Upload
egil
View
59
Download
0
Embed Size (px)
DESCRIPTION
Tallinnas, 02.07.2009 Jaak Tepandi. ISKE rakendamine praktikas. Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”. Koolitusprojekti meeskond. Tellija: Korraldaja: Koolitaja: Koolitaja:. Põhilised teemad. - PowerPoint PPT Presentation
Citation preview
Tallinnas, 02.07.2009
Jaak Tepandi
Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”
ISKE rakendamine praktikas
Koolitusprojekti meeskond
• Tellija:
• Korraldaja:
• Koolitaja:
• Koolitaja:
Põhilised teemad
• Sissejuhatus, ISKE rakendajad ja tähtajad, osalejate tutvustamine
• Ülevaade etalonturbe kontseptsioonist • Infovarade inventuur ja spetsifitseerimine• Turvaosaklasside ja turvaklasside määramine• Turbeastme määramine ja tsoneerimine• BSI/ISKE tüüpmoodulid ja nende valik• Turvameetmete rakendamine: plaan,
prioriteedid, vastutajad, kulud, maksumus• Kontroll, täiendav riskianalüüs, auditeerimine
ja sertifitseerimine • Rakendamistööriistad ja muud abimaterjalid• + Arutelud, küsimused, näited
Ajakava (orienteeruv)
9:00-10:30. ISKE rakendajad, tähtajad, ülevaade etalonturbest
10:45-12:15. Infovarad, turvaklassid, turbeastmed, tüüpmoodulid, tsoneerimine
13:00 – 14:30. Turvameetmete rakendamine
14:45-16:15. Rakendamine (jätkub), kontroll, auditeerimine, rakendamistööriistad, kokkuvõte
(Arutelud, küsimused, näited võivad muuta)
Tunnistades karme fakte …
• Riigi suur (suurim?) vara on info• Õnnetused, eksimused, hooletus, küberründed
on tegelikkus• Infoturbe tagamine on töömahukas, kulukas ja
kasutajatele ebamugav• Infoturve on “salakaval”: tuleb tõkestada kõik
teed, tehnoloogiast ei piisa: organisatsioon, infrastruktuur, protseduurid, tehnilised meetmed
• Avaliku teabe seadus: hiljemalt 1. juuliks 2008• “Tunnista karme fakte, kuid ära kunagi kaota
lootust”Jim Collins /Jim Stockdale
ISKE - infosüsteemide kolmeastmelise etalonturbe süsteem.
Milleks? “Rakendame ISKEt,
sest X kuupäevaks tuleb rakendada”?
“Soovime piisava turvalisusega süsteeme, ISKE on selleks kasulik abivahend”?
CorelTM
Tänased eesmärgid, …• Osalejatel on ülevaade ISKE-st ja rakendusjuhendi
kasutamisest ( -> kasutame juhendit ka koolituse käigus!)
• Osalejatel on arusaamine, kas ja kuidas hakata oma asutuses ISKE-t rakendama + algoskused, et rakendada B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 ulatuses (sõltub vähe rahalistest ressurssidest)
• Osalejatel on teadmine põhilistest probleemidest ISKE rakendamisel ja sellest, kuidas nende probleemidega tegeleda
• Kontaktid ja koostöö teistega• … iga teema puhul arvestame neid küsimusi
…, mitte- eesmärgid ja eeldused
• Mitte-eesmärgid
– Infoturbe koolitus (veidi alguses)
– Detailne ISKE / BSI moodulite – ohtude – meetmete tutvustus
• Eeldused
– Vajadus ISKE-st aru saada ja seda rakendada
– Hakkame üsna algusest (kui ISKE on hästi teada, võib olla palju tuttavaid asju – võimalus aktiivselt osaleda)
ISKE rakendajad ja meie
ISKE rakendamise koordinaator
• ISKE rakendamine - kogu asutust läbiv programm / tegevuste kogum
• ISKE koordinaator - ISKE rakendamise eest vastutav isik
• Ei pea olema infoturbe eest vastutav isik (aga võib seda olla) ega ei pea ka tingimata olema isik IT osakonnast
• Pigem projektijuhi tüüpi, kes koordineerib ja korraldab ISKE rakendamist, kutsub kokku koosolekuid, jälgib ja kontrollib rakendamisplaani täitmist jne
• Soovitav hea side asutuse juhtkonna ning erinevate osakondadega
Andmete omanik
• Andmete omanik on isik, kes vastutab andmete eest terve elutsükli jooksul. Juhendi mõistes „omanik“ ei tähenda tegelikku omandiõigust varade suhtes
• Andmete omanik delegeerib üldjuhul andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale - haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele
• IT osakond võib omakorda delegeerida mõningaid haldamise ja administreerimise aspekte edasi
• Osapool, kellele niimoodi funktsioone delegeeriti, vastutab oma ülesannete täitmise eest, kuid ei muutu käesoleva juhendi mõistes andmete omanikuks
ISKE rakendamise rollid
Mõningaid rolle võib täita üks ja sama inimene:• ISKE koordinaator asutuses • Infoturbe spetsialist• Asutuse IT eest vastutaja• Andmete omanik• Juhtkonna esindaja• ISKE juurutaja (näiteks asutuste struktuuriüksuste
esindaja)• ISKE administraator asutuses (kasutajate
haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)
Osalejate tutvustamine
• Nimi, asutus (,roll ISKE juurutamisel)
• (Hinnang ISKE rakendamisele asutuses (nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) )
• (Küsimus / probleem, millele tahaks koolituselt vastust leida)
ISKE rakendusala ja tähtajad
ISKE rakendusala 1
• Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 "Infosüsteemide turvameetmete süsteem" - Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.
• Avaliku teabe seadus § 431. Andmekogu. (1) Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. (2) Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.
Rakendus-/reguleerimisala 2
• § 432. Riigi infosüsteem. (1) Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.
• § 439. Riigi infosüsteemi kindlustavad süsteemid. (1) Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid:1) klassifikaatorite süsteem;2) geodeetiline süsteem;3) aadressiandmete süsteem;4) infosüsteemide turvameetmete süsteem;5) infosüsteemide andmevahetuskiht;6) riigi infosüsteemi haldussüsteem.
Riigi infosüsteemi kindlustavad süsteemid
• (3) Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Käesoleva seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2, 4 ja 6 nimetatud kindlustavad süsteemid.
• Avaliku teabe seadus (alates 01.01.2008) - § 433. Andmekogu asutamine. (4) Ainult organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks peetavat ja riigi infosüsteemi mittekuuluvat andmekogu ei pea käesoleva paragrahvi lõikes 3 sätestatud korras kooskõlastama.
AvTS rakendamine
• § 581. Seaduse 51. peatüki rakendamine
• (1) Andmekogude seadusega kooskõlas asutatud riiklike registrite pidamise põhimäärused ja nende alusel peetavad andmekogud ning muud riigi ja kohalike omavalitsuste andmekogud viiakse käesoleva seadusega kooskõlla kuue kuu jooksul andmekogude seaduse kehtetuks tunnistamisest (muutus kehtetuks 01.01.2008) arvates.
Järeldusi: ISKE tähtajad
• Andmekogudele AvTS mõttes – 01.07.2008, nt:– meilisüsteemis (nt MS Exchange) olevad andmed – personaliarvestuse süsteemis olevad andmed – finantsarvestuse süsteemis olevad andmed
• VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel – (1) Andmekogu vastutav töötleja, kelle andmekogu
kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.
– (2) ... «M»… 1. detsembriks 2010. a. – (3) … «L»… 1. märtsiks 2011. a.
Rakendusala – probleeme
• Osadel asutustel, näiteks kohaliku omavalitsuse asutustel, ei ole üldse või peaaegu üldse oma andmekogusid, nad pigem kasutavad riigi andmekogude andmeid (teenuseid)?
• Suure andmekogu puhul, millel on palju kasutajaid, kes ka andmeid uuendavad, ei ole vastutuse jaotus ISKE rakendamisel selge?
Ülevaade etalonturbe
kontseptsioonist
Infoturbe põhimõisteid
• Vara: miski, millel on organisatsiooni jaoks väärtus
• Oht: süsteemi või organsatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus
• Nõrkus: vara või vararühma nõrk koht, mida saab ära kasutada oht
• Risk: võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse
• Turvameede: riski kahandav teoviis, protseduur või mehhanism
• Jääkrisk: risk, mis säilib pärast turvameetmete teostamist
Riskianalüüs ja -haldus
• Riskianalüüs: turvariskide tuvastuse, nende suuruse määramise ja turvameetmeid vajavate alade tuvastuse protsess
• Riskihaldus: infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna
Näide: Riskide hindamine
• Vara: maja. Tõsine tulekahju maksab 2,000,000
• Oht: tulekahju. Tõenäosus on 1% aastas
• Nõrkused: puumaja, kindlustamata, piksevarras puudub
• Tulekahju riski aastane maksumus?
• Mõistlik kulutus turbele selle riski osas?
• Meetmed?
• Jääkrisk?
• … analoogiliselt ka infoturbega (üldiselt)
(Info)turbe tase ja maksumus
Infoturbe tase
Mak-sumus
Intsidendid Infoturve
Kokku
0 100
Etalonturbe ideed (1)
• Infoturbe aluseks on riskianalüüs …
• … mis on täismahus väga töömahukas
• -> ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem
Etalonturbe ideed (2)
• EVS-ISO/IEC TR 13335 2: Organisatsiooni riskianalüüsi etalonturbe metoodikate ülevaade– Etalonkaitse dokumendid ja korrakoodeksid soovitavad
tüüpseid turvameetmestikke– Eelised. Jääb ära detailse riskianalüüsi ressursitarve ning
turvameetmete valimisele kulub vähem aega ja vaeva. Harilikult ei vaja etalonmeetmete väljaselgitamine märkimisväärseid ressursse …. Samu või sarnaseid etalonmeetmeid saab suuremate pingutusteta kohandada paljudele süsteemidele > võivad pakkuda ökonoomset lahendust
– Puudused: Kui etalontase on seatud liiga kõrgele, võivad etalonmeetmed mõnedele süsteemidele olla liiga kallid või kitsendavad. Kui etalontase on liiga madal, võib turve mõnedele süsteemidele olla piisamatu … Raskusi võib tekkida turvet puudutavate muutuste haldusega. Näiteks on süsteemi moderniseerimisel võib-olla raske hinnata, kas esialgsed etalonmeetmed on üha piisavad
Etalonturbe maksumus
Infoturbe tase
Mak-sumus
Intsidendid Infoturve
Kokku
0 100Madal KõrgeKeskmine
ISKE ülevaade
Allikad ja turbeastmed
• ISKE põhineb Saksamaa Infoturbeameti (Bundesamt für Sicherheit in der Informationstechnik, BSI) poolt publitseeritaval IT etalonturbe käsiraamatul (IT Grundschutzhandbuch’il)
• Täiendatakse regulaarselt kord aastas• Lisateave BSI käsiraamatust• Tavaliselt on asutuses kasutusel turvanõuete taseme
poolest üksteisest erinevaid süsteeme - rakendada vastavalt erineva tugevusega turvameetmestikke
• ISKE pakub kolme turbeastet: madalat (L), keskmist (M) ja kõrget (H). Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele
Etalonturbe ja ISKE rakendusala
• Etalonturve - kõikjal, kus on tegemist ühelaadiliste infoturbe nõuetega või infosüsteemi komponentidega
• ISKE:
– Andmekogude pidamisel kasutatavate infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks
– Rakendatav ka muudes organisatsioonides– Ei ole mõeldud riigisaladust käitlevate
infosüsteemide turbeks
ISKE struktuur
• Rakendamise juhend , vt jaotis 1.5• Infovarade spetsifitseerimise ja turvaanalüüsi juhised ,
vt jaotis 2.1, 2.2• Etaloninstrumendid:
– turvaklasside määramise 4-tasemeline skaala, vt jaotis 2.3
– tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1
– (mõisted ja lühendid, jaotis 4)– infovarade tüüpmoodulite turvaspetsifikatsioonide
kataloog B, vt jaotis 5– ohtude kataloog G, vt jaotis 6– turvameetmete kataloog, vt jaotis 7
ISKE ja selle alusmaterjalid
• Rakendusjuhend - http://www.ria.ee/27220 • ISKE KKK - http://www.ria.ee/28416 • Pilootprojekt – http://www.ria.ee/26501 • Ingliskeelne juhend IT Baseline Protection
Manual: http://www.bsi.de/english/gshb/index.htm • Saksakeelne juhend IT-Grundschutzhandbuch:
http://www.bsi.de/gshb/downloads/index.htm • Soovitused -
http://www.riso.ee/et/infopoliitika/soovitused • Seadused, määrused, standardid
ISKE rakendamine kui projekt: tegevused, inimesed, raha, aeg
Ülevaade ISKE rakendamisest
1. Infovarade inventuur ja spetsifitseerimine
2. Andmekogude turvaklasside määramine
3. Muude infovarade turvaklasside määramine
4. Turvaklassiga infovarade turbeastme määramine
5. Tsoonide vajaduse analüüs, asutuse tsoneerimine vajadusel
6. Tüüpmoodulite märkimine infovarade spetsifikatsioonidesse
7. Turbehalduse meetmete loetelu koostamine
8. Turvameetmete rakendamise plaani koostamine
9. Turvameetmete rakendamine
10. Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine
Tööd ja rollid
• ISKE koordinaator asutuses (kõik tööd)
• Infoturbe spetsialist (töödes 3-10)
• Asutuse IT eest vastutaja (töödes 1, 3, 5, 8)
• Andmete omanik (töös 2)
• Juhtkonna esindaja (töödes 5,8,9)
• ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) - töös 9
• ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine)
Ressursid
• Osa ISKE meetmeid nõuavad põhiliselt rakendaja aega (väljatöötamine, dokumenteerimine) + organisatsioonis rakendamist
• Osa ISKE meetmeid nõuavad põhiliselt raha – kuidas?
– Juhtkonna kaasamine
– Hinnangud
– Prioriteedid
– Ette planeerimine (eelarve)
• (Kumb on lihtsam?)
• Osa nõuavad mõlemaid. Kõik nõuavad rakendamise aega
Aeg
• Tähtajad vt eespool
• Meetmete ajaressurss ja tähtajad
– Juhtkonna kaasamine
– Hinnangud
– Prioriteedid
– Ette planeerimine (töökava)
• Kas ISKE on tähtajaline projekt?
Probleemid kuulajalt
• Suurimad probleemid on seotud inimeste oskuste ja piiratud ressurssidega
• Muudatused võtavad aega
• Puudub sõnastatud ühtne turvapoliitika
• Mida saab anda koolitus?
– Lisateadmised / -oskused rakendamise kohta (= lisa oskused)
– Ideid tööde korraldamiseks (= lisa inimesed)– Prioriteedid (midagi vähemaks / odavamaks /
kiiremaks) • Mida ei saa?
Infovarade inventuur ja
spetsifitseerimine (IT struktuuri
analüüs)
Varad ja infovarad
• Vara - objekt, mis omab organisatsiooni jaoks väärtust: andmed, tarkvara, arvutitöökoht, arvutivõrk, server, inimene, ruum, immateriaalne vara (nt. maineväärtus) jmt
• Vara eriliik on infovara – IT-süsteemidega seonduv vara: andmed, andmebaasid, rakendustarkvara, süsteemitarkvara, arvutid, serverid, arvutivõrk, marsruuterid, kommutaatorid, andmekandjad jmt
• Infovarasid hoitakse hoonetes, ruumides jne, mis üldjuhul ise ei ole infovarad
IT süsteemide ja rakenduste inventuur
• Ettevalmistav töö - loob lähteandmed infosüsteemide turvaanalüüsiks ja selle dokumenteerimiseks
• Dokumenteeritakse IT-süsteemid, arvutivõrgud, IT-rakendused, andmesideaparatuur, arvutid, ühiskasutatavad välisseadmed, autonoomsed infovarad ja muud asutuse infotööga seonduv
• Iga objekti kohta: identifikaator, nimetus ja tüüp, samuti muud tunnusandmed vastavalt vajadusele (näiteks otstarve, andmete liik, operatsioonisüsteem jne)
• Spetsifikatsioonid peavad sisaldama turvaklassi, turbeastme ja tüüpmoodulite tähiste lahtreid, mis täidetakse hiljem
Inventuuri ja spetsifitseerimise detailsus
• Detailsus sõltub asutuse vajadustest– Detailsuse aste peaks võimaldama ISKE
rakendamist– Ei tohiks tekitada asutusele asjatut aja- ja
töökulu• Võimalusi
– Spetsifitseerida sellise detailsusega, nagu seda on vaja ISKE rakendamiseks – moodulite määramiseks, ISKE rakendamise tööde planeerimiseks ja täitjate kaasamiseks jne
– Spetsifitseerida sellise detailsusega, nagu on vaja IT keskkonna haldamiseks ja/või süsteemide konfiguratsioonihalduseks
Juhtumianalüüs, kuulajate näited
• Näited, ettepanekud?• Näide – asutus X
– Personaliarvestussüsteem– Raamatupidamissüsteem– Dokumendihaldussüsteem– Kodulehe haldussüsteem– Meilisüsteem– Failisüsteem– Rahvastikuregistri klient– Asutus peab registrit Y
• Infoturbe valdkonnad: üldkomponendid / haldus, (IT) infrastruktuur, IT süsteemid, võrgud, IT rakendused / AB
Turvaosaklasside ja turvaklasside
määramine
Turvalisuse näitajad
• Turbemetoodikate aluseks on turvamudelid - 3-6 osaeesmärki
• Levinuim turvamudel põhineb käideldavuse, tervikluse ja konfidentsiaalsuse tagamisel => ISKE
• Andmete käideldavus (K) on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile
• Andmete terviklus (T) on andmete õigsuse / täielikkuse / ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine
• Andmete konfidentsiaalsus (S) on andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele.
Turvaosaklassid
• ISKE põhineb kolmel turvaeesmärgil ja neljapallilisel skaalal
• Lisaks hindamisskaalale rakendatakse lisakriteeriume (seadustest, äriprotsessidest ja tagajärgede kaalukusest tulenevad kriteeriumid)
• Turvaosaklassi tähis: turvaeesmärgi tähis + turvataseme väärtus
• Infosüsteemi turvanõudeid ja andmete väärtust teab kõige paremini andmete omanik => peaks määrama andmete vajaliku turbetaseme– IT või infoturbe spetsialist võib olla nõuandja
rollis– Soovitav lasta asutuse juhtkonnal kinnitada
Käideldavuse hindamisskaala
• K0 – töökindlus – pole oluline; jõudlus – pole oluline
• K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1-10)
• K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1-10)
• K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1-10)
Tervikluse hindamisskaala • T0 – info allikas, muutmise ega hävitamise
tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud
• T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele
• T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid
• T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas
Konfidentsiaalsuse hindamisskaala
• S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega)
• S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
• S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral
Tagajärgede kaalukusest tulenevad nõuded
• R0 – turvaintsidendiga (st info käideldavuse ja/või konfidentsiaalsuse ja/või tervikluse nõuete mittetäitmisega) ei kaasne märkimisväärseid kahjusid
• R1 – kaasnevad vähe olulised kahjud: takistused asutuse funktsiooni täitmisele või märkimisväärsed rahalised kaotused
• R2 - kaasnevad olulised kahjud: oluline takistus asutuse funktsiooni täitmisele, oht inimeste tervisele või keskkonnasaaste oht või olulised rahalised kaotused
• R3 - kaasnevad väga olulised (missioonikriitilised) kahjud: asutuse funktsiooni täitmatajätmine või märkimisväärsed häired riigikorralduses või oht inimelule või keskkonnasaaste või väga olulised rahalised kaotused
Kokkuvõte nõuetest, mida tuleb arvestada turvaosaklasside
määramisel • Vastava turvaeesmärgi hindamisskaala• Seadustest ja lepingutest (nt avaliku teabe
seadusest, isikuandmete kaitse seadusest jne) tulenevad nõuded
• Põhitegevuse (või äritegevuse) protsessidest tulenevad nõuded (nt nõuded käideldavusele)
• Tagajärgede kaalukusest tulenevad nõuded.• Kui eelnevalt nimetatud nõuded määravad
erinevad tasemed, siis tuleb turvaosaklassi määramisel lähtuda kõrgeimast tasemest
Näide: turvaosaklassi määramine
TerviklusT
KäideldavusK
KonfidentsiaalsusS
TerviklusKäideldavus KonfidentsiaalsusTase
seadustest/lepingutest Põhitegevuse
nõudedTagajärgede
kaalukusPõhitegevuse
nõudedTagajärgede
kaalukusPõhitegevuse
nõudedTagajärgede
kaalukus
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase „0"
Tase „1"
Tase „2"
Tase „3"
Tase seadustest/lepingutest
Tase seadustest/lepingutest
Turvaosaklassid/nõuded
Turvaklassi määramine
• Andmete turvaklass on kolme turvaosaklassi konkreetne kombinatsioon. Nende kõikvõimalike kombinatsioonide arv on 444, seega on erinevaid turvaklasse 64
• Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, nt K2T3S1
• Selline tähis on aluseks andmetele ja muudele infovaradele kohustuslike etalonturvameetmete määramisel
• Ühe andmekogu eri andmeliikidel võib olla erinev turvaklass
Turbeastme määramine ja tsoneerimine
Turbeastme määramine turvaklassi järgi
• Tabel nõutava turbeastme (L/M/H) määramiseks turvaklassi järgi, vt jaotis 3.1
• Reeglid?
Tsoneerimine
• Kui kõikidel varadel on ühesugune turbeaste, võib määrata turvameetmed tüüpmoodulite turvaspetsifikatsioonide ja turvameetmete kataloogi abil
• Erinevad turbeastmed: analüüsida tulemust asutuse võrkude skeemi abil ja püüda leida võimalusi asutuse infoturbe otstarbekaks tsoneerimiseks
• Tsoneerimise otstarbekas korraldamine võib nõuda muudatusi süsteemide funktsioonides ja paigutuses, ruumide funktsioonides jne
• Kaitset vajavad ka töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldus ise sõltub nõutavast turbetasemest. Sellistele spetsifitseerimata varadele tuleb määrata kõrgeim eelnevalt määratud turbeaste
Turbeaste – näited
• Raamatupidamissüsteem?
• Personalisüsteem?
• Meilisüsteem?
• Register Y?
BSI / ISKE tüüpmoodulid ja
nende valik
Moodulid
• Moodulirühmad – läbivaatus, lühiiseloomustus
• Tüüpmoodulid
• Infovarade tüüpmoodulite turvaspetsifikatsioonide kataloog B
• Vaadata läbi
– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?
Tüüpmoodulid ja moodulite grupid 1
• BSI / ISKE tüüpmoodulid kirjeldavad infovarade liike, millel on teatud eriomadused ja oma turvaspetsiifika. Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel
• Ohtude loetelus on toodud konkreetse tüüpmooduli puhul avastatud ohud. Ohtude loetelu võimaldab kontrollida tegelikku turvaolukorda
• Turvameetmete loetelus on toodud konkreetse tüüpmooduli jaoks rakendatavad turvameetmed: L, M, z, H
Tüüpmoodulid ja moodulite grupid 2
• Kõrgem (H) turbeaste saadakse keskmise (M) turbeastme turvameetmele (H) astme meetmete lisamise teel
• H turvameetmed jagunevad kohustuslikeks (HG) ja tingimuslikeks turvameetmeteks
• Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.
• Keskmise ja kõrgema turbeastme puhul on turvameetmeid soovitatav rakendada astmete haaval: näiteks kõrgeima turbeastme puhul saavutada kõigepealt aste L, siis aste M ja seejärel aste H
Moodulite valik
• Igas tsoonis leitakse BSI / ISKE tüüpmoodulite kataloogist infovaradele vastavate tüüpmoodulite tähised ning märgitakse need infovarade spetsifikatsiooni tabelisse
• Ühele infovarale võib vastata mitu tüüpmoodulit: nt Unix server => B 3.102 (Server Unixi all) + 3.101 (Server) + …
• Seni spetsifitseerimata varad => tüüpmoodulid, nt töökorraldusprotsessid ja muud organisatsioonilised ressursid, ka infoturbe haldusprotsess B1. Kogu tüüpmoodulite rühmale B1 tuleb määrata kõrgeim teistele varadele määratud turbeaste
• Näide: kui andmekogu turvaklass on K1T2S3 ning teiste varade turvaklass on väiksem, tuleb ka tüüpmoodulite rühma B1 puhul lähtuda turvaklassist K1T2S3
ISKE rakendami
ne - võimalusi
ISKE rakendamine - loogiliselt
• Tekita meeskond, tutvusta, motiveeri (sh juhtkonda) • Saa ülevaade sellest, millele ISKEt rakendada• Hinda turvaklasse ja turbeastmeid, moodusta tsoonid
(vajadusel)• Vali moodulid -> meetmed• Planeeri rakendamine: haldusmoodul, muud moodulid
– Pane prioriteedid– Hinda ressursse– Jaga rakendajate vahel
• Rakenda• Kontrolli ohte, hinda riske, täienda kui vaja• Kanna tulemused RIHAsse, auditeeri jne• Pidev tegevus! Mitte ühekordne
ISKE rakendamine – parim variant (?)
1. Tekita meeskond, tutvusta, motiveeri (sh juhtkonda)
2. Leia kõige suurem infoturbe alane probleem, mille üle muretsed ise ja teised (sh juhtkond)
3. Otsi ISKEst vastust
4. Rakenda ISKE selles valdkonnas
5. Hoolitse, et lahendus kestaks – dokumenteeri valikud / protseduurid jne
6. Reklaami tulemust
7. Kanna tulemused RIHAsse, vajadusel auditeeri jne
8. Mine tagasi punktile 1
Turvameetmete rakendamine
Rakendamise tegevusi
• Plaani koostamine rakendamiseks
• Meetmete rakendamine (rakendamise prioriteedid; vastutajad, teostusplaan)
• Kulude ja maksumuse hindamine
Turbehalduse meetmete ja turbe rakendamise plaani koostamine
• Turbehalduse meetmete rakendamine iseenesest ei eelda erilisi otseseid rahalisi kulutusi, siiski võivad tööjõukulud olla üsna suured
• ISKE juurutamine tervikuna võib olla nii aja-, raha- ja töömahukas => tuleks ette planeerida
• Plaan infoturbe halduse (moodul B1.0) meetmete rakendamiseks
• Seejärel muude infovarade turbe rakendamise prioriteedid ja turbe rakendamise plaan, arvestades– Meetmete planeerimine– Maksumuse ning ajalise kestvuse prognoosid– Rakendamise prioriteedid, vastutajad ja
teostusplaan
Meetmed
• Turbeastmetes L ja M on kokku 1074 turvameedet, jagatud 7 rühma
• Turbeastmes H on kokku 153 turvameedet, jagatud 4 rühma
• Vaadata läbi
– Kus võib tekkida arusaamise probleeme? Kuidas neid võiks lahendada?
Turbehalduse meetmete loetelu koostamine
• Turbehaldus on ülejäänud tegevuste aluseks• Infoturbe spetsialist koostab kõrgeimast
määratud turbeastmest lähtudes turbehalduse meetmete loetelu, leides need meetmed mooduli B1.0 turvaspetsifikatsiooni põhjal
• Näiteks, turvaklassi K3T2S1 puhul valitakse mooduli B1.0 L- ja M-taseme meetmed, kuna HG- ja HK-meetmeid moodulis ei ole
• Valitud meetmetest kaks (M2.338z ja M2.339z) on tingimuslikud, neid võib rakendada sõltuvalt konkreetsetest tingimustest ja vajadustest
Meetmed - küsimusi
• Kuidas teha?
– Kas piisab ISKE-st (kas ISKE peaks olema ainus algallikas infoturbe probleemide lahendamiseks? Või on ta pigem kontrollnimistu?)
– Kust saada lisainfot?
• Kuidas otsustada, kas meede on rakendatud?
• Näited
Esimene rakendatav moodul - B1.0 Infoturbe haldus
Ohud
• G2.66 Infoturbe halduse puudumine või puudulikkus (vastutused, juhtkonna tugi, ressursid jne)
• G2.105 Õigusaktide ja lepingute sätete rikkumine (nt puuduliku turbe tõttu)
• G2.106 Tööprotsesside häiringud infoturbeintsidentide tõttu (nt teenus katkeb)
• G2.107 Ressursside ebaökonoomne kasutamine puuduliku infoturbehalduse tõttu
B1.0 Meetmed L
• M2.192 Infoturbe poliitika koostamine• M2.335 Infoturbe eesmärkide ja strateegia
kehtestamine• M2.193 Infoturbe sobiva organisatsioonilise
struktuuri rajamine• M2.195 Infoturbe kontseptsiooni koostamine • M2.197 Infoturbe alase koolituse kontseptsiooni
koostamine • M2.199 Infoturbe käigushoid (auditid, muutuste
jälgimine ja neile reageerimine,..)• M2.200 Infoturbe aruanded juhtkonnale• M2.201 Infoturbe protsessi dokumenteerimine • M2.340 Õiguslike raamtingimuste järgimine
Näide: Infoturbe poliitika jt
• http://www.riso.ee/et/soovitused/tinfoturbpol.htm
• Tegevused infoturbe poliitika koostamisel
• Koostamine ja haldamine
• Infoturbe dokumentatsioon
• Infoturbe poliitika lühivariant
• Pikem variant
M2.195 Infoturbe kontseptsiooni koostamine
1. Vajaliku turbetaseme määramine
2. Praegune infoturbe olukord
3. Etalonmeetmete valimine
4. Riskianalüüs ja vajadusel lisameetmete valimine
5. Kõigi meetmete ühendamine ja koostoime hindamine
6. Turbekulude hindamine ja plaanimine
7. Jääkriski hindamine ja kinnitamine
M2.197 Infoturbe alase koolituse kontseptsiooni koostamine
Kõigile IT kasutajaile:• IT kasutamise ohud ja riskid • infoturbe põhiterminid ja -parameetrid• organisatsiooni infoturbe poliitika ja sellest iseendale
tulenev• turberollid ja teatamiskanalid organisatsioonis• kuidas anda oma panus infoturbesse• kuidas ära tunda turvaintsidenti ja kuidas sellest teatada• kuidas saada teadmisi ja teavet infoturbe alal
Lisateemasid sihtgruppidele:• turvaline elektrooniline suhtlus• konkreetsete IT-süsteemide ja rakenduste turvaaspektid• turvaline tarkvaraarendus• infoturbe kontseptsioonide koostamine ja auditeerimine
M2.201 Infoturbe protsessi dokumenteerimine -
miinimumdokumentatsioon• infoturbe poliitika, • infovarade spetsifikatsioonid ja plaanid• infoturbe kontseptsioon• turvameetmete evituse plaanid• IT-vahendite õige ja turvalise kasutamise
protseduurid• läbivaatuste dokumentatsioon (kontroll-loetelud,
küsitlusmärkmed jms)• infoturbepersonali koosolekute protokollid ja
otsused• infoturbe aruanded juhtkonnale• infoturbekoolituse plaanid• aruanded turvaintsidentide kohta
B1.0 Meetmed M
Aste M: lisada astme L meetmetele
• M2.336 Koguvastutus infoturbe eest juhtkonna tasemel *
• M2.337 Infoturbe integreerimine üleorganisatsioonilistesse tegevustesse ja protsessidesse *
• M2.338z Sihtrühmakohase infoturbepoliitika koostamine (nt IT-personalile, IT kasutajaile jne)
• M2.339z Ressursside ökonoomne kasutamine infoturbeks
• M2.380 Erandite kooskõlastamine
B1.0 Meetmed H, HK, HT
Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele
Kohustuslikud üldmeetmed (HG) -
Teabe käideldavus (K), meetmed HK -
Teabe terviklus (T), meetmed HT• HT.11 Infoturbe aruanded juhtkonnale• HT.22 Kohustuslik turvaaudit• HT.23 Modifikatsioonide eelnev
turvajuhi poolne kinnitamine • HT.29 Esemepõhine või kombineeritud
autentimine
B1.0 Meetmed HS
Teabe konfidentsiaalsus (S) , meetmed HS
• HS.15 Turvaauditi kohustus (kord aastas)*
• HS.16 Muudatuste eelnev turvajuhi poolne kinnitamine
• HS.20 Esemepõhine või kombineeritud autentimine
Prioriteedid, vastutajad ja teostusplaan
• Rakendamise prioriteedid - kõigepealt olulised ning realistlikud (vähem ressursse nõudvad) tegevused, sh haldusmoodul
• Igale meetmele või meetmete grupile tuleks määrata vastutaja, kes viib läbi ja jälgib meetme rakendamist ning teeb kokkuvõtte tulemustest
• Meetmete rakendamise teostusplaan: meetmete rakendamise ajakava, teostajad, tähtajad, ressursid ja hindamise põhimõtted
Rakendamise prioriteedid
• Infoturbe halduse moodul
• “Kust king pigistab”, reaalne
• Annab kasuliku tulemuse, nõuab vähe ressursse
• Annab kasuliku tulemuse, pädevus / realiseerija / valmidus olemas
Reaal-ne
Raske
Oluline +++ ++
Vähem-oluline
+
Meetmete rakendamine
• Rahad: planeerida järgmiste aastate eelarvetesse
• Kaasata erinevaid osapooli (töökorraldus / infra)• Plaani täitmise korraldus: turvameetmete
loetelud, turbehaldus, töötajate kaasamine, juhtkonna informeerimine
• Pidev protsess, kuna muutuvad nii IT keskkond, turvaohud ja –meetmed kui ka ISKE rakendusjuhend ise
• Muudatuste puhul tuleb uuesti kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajadusel rakendada vajalikke turvameetmeid + pärast ISKE rakendusjuhendi uuendamist
ISKE rakendamise finantseerimine
• Kümnest rakendamise tööst esimesed kaheksa on seotud pigem süsteemide analüüsi ja ISKE rakendamise kavandamisega ning ei nõua eriti suuri rahalisi ressursse
• Saab igal juhul ära teha ning nendest tuleks alustada
• ISKE esmakordsel rakendamisel siiski suhteliselt suuremad ressursid kui hiljem - ette planeerida ning taotleda vajadusel vastavate ressursside eraldamist eelarvesse
• Edasine asutuse IT keskkonna vastavus ISKE metoodikale tuleks tagada hoolduse ja arenduse raamides, planeerides näiteks vastavad vahendid vajadusel igasse algatatavasse projekti
Investeeringute arvutamine meetmete loetelu põhjal
• Kulud tehniliste turvameetmete väljaehituseks, seadmete ja tarkvara soetamiseks
• Kulud infoturbe koolitusele
• Kulud lepingulisele tööjõule ja audititele
• Kulud infoturbe personali suurendamisele
• Jooksvad kulud infoturbele
Infoturbe investeeringute arvutamine riskianalüüsi põhjal
Riskipõhine investeeringute arvutamine (näide):• Hinnata infoturbe intsidentide aasta jooksul
oodatavad tõenäosused ning maksumused• Näiteks, olgu eduka ründe tõenäosus
hallatavale registrile aasta jooksul 5%; kahjud 1,000,000. Selle riski aastane maksumus 1,000,000* 5%= 50,000
• Hinnata niimoodi kõikide riskide maksumused ning liita need kokku
• Saadud summa on aluseks kulutuste infoturbe määramiseks infoturbe meetmetele (sh organisatsioonilised ja tehnoloogilised meetmed, kindlustamine jne)
Infoturbe investeeringute arvutamine ja põhjendamine: muud
meetodid Eelmised: raske hinnata parameetrite väärtusi. Veel:• Hinnatakse oma valdkonna edukate ettevõtete
kulutusi infoturbele ning püütakse jälgida sama proportsiooni
• Plaanitakse infoturbe nõuded ja meetmed projektidesse, hooldusse jne => väheneb eraldi spetsiaalselt infoturbe investeeringute osakaal
Investeeringute põhjendamisel - sama loogika kui arvutamisel
• Tuua välja ohud, riskid ja nende maksumused (sealhulgas riskid asutuse ellujäämisele, kui need on olemas)
• Tuua välja investeeringute arvutamise metoodika ja kasutada seda põhjendamisel
Näide: ISKE pilootprojekt
maavalitsuses
Ülevaade pilootprojektist
• http://www.ria.ee/26501
• 20 andmekogu + turvaklassid ja turbeastmed
– Mitu L, M, H?• IT-varade inventuur ja turbeastmed
• Moodulid ja meetmed
• Rakendamise plaan
• Dokumentatsioon
• Tagasiside ISKE kohta
Kontroll, täiendav riskianalüüs,
auditeerimine ja sertifitseerimine
Ülevaade ISKE rakendamise kontrollist ja hindamisest
• Otsese rakendaja poolt läbi viidav kontroll
• Infoturbe koordinaatori või spetsialisti poolt läbi viidav spetsifitseeritud meetmete kontroll
• Infoturbe koordinaatori või spetsialisti poolt läbi viidav täiendav riskianalüüs ja lisameetmete rakendamine vajadusel
• Üldine asutuse väline ISKE rakendamise audit
• Mitmesugused eriotstarbelised sise- ja välisauditid
• Kolmanda osapoole poolt läbi viidav asutuse sertifitseerimine
Otsese rakendaja poolt läbi viidav kontroll
• Rakendajad: nt süsteemiadministraatorid, kasutajad
• Rakendaja poolne kontroll: mitmesugused tegevused.
• Näide: tüüptarkvara testimine (sealhulgas infoturbe osas)
– Testimiskeskkonna ja testitava tarkvara seadistamine ning kontroll
– Funktsionaalsete nõuete testid– Mittefunktsionaalsete nõuete testid– Turvanõuete testid
Meetmete rakendamise kontroll ja täiendav riskianalüüs
• Infoturbe koordinaator või spetsialist kontrollib pärast iga infovara turvameetmete evitamist vastava tüüpmooduli turvaspetsifikatsiooni ja ohtude kataloogi alusel tegelikku turvaolukorda, arvestades tegelikke ohte konkreetses olukorras
• Kui ilmneb mingeid ohte, mida tüüpmooduli turvaspetsifikatsioon ei arvesta, kontrollib ta rakendatud turvameetmete piisavust tegelikes tingimustes ning rakendab vajaduse korral täiendavaid turvameetmeid
Näide: rakendamise kontroll
• Rakendatud:
– B3.101 Server
– B5.4 Veebiserver
• Täiendav oht (?):
– DDoS rünne (Distributed Denial of Service attack, hajutatud teenusetõkestamise rünne)
• Täiendavad meetmed, näide:
– Varuserveri võimsuse rentimine väljaspool Eestit asuvalt teenusepakkujalt
Audit ja sertifitseerimine
Audit ISKE rakendamisprotsessis
• Asutuse süsteemide ja andmete turvalisus võib olla oluline mitmetele kolmandatele osapooltele, kellel ei ole võimalusi ega volitusi turvalisuse tegelikku olukorda kontrollida
• Seepärast tuleb selline kontroll läbi viia auditi käigus, mida viib läbi sõltumatu osapool
• Auditi läbiviija võib olla asutuse sisene või väline. ISKE rakendamise protsessis on järgmist põhilist liiki auditid:– Rakendamise üldine audit– Mitmesugused eriotstarbelised auditid, mida
nõuavad ISKE rakendamise meetmed (nt WiFI võrgu, auditeerimisprotseduuride jm auditid)
– Vastavalt vajadusele ka andmekaitse ja IT turvalisuse siseaudit
ISKE rakendamise üldise auditi põhimõtted
• Üks kord kahe (turbeastme H puhul), kolme (turbeastme M puhul) või nelja (turbeastme L puhul) aasta jooksul
• Rakendamise auditi viib läbi väline auditeerija. Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat CISA sertifikaati.
• Audiitor on kohustatud säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsust
• Audiitor peab olema auditeeritavast sõltumatu• Ühe kuu jooksul pärast auditi teostamist edastab
andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu
VV määrus
• § 91. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel
• (4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd:1) kontrollida teostatud infovarade inventuuri vastavust nõuetele;2) kontrollida turvaklasside ja turbeastmete määramist;3) kontrollida rakendamisele kuuluvate turvameetmete valimist;4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist.
Millal audit?
• Olulised asjad rakendatud
• Kui tähtajad nõuavad: rakendatud või reaalne plaan olemas
• Ettevalmistused: ISKE rakendamine on dokumenteeritud ja jälgitav
Rakendamistööriistad ja muud abimaterjalid
Töölehed, konfiguratsioonihalduse jm süsteemid
Ka olemasolevad süsteemid
• Asutuse ajakohastatud ülevaade IT varadest - alusmaterjal ISKE rakendamisel. Iga vara juurde tuleb lisada turvaklassi, turbeastme tüüpmoodulite tähiste jm vajalikud lahtrid, mida täidetakse ISKE rakendamise käigus.
• ISKE moodulite MS Excel vormingus esitatud kirjelduse põhjal võib välja valida moodulitele vastavad meetmed (http://www.ria.ee/27220)
• Tööleht: lisades orienteeruva maksumuse, kestvuse, vastutajate jm andmed, on võimalik lihtsustada ISKE rakendamise haldamist
ISKE töövahend portaalis “eesti.ee”
Portaalis “eesti.ee” saab kasutada ISKE töövahendit:• Turvameetmete loetelu väljastamine valitud
turbeastme ja moodulite põhjal• Meetmete otsing nimetuse, identifikaatori vms
põhjal• Ohtude otsing nimetuse, identifikaatori vms põhjal• Mooduli otsing nimetuse, identifikaatori vms põhjal• Turbeastme määramine turvaklassi põhjal• Meetmete otsing etteantud mooduli põhjal• Ohtude otsing etteantud mooduli põhjal
BSI töövahend GSTOOL
• Infovarade inventuur ja spetsifitseerimine
• Andmekogude ja infovarade turvaklasside ja turbeastmete määramine
• Turvameetmete rakendamise plaani koostamine
• Meetmete rakendamise jälgimine ja ülevaadete saamine
• Meetmete rakendamise maksumuse koondhinnangute saamine
• Tegeliku turvaolukorra kontroll, vajadusel täiendavate meetmete rakendamine
• Turvameetmete rakendamise versioonihaldus
• 30-päevaseks testperioodiks BSI veebilehelt
Kokkuvõte
ISKE rakendamine - kokkuvõtteks
• Lähtuda asutuse vajadustest
• Leida “iva”, ratsionaalne sisu, ja kasutada see ära
• Rakendada loovalt, lihtsustada kus võimalik
• Ignoreerida ebavajalikku või segast
• Peaks saama ära teha B1.0 osas juhendi p. 1…10, teiste osas p. 1…8 (sõltub vähe rahalistest ressurssidest) – peale koolituspäeva ka esialgsed oskused
• Võimalusel saata tagasisidet probleemide ja ebatäpsuste kohta ([email protected])
Koolituse kokkuvõte ja tagasiside
• Kas algsed küsimused said selgemaks?
• Millest oli kasu?
– Arusaamine ISKE-st
– Rakendamine asutuses
– Rakendamise probleemide lahendamine
• Mida võiks teha teisiti?
Täname!
Koolitus toimus Euroopa Liidu struktuurifondide programmi “Infoühiskonna teadlikkuse tõstmine” raames, mida rahastab Euroopa Regionaalarengu Fond