Andmeturve

Allikas: Vikipeedia
Klassikaliselt oli arvatud, et andmeturbe garantiid tekitasid kolm komponendi: konfidentsiaalsus, terviklikkus ja kättesaamine.

Andmeturve[1] (inglise information security) on kõik aspektid, mis on seotud definitsiooni, saavutamise ja konfidentsiaalsuse, terviklikkuse, kättesaadavuse, mitteäraütlemise, aruandluse, autentsuse ja usaldusväärsuse pidamisega andmete või töötlusvahendite kohta.

Muud definitsioonid[muuda | redigeeri lähteteksti]

Andmeturve[muuda | redigeeri lähteteksti]

Andmeturve – objekti kaitstud seisund. Samal ajal andmete turvastamine on kaitstud andmete lekkimise ennetamine, ning mittesanktsioneeritud ja ettekavatsetud mõju andmete peale ennetamine, teisisõnu selle seisundi saavutamise protsess.

Organisatsiooni andmeturve[muuda | redigeeri lähteteksti]

Organisatsiooni andmeturve – selle ametivõimude ja ametiisikute eesmärgikindel tegevus, abinõude ja jõudu kasutamisega jõutakse organisatsiooni andmete turvalisuseni nii, et sel oleks võimalus korralikult talitleda ja dünaamiliselt areneda.[2]

Andmeturbe korteež[muuda | redigeeri lähteteksti]

Andmeturbe korteež – tegevuste järjekord konkreetse eesmärgi saavutamiseks.

Riigi andmeturve[muuda | redigeeri lähteteksti]

Riigi andmeturve – riigi andmeressursside ja teaduslike inim- ja ühiskonnaõiguste turvaline seisund andmesfääris.[3]

Kaasaja sootsiumis on informatsioonisfääril kaks komponenti[4]: infotehniline (tehniline, tehnoloogiline jne tehismaailm, mis on loodud inimese abil) ja infopsühholoogiline (loodusmaailm, kaasa arvatud inimene). Kohaselt, üldjuhtumis ühiskonna- ja riigiturve saab esitada kahe komponendiga: infotehnilise ja infopsühholoogilise turbega.

Standardiseeritud definitsioonid[muuda | redigeeri lähteteksti]

Andmete turvalisus[muuda | redigeeri lähteteksti]

Andmete turvalisus – andmete kaitstud seisund, millal nende konfidentsiaalsus, kättesaadavus ja terviklikkus on garanteeritud.

Andmeturve – konfidentsiaalsuse, terviklikkuse ja kättesaamise kaitsmine.

Konfidentsiaalsus – inforessursside, kaasa arvatud andmete omadus, mis on seotud sellega, et nad ei muutu kättesaadavateks ja mitteusaldusisikud ei saa neid kätte.

Terviklikkus[5] – andmete mittemuutmine selle saatmise voi hoidmise protsessi ajal.

Kättesaadavus[6] – inforessursside, kaasa arvatud andmete omadus, mis defineerib selle saamise ja kasutamise võimalust usaldusisikute nõudluse järgi.

Andmete turvalisust defineeritakse lubamatu riski puudumisega, seotud informatsiooni lekkega tehniliste kanalite kaudu, mittesanktsioneeritud ja ettekavatsemata andmetele või teiste ressurssidele mõjutamisega automatiseeritud infosüsteemidele, mis on kasutatud automatiseeritud infosüsteemides.

Andmeturve (IT kasutamisel) (ingl. IT security) – andmete turvalisuse seisund, mis kindlustab andmete turvalisust, mille töötlustus see on kasutatud, ja automatiseeritud infosüsteemi andmete turvalisust, milles ta on realiseeritud.

Automatiseeritud infosusteemi turvalisus – automatiseeritud infosüsteemi kaitstud seisund, millal garanteeritakse selle ressursside konfidentsiaalsus, kättesaadavus, terviklikkus, aruandlus ja usaldusväärsus.

Andmeturve – informatsiooni ja toetusinfrastruktuuri turvalisus juhuslike või ettekavatsetud looduslikest või tehislikest mõjudest, mis saavad kahjustada infosubjektide relatsioone. Toetusinfrastruktuur – elektro-, vee-, soojus-, gaasivarustus-, konditsioneerimisüsteemid jne, samuti teenindav personaal. Vastuvõtmatu kahju – kahju, mida ei tohi eirata.

Määravad mõisteerisused[muuda | redigeeri lähteteksti]

Tavaliselt standardne kaitsemudel on kujutatud kolme kategooria abil:

  • konfidentsiaalsus (ingl. confidentiality) – informatsiooni seisund, mille korral juurdepääsu sellele saavad ainult need subjektid, kellel on selleks õigused:

terviklikkus (ingl. integrity) – mittesanktsioneeritud informatsiooni modifikatsiooni vältimine;

  • juurdepääs (ingl. availability) – alalise või aegse informatsiooni varjutust nende kasutajate eest, kellel on vajalikud kasutajaõigused.

Aga on ka teised, mitte alati kohustuslikud kaitsemudeli kategooriad:

  • mitteäraütlemine või apelleerimine (ingl. non-repudiation) – võimatu on autorsuse ülesütlemine;
  • tõepärasus (ingl. reliability) – juurdepääsu subjekti ja tema toimingute registreerimise identifikatsiooni garanteerimine;


Süsteemne juurdepääs andmeturbe kirjelduses võimaldab eraldada järgmised andmeturbe komponendid:

  • Seaduslik, normatiiv-õiguslik ja teaduslik alus.
  • Ametite (alluksuste) struktuur ja ülesanded, mis peavad garanteerima IT turvalisuse.
  • Organiseerimis-tehnilised ja režiimsed abinõud ja meetodid (andmeturbe poliitika).
  • Programmi-tehnilised andmeturbe garanteerimise laadid ja abinõud.

Allpool on andmeturbekomponenti vaadeldud lähemalt.

Mingi olemi andmeturbe realiseerimise eesmärgiks on selle olemi andmeturbe tagatissüsteemi (OATS) ehitus. Efektiivse OATS-i ehitamise ja ekspluateerimise jaoks on vaja[2]:

  • selgitada välja andmeturbe nõuded, mis on spetsiifilised antud kaitseobjektile;
  • arvestada rahvuslike ja rahvusvaheliste seadusandlike nõuedega;
  • kasutada juba olnud töös sarnaste OATS'ile ehituste standardid ja metodoloogiad;
  • määrata allüksused, mis peavad vastutama OATSe realiseerimise ja toetuse eest;
  • jagada allüksuste vahel vastutuse alad OATSi nõudede realiseerimises;
  • andmeturbe riskide juhtimise alusel defineerida üldised seisundid, tehnilised ja organisatsioonilised nõuded, millest tekib olemi andmeturbe poliitika;
  • realiseerida andmeturbe poliitika nõuded, juurutades vastavad programmi-tehnilised andmeturbe laad ja abinõud;
  • realiseerida andmeturbe juhtimise süsteemi (ATMS);
  • ATMS-i abil korraldada regulaarne OATS-i efektiivsuse kontrollimine ning vajaduse korral ATMSi ja OATSi ülevaatamine ja korrigeerimine.

Nagu on näha viimasest tööetapist, alatine ja tsükliline OATSi realiseerimise protsess (pärast iga ülevaadet) läheb tagasi esimese etapi juurde ja kordab kõik järgmised uuesti. Nii OATS-i korrigeeritakse efektiivse andmeturbe ülesannete lahendamise uute alati uuendatava infosüsteemi nõuetega kooskõla jaoks.

Andmeturbe tagamise allüksused[muuda | redigeeri lähteteksti]

Sõltuvalt andmeturbealas teotahe täiendist (riigi- või kommertsametivõimude raames), ise tegevus organiseeritakse spetsiaalsete riigiametivõimude või ettevõtlusametite abil. Riigiametivõimud, kes kontrollivad andmeturbe tegevust:

Organiseerimis-tehnilised ja režiimsed meetodid ja abinõud[muuda | redigeeri lähteteksti]

Tavaliselt konkreetse infosüsteemi andmeturbe tehnoloogia kirjelduse jaoks ehitatakse nn andmeturbe poliitika ehk konkreetse infosüsteemi turvalisuse poliitika.

Turvalisuse poliitika (andmete organisatsioonis) (ingl. Organization security policy) – dokumenteeritud reeglite, protseduurite, praktilise võttete või juhtimisprintsiibide andmeturbe sfääris kogum, mida kasutab organisatsioon oma tegevuses.

Info-telekommunikatsiooni tehnoloogiate turvalisuse poliitika (ingl. ICT security policy) – reeglid, direktiivid, ajalooliselt tekkinud praktikad, mis määravad, kuidas organisatsiooni ja selle info-telekommunikatsiooni tehnoloogiate piirides juhtida, kaitsta ja jagada aktiivid, kaasa arvatud kriitilist informatsiooni.

Andmeturbepoliitika ehitamiseks antakse nõu eraldi vaadelda järgmised suunad infosüsteemi kaitsmises:

  • Infosüsteemi olemite kaitse;
  • Protsesside, protseduurite ja andmetöötlemise programmide kaitse;
  • Sidekanalite kaitse;
  • Kõrvalelektromagneetiliste kiirguse lämmatus;
  • Kaitsesusteemi juhtimine.

Iga eespool suuna jaoks andmeturbe poliitika peab kirjeldama järgmised etapid andmeturbe abinõude loomises:

  • Info- ja tehniliste ressursside defineerimine, mis kuuluvad kaitse alla;
  • Potentsiaalselt võimalikke ohude ja lekkekanalite täishulga välja selgitamine;
  • Informatsiooni haavatavuste ja riskide hindamine, kui on mingihulk ohte ja lekkekanaleid;
  • Nõuete defineerimine kaitsesüsteemi juurde;
  • Kaitsemoete ja nende karakteristikute valimine;
  • Valitud abinõude ja laadide juurutamine ja kasutamise korraldamine;
  • Terviklikkuse kontrolli ja kaitsesüsteemi juhtimise realiseerimine;

Andmeturbepoliitika[muuda | redigeeri lähteteksti]

Andmeturbepoliitika vormistatakse infosüsteemile dokumenteeritud nõuete kujul. Tavaliselt dokumendid eristatakse kaitse protsessi kirjelduse (detaliseerimise) taseme järgi.

Kõrgema taseme dokumendid[muuda | redigeeri lähteteksti]

Kõrgema taseme kaitsepoliitika dokumendid näitavad organisatsiooni positsiooni andmeturbe sfääris tegevuse kohta, selle purgimus rahuldada riigi- ja rahvusvaheliste standardite sfääris. Sellised dokumendid võivad olla nimedega 'AT kontseptsioon', 'AT juhtimisreglaament', 'AT poliitika', 'AT tehniline standard' jne. Kõrgtaseme dokumentide levimisharu tavaliselt pole piiratud, aga antud dokumendid võivad ilmneda kahes redaktsioonis: sise- ja väliskasutamise jaoks.

Keskmise taseme dokumendid[muuda | redigeeri lähteteksti]

Kesktaseme kuuluvad dokumendid, mis puutuvad eraldi andmeturbe aspekte. See on andmeturbe abinõude loomise ja ekpluatatsiooni, organisatsiooni info- ja äriprotsesside korraldamiste nõudlus konkreetse andmete turvalisuse suuna kohta. Näiteks: andmete turvalisus, kommunikatsioonide turvalisus, krüptograafiliste kaitsevõtete kasutamine, sisaldise filtreerimine ja muud. Niisugused dokumendid tavaliselt ilmuvad siseliste tehniliste ja organisatsiooniliste poliitikate (standardite) kujul. Kõik kesktaseme andmeturbepoliitika dokumendid on konfidentsiaalsed.

Algtaseme dokumendid[muuda | redigeeri lähteteksti]

Algtaseme andmeturbepoliitikasse kuuluvad tööde reglemendid, administreerimise juhatused, eraldi andmeturve teeninduste ekspluatatsiooni juhendid.

Programm-tehnilised andmeturbe tagamise võtted ja abinõud[muuda | redigeeri lähteteksti]

Kirjanduses pakutakse järgmine andmeturbe abinõude klassifitseerimine:

  • Mittesanktsioneeritud juurdepääsu eest kaitsevahendid;
  • Autorisatsioonivahendid;
  • Mandaatne juurdepääsu juhtimine;
  • Juurdepääsu valikjuhtimine;
  • Juurdepääsude juhtimine rollide alusel;
  • Ajakirjamine (või Audiit);
  • Analüüsimisüsteemid ja andmevoolu modelleerimine (CASE-süsteemid);
  • Võrgudemonitooringu süsteemid;
  • Sissemurdmise ilmutamis- ja ennetamissüsteemid (IDS/IPS);
  • Konfidetsiaalse informatsiooni lekkede ennetamissüsteemid (DLP-süsteemid);
  • Protokollide analüsaatorid;
  • viirusetõrjeabinõud;
  • Võrguvahelised ekraanid;
  • Krüptograafilised abinõud;
  • Krüpteerimine;
  • Digiallkiri;
  • Reservkopeerimise süsteemid;
  • Katkematu toite süsteemid;
  • Katkematu toite allikad;
  • Koormuste reserveerimine;
  • Pingegeneraatorid;
  • Autentifikatsioonisüsteemid;
  • Salasõna;
  • Juurdepääsu võti (füüsiline või elektrooniline);
  • Sertifikaat;
  • Biomeetria;
  • Korpuste sissemurdmiste ja varguste ennetamise abinõud;
  • Ruumidesse juurdepääsu kontrolli abinõud;
  • Instrumentaalsed kaitsesüsteemide analüüsimisabinõud;
  • Monitoringline programmne produkt;

Organisatsiooniline informatsiooniobjektide kaitse[muuda | redigeeri lähteteksti]

Organisatsiooniline kaitse on tootmistegevuse ja esitajate vahesuhe reglementeerimine normatiiv-õiguslikul alusel, mis arvutab välja või kardinaalselt raskendab ebaõiguspärase konfidentsiaalse informatsiooni hõivamist ja välis- või siseohtude väljendamist. Organisatsiooniline kaitse garanteerib:

  • Kaitse, režiimi, tood dokumentide ja töötajatega korraldamist;
  • Tehniliste kaitseabinõude ja info-analüütilise tegevuse kasutamist sise- ja valisohude äritegevustele väljaselgitamisel;
  • Peamiste korraldamisürituste juurde saab määrata;
  • Režiimi ja kaitse korraldamist. Nende eesmärk – elimineerida kõik kõrvaliste isikute territooriumile ja ruumidesse sissemurdmise võimalused;
  • Koostöötajate ettevalmistumise korraldamine, mis näeb ette personaali välimist ja asetust, kaasa arvatud kaadritega tutvustus ja nende uurimine, õpetamine reeglite kasutamise konfidentsiaalse informatsiooniga töö ajal, vastutuse meetmetega tutvumine andmeturbe reeglite rikkumise eest jne;
  • Dokumentide ja dokumenteeritud informatsiooniga töö korraldamine, sh dokumentide ja konfidentsiaalsete infokandjate käsitluse ja kasutamise korraldamine, nende arvestus, täitmine, tagastamine, hoidmine ja hävitamines;
  • Konfidentsiaalse informatsiooni tehniliste kogumis-, töötlemis- ja säilitamisvõtete kasutamine;
  • Sise- ja välisohude konfidentsiaalse informatsioonile analüüsimine ja andmekaitse jaoks tõkendite väljatöötamise korraldamine;
  • Süsteemaatilise personali, kes töötab konfidentsiaalse informatsiooniga, dokumentide ja tehniliste kandjate arvestuse, hoidmise ja hävitamise korra kontrolli korraldamine.

Igas konkreetse juhtumi puhul on korraldusüritused iga organisatsiooni jaoks spetsiifilised, aga nende eesmärk on ikkagi andmeturbe garanteerimine konkreetsetes tingimustes.

Ajaloolised aspektid, mis tekitasid ja arendasid andmeturvet[muuda | redigeeri lähteteksti]

Objektiivselt tekkis kategooria "andmeturve" infokommunikatsioonide tekkimisega loomade vahel, ning inimese arusaamatusega, et erinevatel inimestel on omad huvid, mis võivad olla kahjustatud infokommunikatsioonidele mõjutamisega, milliste murdelisus ja arenemine tekitavad infovahetuse kõikide sootsiumielementide vahel.

Arvestades mõjutamist andmeturve ideede transformatsiooni peale infokommunikatsioonide arenemises on võimalik eristada järgmisi etappe:

  • I etapp – enne 1816. aastat – kasutati ainult loomulikult tekitavaid infokommunikatsioone. Selles perioodis andmeturbe ülesandeks olid sündmuste, vara, asukohtade, faktide ja teiste andmete, mis olid isiklikult inimese või ühiskonna jaoks elutähtsad, kaitse.
  • II etapp – alates 1816. aastast – on seotud sellega, et alustati kasutama tehnilisabinõued, elektro- ja raadiosidesid. Kinnisuse ja hairekindlustatud raadioside garanteerimiseks oli vaja kasutada esimese andmeturbe etapi kogemust kõrgemal tehnilisel tasandil (häirekindlustatud kodeerimissignaali kasutamine edasise saadud signaali dekodeerimisega).
  • III etapp – alates 1935. aastast – seotud sellega, et ilmusid raadilokatsiooni- ja hüdroakustikaabinõud. Alusvahendiks, mis garanteeris andmeturbe sel perioodil, oli korralduslikke ja tehniliste vahendite kombinatsioonid, mis olid suunatud raadiolokatsiooniliste abinõude turvalisuse kindlustuse nende vastuvõtmisaparaatidele mõjutamise aktiivsete maskeering- ja passiivselt imiteerivate raadiohäirede eest.
  • IV etapp – alates 1946. aastast – seotud arvutite leiutamise ja praktilise tegevusse juurutamisega. Andmeturb ülesanded lahendati peamiselt füüsilise juurdepääsu arvutitele piirangu meetoditega.
  • V etapp – alates 1965. aastast – oleneb lokaalsete infokommunikatsiooniliste võrgute ilmumise ja rendamisega. Andmeturbe ülesanded lahendati samamoodi, piirati füüsilist juurdepääsu võrgu objektidele ja nende ressurssidele.
  • VI etapp – alates 1973. aastast – on seotud supermobiilsete kommunikatsiooni aparaatide laia ülesannete spektriga kasutamisega. Ohud muutusid palju ohtlikumaks. Andmeturbe tagamiseks traadita side võrku ühendatud arvutites olid vaja uute turvalisuse kriteeriumite täiustamised. Tekkisid uued inimeste seltskonnad – hakkerid, kelle eesmärkideks olid erakasutajate, organisatsioone või riikide andmeturbe kahjustamine. Inforessurss muutus kõige olulisemaks riigiressursiks, ja selle andmeturbe garanteerimine – olulisemaks kohustlikuks rahvusturvalisuse osaks. Tekib andmeõigus – uus rahvusvahelise õigussusteemi haru.
  • VII etapp – alates 1985. aastast – on seotud globaalsete infokommunikatsioonivõrkude ilmumise, arenemise ja nende kasutamisega kooskõlas kosmose abinõudega.

Võib arvata, et järgmine etapp andmeturbe arenemises, arvatavasti, saab olla seotud supermobiilsete kommunikatsiooniaparaatide laia ülesannete spektriga laia kasutamisega ja globaalse aja ja ruumi ulatusega, mis on garanteeritud kosmose infokommunikatsioonisüsteemidega. Sellel etapil andmeturbe ülesannete lahendamiseks on vaja luua inimkonda andmeturbe makrosüsteemi juhtivate rahvusvaheliste foorumite egiidiga.

Viited[muuda | redigeeri lähteteksti]

  1. tõlgitud http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C
  2. 2,0 2,1 Venemaa Föderatsiooni ravhuslik standard «Infotehnoloogia. Praktilised andmeturbe juhtimisreeglid » (ГОСТ Р ИСО/МЭК 17799—2005).
  3. Turvalisus: teooria, paradigmid, kontseptsioon, kultuur. Sõnastik-teatmik / Autor professor V. F. Pilipenko. 2. väljaandmine, ПЕР СЭ-Пресс, 2005.
  4. Andmeturve (Sotsiaalse-poliitilise projekti «Sootsiumi aktuaalsed turvalisuse probleemid» 2. raamat). М.: «Relvad ja tehnoloogiad», 2009.
  5. Turvalisuse ja krüptograafia terminite sõnastik. Euroopa elektersidete standardite instituut
  6. Otsing. Glossary.ru
  7. elektroonilise side seaduse §-ides 185 (jälitus- ja julgeolekuasutusele teabe andmise ning sidevõrgule juurdepääsu võimaldamise kohustuse rikkumine) ja 186 (teostamise ja eraelu puutumatuse õiguse piiramise ning sõnumi saladuse õiguse piiramise toimingu andmete saladuses hoidmise kohustuse rikkumine).

Lisaks[muuda | redigeeri lähteteksti]

Lingid[muuda | redigeeri lähteteksti]

Spetsialiseeritud portaalid[muuda | redigeeri lähteteksti]

Kirjandus[muuda | redigeeri lähteteksti]

  • A. J. Stšerbakov Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
  • S. A. Petrenko, V. A. Kurbenko Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.
  • V. A. Galatenko Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
  • S. A. Petrenko Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
  • V. F. Šangin Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
  • A. N. Lepjohin Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
  • V. N. Lopatin Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
  • J. Roditšev Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
  • Scott Barmen Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.
  • S. V. Zapechnikov, Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
    • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
    • Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.