Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
1
Riskihaldus, riskianalüüs
➔ mõisted:➔ risk➔ ohud➔ nõrkused➔ turvameetmed➔ varad➔ toime, kahju➔ riskianalüüs
2
OHT TOIMEVARAD
KAHJU
NÕRKUS
RISK
TURVAMEETMED
3
OHT TOIMEVARAD
KAHJU
NÕRKUS
RISK
TURVAMEETMED
4
Riskianalüüs: mõisted
➔ Ohud➔ potensiaalne põhjus➔ juhuslik vs. tahtlik➔ passiivne vs. aktiivne
➔ Nõrkused➔ teevad võimalikuks ohu realiseerumise➔ tehnoloogilised ja organisatsioonilised ohud
5
Riskianalüüs: mõisted
➔ Varad➔ omavad mingit väärtust ettevõtte/klientide jaoks➔ füüsilised➔ mittemateriaalsed➔ rahas hinnatavad➔ rahas mitte hinnatavad
6
Riskianalüüs: mõisted
➔ Turvameetmed➔ füüsilised➔ tehnoloogilised➔ organisatsioonilised➔ ennetavad➔ avastavad➔ taastavad/leevendavad
7
Riskianalüüsi meetodid
➔ mitteformaalsed➔ formaalsed➔ standarditest:
➔ ISO/IEC 13335, ISO/IEC 27001,27002 (17799)➔ raamistikke (+tarkvara)
➔ Eestis on olemas ISKE➔ Saksamaal IT-Grundschutz ➔ CRAMM metoodikad/tarkvara
8
Riskianalüüsi meetodid
➔ kvalitatiivne ➔ sisend: varade väärtused (hinnangud),
ohtude sagedused ➔ väljund: riski/turbeklassid varadele
➔ kvantitatiivne➔ kõik taandatakse ühele (arvulisele) skaalale,
enamasti raha➔ töömahukas, kuid sobivam finantspoolele
9
Riskianalüüsi meetodid
➔ detailne analüüs➔ eelanalüüs
➔ pealiskaudne➔ ettevõtte ja süsteemi eesmärgid➔ süsteemi maksumus➔ süsteemi tähtsus
10
Riskianalüüsi meetodid
➔ eeskujul baseeruv analüüs (etalonturve)➔ detailse analüüsi valmismoodulid➔ sobitatakse antud keskkonda➔ täiendatakse kohati detailse analüüsiga➔ Eestis: ISKE
➔ kogemustel baseeruv analüüs➔ kiireim ja lihtsaim➔ jätab ohte kahe silma vahele
11
Riskianalüüsi läbiviimine
➔ väline riskianalüütik➔ spetsialiseerunud riskianalüüsile➔ näeb “kõrvaltvaataja pilguga”➔ ..on mõnikord ise risk?
➔ sisemine riskihaldur➔ ei pruugi kõike adekvaatselt näha➔ vähene riskianalüüsi kogemus➔ tunneb sisemisi nõrkusi paremini
12
Riskianalüüsi tulemus
➔ ülevaade:➔ varad, nõrkused, ohud, turvameetmed
➔ sobiv tuvameetmete komplekt riskide maandamiseks
➔ katastroofiplaneerimise lähtepunkt➔ katastroofiplaneerimise ja infoturbe eelarve
13
Katastroofiplaneerimine
14
Katastroofiplaneerimine
15
Katastroofiplaneerimine
katastroof:
sündmus, mis takistab oluliselt süsteemi tööd või peatab selle
16
Katastroofiplaneerimine
➔ riistvaratõrked➔ tarkvaratõrked➔ inimeste eksimused➔ toitehäired➔ kliima- ja keskkonnahäired➔ muud õnnetused
17
Riistvaratõrked
➔ välja selgitamine raskem kui parandamine➔ parandamine =~ detaili vahetamine
➔ vajalikud oskused kergesti omandatavad➔ varuriistvara➔ doonorsüsteemid➔ hoolduslepingud ja garantii➔ virtualiseerimine
18
Varuriistvara
➔ mida varuda?➔ kui palju varuda?
➔ kui kaua tohib süsteem seista?➔ millisel hulgal vastavaid komponente süsteemides
kasutatakse?➔ kui sageli komponendid tõrguvad?➔ kas on oskused vastavateks parandustöödeks?➔ kui palju on varuseadmete jaoks raha?➔ kas samu varukomponente saab ka mujal kasutada?
19
Riistvaratõrked
➔ vähemtähtsam süsteem doonorina➔ madalama prioriteediga süsteem➔ testsüsteem
➔ virtualiseerimine➔ ideaalis seob süsteemi konkreetsest riistvarast
lahti➔ hoolduslepingud
➔ delegeerime varude pidamise hooldajale
20
Tarkvaratõrked
➔ riistvaratõrgetest sagedasemad➔ operatsioonisüsteemi tõrked➔ rakendustarkvara tõrked➔ tõrked ühilduvuses
21
Operatsioonisüsteemi tõrked
➔ mõjutab kõike arvutis toimuvat➔ mõjutab riistvara toimimist➔ vead seadistuses➔ tarkvaravead➔ vigu keeruline lahendada
➔ aitab tootja parandus➔ vahel tuleb leida ajutised seaded, mis probleemi
leevendavad
22
Rakendustarkvara tõrked
➔ mõjutab alamosa kogufunktsionaalsusest➔ vead seadistuses, tarkvaravead➔ lahendused:
➔ tootja parandus➔ ümberseadistamine➔ osast funktsionaalsusest loobumine➔ oma parandused
23
Ruumid
➔ suur tolmusisaldus: ülekuumenemine, laagrite riknemine➔ vältida katmata betoonpindu➔ vältida vaipu, seinakatteid, liigset asjade
ladustamist➔ regulaarne puhastamine
24
Ruumid
➔ kehv (või liiga lihtne) ligipääs ja reguleerimata valve: mitmesugused riskid➔ topeltlukud➔ metallkardinad, metalluksed➔ 24/7 valvestatus➔ asutuse reeglistik võtme saamiseks
25
Ruumid
➔ veevärgi ja küttesüsteemi avarii➔ ideaalis pole veekraane serveri/võrguruumidesse
vaja➔ kütteradiaatorid võivad puududa, kui ruumi
sissepuhe suudab hoida temperatuuri üle kastepunkti
➔ elektriküte➔ ruumis võiks olla vee äravool (ka kliimaseadmed
vajavad seda)
26
Ruumid
➔ tuleoht➔ tulelukud ventilatsioonis➔ tulekindlad vaheseinad ja uksed➔ ruumi korrashoid➔ kustutusvahendid
➔ CO2
➔ gaaskustutussüsteemid
➔ andurid ja signalisatsioon
27
Toide
➔ erinevad toitehäired:➔ täielik katkestus➔ ülepinge➔ pikaajaline pingelangus➔ impulsshäired➔ mürad
28
➔ milliseks perioodiks vajab süsteem kaitset?➔ hetkeline häire➔ 10-30 min➔ 1-10h➔ mõned päevad
Toide
29
Katkematu toitepinge allikad (UPS'id)
➔ erinevad UPSide tüübid:➔ off-line➔ line-interactive➔ on-line (dual conversion)
➔ tähtsamad parameetrid➔ sisend- ja väljundvõimsus➔ tugiaeg➔ kaitse erinevate häirete vastu➔ tarkvaravõimalused
30
Katkematu toitepinge allikad (UPS'id)
➔ 1- ja 3-faasilised UPS'id➔ näivvõimsus (VA), aktiivvõimsus (W)➔ võimsustegur PF (cos φ)➔ optimaalne koormus 60-80%
➔ pikem tugiaeg➔ väiksem ülekoormuse oht
➔ paigaldamine ja hooldus
31
Katkematu toitepinge allikad (UPS'id)
➔ sobiva UPS'i valik:➔ koormusarvutused või mõõtmised:
väljundvõimsus➔ nõuded tugiajale: akude mahtuvus➔ nõuded kaitsele: UPS'i tüüp➔ keskne või igal seadmel eraldi?➔ tarkvaralise juhtimise vajadus?
32
Avariigeneraator
➔ töötavad vedelkütuselt➔ vajavad kindlasti vahele UPS'i➔ väljundvõimsus võiks olla varuga UPS'i
sisendvõimsuse suhtes➔ tuleb läbi mõelda tankimisvõimalused➔ vaja pidevat hooldust ja teste
33
Muud tegurid: kliima
➔ liigmadal/liigkõrge temperatuur➔ ruumis peab olema elementaarne küte➔ kasutada võib temperatuuri hoidvaid
kliimaseadmeid➔ liigmadal/liigkõrge õhuniiskus
➔ ei ole tavaliselt probleemiks➔ konditsioneerid kuivatavad õhku➔ vahel kasutatakse spetsiaalseid õhuniisutajaid
34
➔ kliimaseadme võimekus➔ jahutusvõimsus➔ arvutiseadmete võimsus➔ kliimaseadme energiatarve➔ Eesti oludes: kindlasti talvevarustus
➔ kliimaseadme energiatarve➔ kui ruum on varustatud avariigeneraatoriga, siis
toitku see ka kliimaseadet
Kliimaseadmed
35
Inimeksimused
➔ lõppkasutajate vead➔ süsteemioperaatorite vead➔ süsteemiadministraatorite vead➔ hooldajate vead
36
Lõppkasutajate vead
➔ kõige sagedasemad➔ tavaliselt väikese mõjuga➔ tüüpvigu
➔ faili kustutamine➔ faili ülekirjutamine➔ riistvara hooletu kasutamine
➔ aitab koolitamine, harimine➔ aitab õiguste piiramine➔ varundus
37
Süsteemioperaatorite vead
➔ suuremad õigused => suuremad kahjud➔ sageli tekib kahju tänu kehvadele või
vigastele juhenditele➔ vaja katta kogu operaatori tööala
kvaliteetsete juhenditega➔ võimalusel sisse seada auditeerimissüsteem➔ varundus
38
Süsteemiadministraatorite vead
➔ igakülgne ligipääs süsteemidele => hooletustel pea alati katastroofilised tagajärjed
➔ võimalikud tagajärjed:
➔ andmete massiline hävitamine➔ fataalse ressursipuuduse teke
➔ korrektse dokumentatsiooni ja selle järgimise nõue
➔ võimalusel auditeerimine
➔ varundus
➔ meeskonnatöö
39
Hooldajate vead
➔ ainult riistvara katvate lepingute puhul võimalikud andmekaod
➔ töö vastuvõtmisel kontrollida
40
Katastroofiplaneerimine
➔ sisendid:➔ riskianalüüs➔ rahalised võimalused➔ hooldusvariandid
➔ väljundid:➔ stsenaariumid konkreetsete katastroofide
puhuks (katastroofikesksed stsenaariumid)➔ süsteemikesksed stsenaariumid➔ üldised juhised ettenägematuteks juhtudeks
41
Katastroofiplaan
➔ milline sündmus tähendab katastroofi?➔ kes tohib käivitada katastroofiplaani?➔ osapoolte rollid ja kohustused➔ taasteressursid, nende parameetrid,
asukoht...:➔ ruumid➔ riistvara➔ tarkvara➔ andmed
➔ katastroofiolukorra lõpetamine
42
Taastevalikud/strateegiad
➔ katastroofijärgsel taastamisel saab kasutada erinevaid lähenemisi
➔ ei taasta midagi (Do Nothing)➔ ajutine lahendus (Manual Workaround)➔ vastastikune hädaabi (Reciprocal Agreement)➔ külmad varud, reserv (Cold Stand-by, Gradual Recovery)➔ soojad varud, töövalmis reserv (Warm Stand-by,
Intermediate Recovery)➔ kuumad varud, töötav reserv (Hot Stand-by, Immediate
Recovery)
43
Taastevalikud
➔ ei taasta midagi:➔ aluseks kokkulepe kliendiga➔ teenuse pakkumine lõpetatakse, katastroofi
eelset seisukorda ei püüta taastada➔ ajutine lahendus
➔ mitteautomatiseeritud➔ tavaliselt mingis aspektis normaalolukorrast
kehvem
44
➔ külmad varud, reserv➔ sobiv infrastruktuur
➔ võrk➔ elekter➔ jahutus➔ ruumid, mida on võimalik kiiresti tühjendada
➔ pole veel seadmeid ega andmeid➔ taasteaeg > 72h
Taastevalikud
45
Taastevalikud
➔ soojad varud, töövalmis reserv➔ sobiv infrastruktuur➔ olemas vajalik riistvara ja baastarkvara➔ tööle rakendamiseks vaja vaid konfigureerida
riist- ja tarkvara ning kanda üle andmed➔ taasteaeg 24-72h
46
Taastevalikud
➔ kuumad varud, töötav reserv➔ paralleelselt töötav identne süsteem➔ tegu võib olla koormust jagavate paralleelsete
süsteemidega (ülekoormuse oht)➔ taasteaeg < 2h, kui pole andmete varukoopiast
taastamise vajadust (näiteks reaalajas replitseeritud )
➔ taasteaeg < 24h, kui on vaja andmete taastamist varukoopiast