Andmeturve

Allikas: Vikipeedia
Klassikaliselt oli arvatud, et andmeture garantiid tekitasid kolm komponendi: konfidentsiaalsus, terviklikkus ja kättesaamine.

Andmeturve[1] (inglise information security) on kõik aspektid, mis on seotud definitsiooni, saavutamise ja konfidentsiaalsuse, terviklikkuse, kättesaadavuse, mitteäraütlemise, aruandluse, autentsuse ja usaldusväärsuse pidamisega andmete või töötlusvahendite kohta.

Teised definitsioonid[muuda | redigeeri lähteteksti]

Andmeturve[muuda | redigeeri lähteteksti]

Andmeturve - objekti kaitstud seisund. Samal ajal andmete turvastamine on kaitstud andmete lekkimise ennetamine, ning mittesanktsioneeritud ja ettekavatsetud mõju andmete peale ennetamine, teisisõnu selle seisundi saavutamise protsess.

Organisatsiooni andmeturve[muuda | redigeeri lähteteksti]

Organisatsiooni andmeturve - selle ametivõimude ja ametiisikute eesmärgikindel tegevus, abinõude ja jõudu kasutamisega jõutakse organisatsiooni andmete turvalisuseni nii, et sellel oleks võimalus korralikult funktsioneerida ja dünaamiliselt areneda.[2]

Andmeturbe korteež[muuda | redigeeri lähteteksti]

Andmeturbe korteež - tegevuste järjekord konkreetse eesmärgi saavutamiseks.

Riigi andmeturve[muuda | redigeeri lähteteksti]

Riigi andmeturve - riigi andmeressursside ja teaduslike inim- ja ühiskonnaõiguste turvaline seisund andmesfääris.[3]

Kaasaja sootsiumis on informatisoonisfääril kaks komponenti[4]: infotehniline (tehniline, tehnoloogiline jne tehismaailm, mis on loodud inimese abil) ja infopsühholoogiline (loodusmaailm, kaasa arvatud inimene). Kohaselt, üldjuhtumis ühiskonna- ja riigiturve saab esitada kahe komponendiga: infotehnilise ja infopsühholoogilise turvega.

Standardiseeritud definitsioonid[muuda | redigeeri lähteteksti]

Andmete turvalisus[muuda | redigeeri lähteteksti]

Andmete turvalisus - andmete kaitstud seisund, millal nende konfidentsiaalsus, kättesaadavus ja terviklikkus on garanteeritud.

Andmeturve - konfidentsiaalsuse, terviklikkuse ja kättesaamise kaitsmine.

Konfidentsiaalsus - inforessursside, kaasa arvatud andmete omadus, mis on seotud sellega, et nad ei muutu kättesaadavateks ja mitteusaldusisikud ei saa neid kätte.

Terviklikkus[5] - andmete mittemuutmine selle saatmise voi hoidmise protsessi ajal.

Kättesaadavus[6] - inforessursside, kaasa arvatud andmete omadus, mis defineerib selle saamise ja kasutamise võimalust usaldusisikute nõudluse järgi.

Andmete turvalisust defineeritakse lubamatu riski puudumisega, seotud informatsiooni lekkega tehniliste kanalite kaudu, mittesanktsioneeritud ja ettekavatsemata andmetele või teiste ressurssidele mõjutamisega automatiseeritud infosüsteemidele, mis on kasutatud automatiseeritud infosüsteemides.

Andmeturve (IT kasutamisel) (ingl. IT security) - andmete turvalisuse seisund, mis kindlustab andmete turvalisust, mille töötlustus see on kasutatud, ja automatiseeritud infosüsteemi andmete turvalisust, milles ta on realiseeritud.

Automatiseeritud infosusteemi turvalisus - automatiseeritud infosüsteemi kaitstud seisund, millal garanteeritakse selle ressursside konfidentsiaalsus, kättesaadavus, terviklikkus, aruandlus ja usaldusväärsus.

Andmeturve - informatsiooni ja toetusinfrastruktuuri turvalisus juhuslike või ettekavatsetud looduslikest või tehislikest mõjudest, mis saavad kahjustada infosubjektide relatsioone. Toetusinfrastruktuur - elektro-, vee-, soojus-, gaasivarustus-, konditsioneerimisüsteemid jne., samuti teenindav personaal. Vastuvõtmatu kahju - kahju, mida ei tohi eirada.

Määravad mõiste erisused[muuda | redigeeri lähteteksti]

Tavaliselt standardne kaitse mudel on kujutad kolme kategooria abil:

  • konfidetsiaalsus (ingl. confidentiality) - informatsiooni seisund, mille korral juurdepääsu sellele saavad ainult need subjektid, kellel on selleks õigused:

terviklikkus (ingl. integrity) - mittesanktsioneeritud informatsiooni modifikatsiooni vältimine;

  • juurdepääs (ingl. availability) - alalise või aegse informatisooni varjutust nende kasutajate eest, kellel on vajalikud kasutajaõigused.

Aga on ka teised, mitte alati kohustuslikud kaitsemudeli kategooriad:

  • mitteäraütlemine või apelleerimine (ingl. non-repudiation) - võimatu on autorsuse üles ütlemine;
  • tõepärasus (ingl. reliability) - juurdepääsu subjekti ja tema toimingute registreerimise identifikatsiooni garanteerimine;


Süsteemne juurdepääs andmeturve kirjelduses pakkub eraldada järgmised andmete turvalisuse komponendid:

  • Seaduslik, normatiiv-õiguslik ja teaduslik alus.
  • Ametite (alluksuste) struktuur ja ülesanded, mis peavad garanteerima IT turvalisuse.
  • Organiseerimis-tehnilised ja režiimsed abinõud ja meetodid (andmeturbe poliitika).
  • Programmi-tehnilised andmeturve garanteerimise laadid ja abinõud.

Selle alaosa allpool on vaadeldud iga andmeturve komponent ligemalt.

Mingi olemi andmeturve realiseerimise eesmärgiks on antud olemi andmeturve tagatissüsteemi (OATS) ehitus. Efektiivse OATSi ehitamise ja ekspluateerimise jaoks on vaja[2]:

  • selgitada välja andmeturve nõuded, mis on spetsiifilised antud kaitseobjektile;
  • arvestada rahvuslike ja rahvusvaheliste seadusandlike nõuedega;
  • kasutada juba olnud töös sarnaste OATS'ile ehituste standardid ja metodoloogiad;
  • määrata allüksused, mis peavad vastutama OATSe realiseerimise ja toetuse eest;
  • jagada allüksuste vahel vastutuse alad OATSi nõudede realiseerimises;
  • andmeturve riskide juhtimise alusel defineerida üldised seisundid, tehnilised ja organisatsioonilised nõuded, millest tekib olemi andmeturve poliitika;
  • realiseerida andmeturve poliitika nõuded, juurutades vastavad programmi-tehnilised andmeturve laad ja abinõud;
  • realiseerida andmeturve mänadžmentsüsteemi (ATMS);
  • ATMS kasutades organiseerida regulaarne OATSe efektiivsuse kontrollimine ja vajaduse korral ATMSi ja OATSi läbivaade ja korrekteerimine;

Nagu on näha viimasest tööetapist, alatine ja tsõkliline OATSi realiseerimise protsess (peale iga ülevaadet) läheb tagasi esimese etapi juurde ja kordab kõik järgmised uuesti. Nii OATS korrekteeritakse efektiivse andmeturve ülesannete lahendamise uute alati uuendatava infosüsteemi nõudete kooskõla jaoks.

Andmeturve garanteerivad allüksused[muuda | redigeeri lähteteksti]

Sõltuvalt andmeturvealas teotahe täiendist (riigii- või kommertsametivõimude raames), ise tegevus organiseeritakse spetsiaalsete riigiametivõimude või ettevõtlusametite abil. Riigiametivõimud, kes kontrollivad andmeturve tegevust:

Organiseerimis-tehnilised ja režiimsed meetodid ja abinõud[muuda | redigeeri lähteteksti]

Tavaliselt konkreetse infosüsteemi andmeturve tehnoloogia kirjelduse jaoks ehitatakse nn andmeturve poliitika ehk konkreetse infosüsteemi turvalisuse poliitika.

Turvalisuse poliitika (andmete organisatsioonis) (ingl. Organization security policy) - dokumenteeritud reeglite, protseduurite, praktilise võttete või juhtimisprintsiibide andmeturve sfääris kogum, mida kasutab organisatsioon oma tegevuses.

Info-telekommunikatsiooni tehnoloogiate turvalisuse poliitika (ingl. ICT security policy) - reeglid, direktiivid, ajalooliselt tekkinud praktikad, mis määravad, kuidas organisatsiooni ja selle info-telekommunikatsiooni tehnoloogiate piirides juhtida, kaitsta ja jagada aktiivid, kaasa arvatud kriitilist informatsiooni.

Andmeturve poliitika ehitamiseks antakse nõu eraldi vaadeldada järgmised suunad infosüsteemi kaitsmises:

  • Infosüsteemi olemite kaitse;
  • Protsesside, protseduurite ja andmetöötlemise programmide kaitse;
  • Sidekanalite kaitse;
  • Kõrvalelektromagneetiliste kiirugste lämmatus;
  • Kaitsesusteemi juhtimine.

Iga eespool suuna jaoks andmeturve poliitika peab kirjeldama järgmised etapid andmeturve abinõude loomises:

  • Info- ja tehniliste ressursside defineerimine, mis kuuluvad kaitse alla;
  • Potentsiaalselt võimalikke ohude ja lekkekanalite täishulga välja selgitamine;
  • Informatsiooni haavatavuste ja riskide hindamine, kui on mingihulk ohte ja lekkekanaleid;
  • Nõuete defineerimine kaitsesüsteemi juurde;
  • Kaitsemoete ja nende karakteristikute valimine;
  • Valitud abinõude ja laadide juurutamine ja kasutamise korraldamine;
  • Terviklikkuse kontrolli ja kaitsesüsteemi juhtimise realiseerimine;

Andmeturve poliitika[muuda | redigeeri lähteteksti]

Andmeturve poliitika vormistatakse infosüsteemile dokumenteeritud nõuete kujul. Tavaliselt dokumendid eristatakse kaitse protsessi kirjelduse (detaliseerimise) taseme järgi.

Kõrgema taseme dokumendid[muuda | redigeeri lähteteksti]

Kõrgema taseme kaitsepoliitika dokumendid näitavad organisatsiooni positsiooni andmeturbe sfääris tegevuse kohta, selle purgimus rahuldada riigi- ja rahvusvaheliste standardite sfääris. Sellised dokumentid võivad olla nimedega 'AT kontseptsioon', 'AT juhtimisreglaament', 'AT poliitika', 'AT tehniline standard' jne. Kõrgtaseme dokumentide levimisharu tavaliselt pole piiratud, aga antud dokumendid võivad ilmneda kahes redaktsioonis: sise- ja väliskasutamise jaoks.

Keskmise taseme dokumendid[muuda | redigeeri lähteteksti]

Kesktaseme kuuluvad dolumendid, mis puutuvad eraldi andmeturve aspekte. See on andmeturve abinouete loomise ja ekpluatatsiooni, organisatsiooni info- ja äriprotsesside korraldamiste nõudlus konkreetse andmete turvalisuse suuna kohta. Näiteks: andmete turvalisus, kommunikatsioonide turvalisus, krüptograafiliste kaitsevõtete kasutamine, sisaldise filtreerimine ja muud. Niisugused dokumentid tavaliselt ilmuvad siseliste tehniliste ja organisatsiooniliste poliitikate (standardite) kujul. Kõik kesktaseme andmeturve poliitika dokumendid on konfidentsiaalsed.

Algtaseme dokumendid[muuda | redigeeri lähteteksti]

Algtaseme andmeturve poliitikasse kuuluvad tööde reglamentid, administreerimise juhatused, eraldi andmeturve teeninduste ekspluatatsiooni juhendid.

Programm-tehnilised andmeturve garanteerimise võted ja abinõud[muuda | redigeeri lähteteksti]

Kirjanduses pakutakse järgmine andmeturbe abinõude klassifitseerimine:

  • Mittesanktsioneeritud juurdepääsu eest kaitsevahendid;
  • Autorisatsioonivahendid;
  • Mandaatne juurdepääsu juhtimine;
  • Juurdepääsu valikjuhtimine;
  • Juurdepääsude juhtimine rollide alusel;
  • Ajakirjamine (või Audiit);
  • Analüüsimisüsteemid ja andmevoolu modelleerimine (CASE-süsteemid);
  • Võrgudemonitooringu süsteemid;
  • Sissemurdmise ilmutamis- ja ennetamissüsteemid (IDS/IPS);
  • Konfidetsiaalse informatsiooni lekkede ennetamissüsteemid (DLP-süsteemid);
  • Protokollide analüsaatorid;
  • Antiviiruselised abinõud;
  • Võrguvahelised ekraanid;
  • Krüptograafilised abinõud;
  • Krüpteerimine;
  • Digiallkiri;
  • Reservkopeerimise süsteemid;
  • Katkematu toitesüsteemid;
  • Katkematu toite allikad;
  • Koormuste reserveerimine;
  • Pingegeneraatorid;
  • Autentifikatsioonisüsteemid;
  • Salasõna;
  • Juurdepääsu võti (füüsiline või elektrooniline);
  • Sertifikaat;
  • Biomeetria;
  • Korpuste sissemurmdiste ja varguste ennetamis abinõud;
  • Ruumidesse juurdepääsu kontrolli abinõud;
  • Instrumentaalsed kaitsesõsteemide analüüsimisabinõud;
  • Monitoringline programmne produkt;

Organisatsiooniline informatisatsioonide objetkide kaitse[muuda | redigeeri lähteteksti]

Organisatsiooniline kaitse on tootmistegevuse ja esitajate vahesuhe reglamenteerimine normatiiv-õiguslikku alusel, mis arvutab välja või kardinaalselt raskendab ebaõiguspärase konfidentsiaalse informatsiooni hõivamist ja välis- või siseohtude väljandamist. Organisatsiooniline kaitse garanteerib:

  • Kaitse, reziimi, tood dokumentide ja tootajatega korraldamist;
  • Tehniliste kaitseabinouete ja info-analuutitlse tegevuse kasutamist sise- ja valisohude aritegevustele valja selgitamisel;
  • Peamiste korraldamisürituste juurde saab määrata;
  • Režiimi ja kaitse korraldamist. Nende eesmärk - elimineerida kõik salasissemurdmise võimalused territooriumile ja ruumidesse mitteseotuid isikke;
  • Koostöötajate ettevalmistumise korraldamine, mis näeb ette personaali välimist ja asetust, kaasa arvatud kaadritega tutvustus ja nende uurimine, õppetamine reglite kasutamise konfidentsiaalse informatsiooniga töö ajal, vastutuse meetmetega tutvumine andmeturve reeglite rikkumise eest jne;
  • Dokumentide ja dokumenteeritud informatsiooniga tööd korraldamine, kaasa arvatud dokumentide ja konfidentsiaal infokandjate käsitluse ja kasutamise korraldamine, nende arvestus, täitmine, tagastamine, hoidmine ja hävitus;
  • Konfidentsiaal informatsiooni tehniliste korjamis, tootlemis, kogumis ja hoidmis võtete kasutamine;
  • Sise- ja välisohude konfidentsiaal informatsioonile analüütimistöö ja andmekaitse jaoks tokendite väljatöötamise korraldamine;
  • Süsteemaatilise personaali, kes töötab konfidentsiaal informatsiooniga, dokumentide ja tehniliskandjate arvestuse, hoidmise ja hävituse korda kontrolli korraldamine;

Igas konreetses juhtumis korraldusüritused on spetsiifilised iga organisatsiooni jaoks, aga nende eesmärk ikkagi on andmeturve garanteerimine konkreetsetes tingimustes.

Ajaloolised aspektid, mis tekitasid ja arendasid andmeturvet[muuda | redigeeri lähteteksti]

Objektiivselt 'andmeturve' kategooria tekis infokommunikatsioonide tekkimisega loomade vahel, ning inimese arusaamatusega, et erinevatel inimestel on omad huvid, mis võivad olla kahjustatud infokommunikatsioonidele mõjutamisega, milliste murdelisus ja arenemine tekitavad infovahetuse kõikide sootsiumielementide vahel.

Arvestades mõjutamist andmeturve ideide transformatsiooni peale infokommunikatsioonide arenemises on võimalik eristada järgmised etapid:

  • I etapp - enne 1816. a. - kasutati ainult loomulikult tekitavaid infokommunikatsioone. Selles perioodis andmeturve ülesandeks olid sundumuste, vara, asukohtade, faktide ja teiste andmete, mis olid isiklikult inimese või ühiskonna jaoks elutähtsad, kaitse.
  • II etapp - alates 1816. a. - on seotud sellega, et alustati kasutama tehnilisabinõued, elektro- ja raadiosidesid. Kinnisuse ja hairekindlustatud raadioside garanteerimiseks oli vaja kasutada esimese andmeturve etappi kogemust kõrgemal tehnilisel tasandil (häirekindlustatud kodeerimissignaali kasutamine edasise saadud signaali dekodeerimisega).
  • III etapp - alates 1935. a. - seotud sellega, et ilmusid radilokatsioonlilsed ja hüdroakustilised abinõud. Alusvahendiks, mis garanteeris andmeturved sel perioodil oli korralduslikke ja tehniliste vahendite kombinatsioonid, mis olid suunatud raadiolokatsiooniliste abinõude turvalisuse kindlustuse nende vastuvõtmisaparaatidele mõjutamise aktiivsete maskeering- ja passivselt imiteerivate radiohäirede eest.
  • IV etapp - alates 1946. a. - seotud arvutite leiutamise ja praktilistegevusse juurutamisega. Andmeturve ülesanned lahendati peamiselt füüsilise juurdepääsu arvutitele piirangu meetoditega.
  • V etapp - alates 1965. a. - oleneb lokaalsete infokommunikatsiooniliste võrgute ilmumise ja rendamisega. Andmeturve ülesanded lahendati samamoodi, piirati füüsilist juurdepääsu võrgu objektidele ja nende ressurssidele.
  • VI etapp - alates 1973. a. - on seotud supermobiilsete kommunikatsiooni apparaatide laia ülesannete spektriga kasutamisega. Nüüd ohud muutusid palju ohtlikumateks. Andmeturve garanteerimiseks arvutisüsteemides juhevaba võrgudega olid vajalikud uute turvalisuse kriteeriumite täiustamised. Tekisid uued inimeste seltskonnad - hakkerite seltsid, kelle eesmärkideks olid erakasutajate, organisatsioone või riikide anmeturve kahjustamine. Inforessurss muutus kõige olulisemaks riigiressurssiks, ja selle andmeturve garanteerimine - olulisemaks kohustlikkuks rahvusturvalisuse osaks. Tekib andmeõigus - uus rahvusvahelise õigussusteemi haru.
  • VII etapp - alates 1985. a. - on seoutd globaalsete infokommunikatsioonivõrgude ilmumise, arenemise ja nende kasutamisega kooskõlas kosmose abinõutega.

Võib arvata, et järgmine etapp andmeturve arenemises, arvatavasti, saab olla seotud supermobiilsete kommunikatsiooniaparaatide laia ülesannete spektriga laia kasutamisega ja globaalse aja ja ruumi ulatusega, mis on garanteeritud kosmose infokommunikatsioonisüsteemidega. Sellel etappil andmeturve ülesannete lahendamiseks on vaja luua inimkonda andmeturve makrosüsteemi juhtivate ravhusvaheliste foorumite egiidiga.

Viited[muuda | redigeeri lähteteksti]

  1. tõlgitud http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C
  2. 2,0 2,1 Venemaa Föderatsiooni ravhuslik standard «Infotehnoloogia. Praktilised andmeturbe juhtimisreeglid » (ГОСТ Р ИСО/МЭК 17799—2005).
  3. Turvalisus: teooria, paradigmid, kontseptsioon, kultuur. Sõnastik-teatmik / Autor professor V. F. Pilipenko. 2. väljaandmine, ПЕР СЭ-Пресс, 2005.
  4. Andmeturve (Sotsiaalse-poliitilise projekti «Sootsiumi aktuaalsed turvalisuse probleemid» 2. raamat). М.: «Relvad ja tehnoloogiad», 2009.
  5. Turvalisuse ja krüptograafia terminite sõnastik. Euroopa elektersidete standardite instituut
  6. Otsing. Glossary.ru
  7. elektroonilise side seaduse §-ides 185 (jälitus- ja julgeolekuasutusele teabe andmise ning sidevõrgule juurdepääsu võimaldamise kohustuse rikkumine) ja 186 (teostamise ja eraelu puutumatuse õiguse piiramise ning sõnumi saladuse õiguse piiramise toimingu andmete saladuses hoidmise kohustuse rikkumine).

Lisaks[muuda | redigeeri lähteteksti]

Lingid[muuda | redigeeri lähteteksti]

Spetsialiseeritud portaalid[muuda | redigeeri lähteteksti]

Kirjandus[muuda | redigeeri lähteteksti]

  • A. J. Stšerbakov Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
  • S. A. Petrenko, V. A. Kurbenko Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.
  • V. A. Galatenko Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
  • S. A. Petrenko Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
  • V. F. Šangin Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
  • A. N. Lepjohin Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
  • V. N. Lopatin Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
  • J. Roditšev Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
  • Scott Barmen Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.
  • S. V. Zapechnikov, Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
    • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
    • Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.