad kulud infoturbele

Infoturbe investeeringute arvutamine riskianalüüsi põhjal

Riskipõhine investeeringute arvutamine (näide):• Hinnata infoturbe intsidentide aasta jooksul

oodatavad tõenäosused ning maksumused• Näiteks, olgu eduka ründe tõenäosus

hallatavale registrile aasta jooksul 5%; kahjud 1,000,000. Selle riski aastane maksumus 1,000,000* 5%= 50,000

• Hinnata niimoodi kõikide riskide maksumused ning liita need kokku

• Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne)

Infoturbe investeeringute arvutamine ja põhjendamine: muud

meetodid Eelmised: raske hinnata parameetrite väärtusi. Veel:• Hinnatakse oma valdkonna edukate ettevõtete

kulutusi infoturbele ning püütakse jälgida sama proportsiooni

• Plaanitakse infoturbe nõuded ja meetmed projektidesse, hooldusse jne => väheneb eraldi spetsiaalselt infoturbe investeeringute osakaal

Investeeringute põhjendamisel - sama loogika kui arvutamisel

• Tuua välja ohud, riskid ja nende maksumused (sealhulgas riskid asutuse ellujäämisele, kui need on olemas)

• Tuua välja investeeringute arvutamise metoodika ja kasutada seda põhjendamisel

Näide: ISKE pilootprojekt

maavalitsuses

Ülevaade pilootprojektist

• http://www.ria.ee/26501

• 20 andmekogu + turvaklassid ja turbeastmed

– Mitu L, M, H?• IT-varade inventuur ja turbeastmed

• Moodulid ja meetmed

• Rakendamise plaan

• Dokumentatsioon

• Tagasiside ISKE kohta

Kontroll, täiendav riskianalüüs,

auditeerimine ja sertifitseerimine

Ülevaade ISKE rakendamise kontrollist ja hindamisest

• Otsese rakendaja poolt läbi viidav kontroll

• Infoturbe koordinaatori või spetsialisti poolt läbi viidav spetsifitseeritud meetmete kontroll

• Infoturbe koordinaatori või spetsialisti poolt läbi viidav täiendav riskianalüüs ja lisameetmete rakendamine vajadusel

• Üldine asutuse väline ISKE rakendamise audit

• Mitmesugused eriotstarbelised sise- ja välisauditid

• Kolmanda osapoole poolt läbi viidav asutuse sertifitseerimine

Otsese rakendaja poolt läbi viidav kontroll

• Rakendajad: nt süsteemiadministraatorid, kasutajad

• Rakendaja poolne kontroll: mitmesugused tegevused.

• Näide: tüüptarkvara testimine (sealhulgas infoturbe osas)

– Testimiskeskkonna ja testitava tarkvara seadistamine ning kontroll

– Funktsionaalsete nõuete testid– Mittefunktsionaalsete nõuete testid– Turvanõuete testid

Meetmete rakendamise kontroll ja täiendav riskianalüüs

• Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras

• Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid

Näide: rakendamise kontroll

• Rakendatud:

– B3.101 Server

– B5.4 Veebiserver

• Täiendav oht (?):

– DDoS rünne (Distributed Denial of Service attack, hajutatud teenusetõkestamise rünne)

• Täiendavad meetmed, näide:

– Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt

Audit ja sertifitseerimine

Audit ISKE rakendamisprotsessis

• Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida

• Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool

• Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid:– Rakendamise üldine audit– Mitmesugused eriotstarbelised auditid, mida

nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid)

– Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit

ISKE rakendamise üldise auditi põhimõtted

• Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul

• Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA sertifikaati.

• Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust

• Audiitor peab olema auditeeritavast sõltumatu• Ühe kuu jooksul pärast auditi teostamist edastab

andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu

VV määrus

• § 91. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel

• (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd:1) kontrollida teostatud infovarade inventuuri vastavust nõuetele;2) kontrollida turvaklasside ja turbeastmete määramist;3) kontrollida rakendamisele kuuluvate turvameetmete valimist;4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist.

Millal audit?

• Olulised asjad rakendatud

• Kui tähtajad nõuavad: rakendatud või reaalne plaan olemas

• Ettevalmistused: ISKE rakendamine on dokumenteeritud ja jälgitav

Rakendamistööriistad ja muud abimaterjalid

Töölehed, konfiguratsioonihalduse jm süsteemid

Ka olemasolevad süsteemid

• Asutuse ajakohastatud ülevaade IT varadest - alusmaterjal ISKE rakendamisel. Iga vara juurde tuleb lisada turvaklassi, turbeastme tüüpmoodulite tähiste jm vajalikud lahtrid, mida täidetakse ISKE rakendamise käigus.

• ISKE moodulite MS Excel vormingus esitatud kirjelduse põhjal võib välja valida moodulitele vastavad meetmed (http://www.ria.ee/27220)

• Tööleht: lisades orienteeruva maksumuse, kestvuse, vastutajate jm andmed, on võimalik lihtsustada ISKE rakendamise haldamist

ISKE töövahend portaalis “eesti.ee”

Portaalis “eesti.ee” saab kasutada ISKE töövahendit:• Turvameetmete loetelu väljastamine valitud

turbeastme ja moodulite põhjal• Meetmete otsing nimetuse, identifikaatori vms

põhjal• Ohtude otsing nimetuse, identifikaatori vms põhjal• Mooduli otsing nimetuse, identifikaatori vms põhjal• Turbeastme määramine turvaklassi põhjal• Meetmete otsing etteantud mooduli põhjal• Ohtude otsing etteantud mooduli põhjal

BSI töövahend GSTOOL

• Infovarade inventuur ja spetsifitseerimine

• Andmekogude ja infovarade turvaklasside ja turbeastmete määramine

• Turvameetmete rakendamise plaani koostamine

• Meetmete rakendamise jälgimine ja ülevaadete saamine

• Meetmete rakendamise maksumuse koondhinnangute saamine

• Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine

• Turvameetmete rakendamise versioonihaldus

• 30-päevaseks testperioodiks BSI veebilehelt

Kokkuvõte

ISKE rakendamine - kokkuvõtteks

• Lähtuda asutuse vajadustest

• Leida “iva”, ratsionaalne sisu, ja kasutada see ära

• Rakendada loovalt, lihtsustada kus võimalik

• Ignoreerida ebavajalikku või segast

• Peaks saama ära teha B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 (sõltub vähe rahalistest ressurssidest) – peale koolituspäeva ka esialgsed oskused

• Võimalusel saata tagasisidet probleemide ja ebatäpsuste kohta (iske@ria.ee)

Koolituse kokkuvõte ja tagasiside

• Kas algsed küsimused said selgemaks?

• Millest oli kasu?

– Arusaamine ISKE-st

– Rakendamine asutuses

– Rakendamise probleemide lahendamine

• Mida võiks teha teisiti?

 

Täname!

Koolitus toimus Euroopa Liidu struktuurifondide programmi “Infoühiskonna teadlikkuse tõstmine” raames, mida rahastab Euroopa Regionaalarengu Fond