Omavalitsuse valmidus turvalisteks ITlahendusteks ja infrastruktuuri kaitseks Jaan Oruaas Anu Tanila Linnade-valdade päevad 17. märts 2016 1
Räägime infoturbest Mis see on? Rahulik uni võib-olla on see tulemus! Töö ja meelelahutus on võimalik kindlasti! 3
Täna ISKE juurutamise tagasiside omavalitsustest Infrastruktuuri kaitse ETO, ETKA 4
Mida me turvame? Infovarad - see, millest me hoolime andmed, infoteenused, infotehnilised seadmed, sidekanalid, tarkvara organisatsioon, personal, andmekandjad, dokumendid, rajatised, kommunikatsioonid... 5
Infoturve, see on imelihtne! Põhimõisted: käideldavus terviklikkus salastatus ehk konfidentsiaalsus 6
Kõige suurem oht - inimene Sisemised ohud inimene loob ja muudab andmeid inimene eksib kõige suuremad lekked on seestpoolt lekitatud Välised ohud ründed on inimese korraldatud 11
Projekt Omavalitsustele oma infosüsteemide turvalisuse tõstmiseks turvameetmete rakendamisega IT-süsteemides, võrkudes ja ITrakendustes vastavalt kolmeastmelisele etalonturbesüsteemile (ISKE) 2013 RIA kuulutas välja taotlusvooru ISKE rakendamiseks omavalitsustes Rahuldati 10 taotlust, neist suuremad: Harjumaa Saaremaa Setomaa Eesmärk: vt vooru nimetus! 12
Eesmärk üksikasjades (HOL) vahetada aegunud operatsioonisüsteem luua infoturbe juhised rakendada varundussüsteem rakendada monitooringu süsteem 13
Tagasiside 2016 Vastas 7 omavalitsust Harjust ja 8 Saarest Anija, Jõelähtme, Kose + Kõue, Loksa, Raasiku, Saue Kaarma, Kuressaare, Lümanda, Muhu, Mustjala, Orissaare, Pöide, Valjala 14
Tagasiside 2016 Projekti käigus paigaldatud seadmed on kõik tulemuslikult töös Varunduslahendust kasutatakse testid töötavad, kus ei ole taastamist vaja Varunduslahendust on ikka vaja läinud, paar korda on mõni meilikast vastu taevast lennanud süsteemi vea tõttu. 15
Tagasiside 2016 mida tuleks täna edasi arendada? Tsentraliseerida IT-ga tegelemine valdades, pidades silmas spetsialiseerumist Hinnata varunduse andmemahtu Parendada monitooringut ja hoolduse raporteid kas projekt andis tõuke infoturbealaste meetmete edasiseks rakendamiseks? Või oli tegu ühekordse aktsiooniga, mis lõppes koos projektiga? JAH! Projekt andis kindlasti tõuke infoturbeteemadega edasiseks tegelemiseks 16
Tagasiside 2016 mida õppisite projektist? kõige suurem turvarisk on ikkagi inimene arvuti ja tooli vahel, aga tuleb teha kõik võimalik, et neid riske vähendada projektitööd teadlikkus koolitus, koolitus, koolitus 17
Järgmine samm infoturbe koolitus valdade IT tsentraliseerimine? kriitilise informatsiooni infrastruktuuri kaitse 18
Hädaolukorra seadus (eelnõu) 37. Elutähtsate teenuste nimekiri ja nende toimepidevust korraldavad asutused (4) Kohaliku omavalitsuse üksus, kelle korraldavat teenust osutab elutähtsa teenuse osutaja ja kelle territooriumil elab rohkem kui 10 000 elanikku, korraldab oma haldusterritooriumil järgmiste elutähtsate teenuste toimepidevust: 1) kaugküttega varustamine; 2) kohaliku tee sõidetavuse tagamine; 3) veega varustamine ja kanalisatsioon. 19
Hädaolukorra seadus (eelnõu) 40. Elutähtsa teenuse toimepidevuse riskianalüüs ja plaan 42. Elutähtsa teenuse osutamise elektroonilise turvalisuse tagamine (1) Elutähtsa teenuse osutaja on kohustatud tagama elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete alalise rakendamise. 20
VV määrus Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed 4. Turvameetmete rakendamine infoturbe halduse süsteemi alusel (1) Elutähtsa teenuse osutaja loob oma põhitegevusi ja riske arvestades infoturbe halduse süsteemi, mida ta rakendab, seirab ja vajaduse korral täiustab. (2) Elutähtsa teenuse osutaja järgib infoturbe halduse süsteemi rakendamisel soovitatavalt: 1) EVS-ISO/IEC 27001:2006 standardit; 27001:2014 2) Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 Infosüsteemide turvameetmete süsteem kehtestatud infosüsteemide kolmeastmelise etalonturbe süsteemi ISKE või 3) oma tegevusvaldkonnas kehtestatud infoturbe halduse erinõudeid ja head tava, mis tulenevad õigusaktist, välislepingust või muust lepingust ja on samaväärsed punktides 1 ja 2 nimetatud standarditega 21
Küsimused järgmisteks sammudeks Kui palju vajavad omavalitsused infoturbe koolitust? võimalik teada saada! Kas ollakse valmis infoturbe juhtimine teenusena sisse ostma? vajab uut lähenemist Kas ollakse valmis ETO ja ETKA nõueteks? kas haldusreform aitab selgitada? 22
Arutelu Teeme midagi lihtsat, et meie elu ei saaks lihtsalt keeruliseks muuta! IT juhtimine infoturve, riskide juhtimine, audit, projektijuhtimine, järelevalve, nõustamine Aktiivselt tegev aastast 2003 Sertifitseeritud konsultandid - CISA, CISM, IV kutsetaseme konsultandid 23
Täname! Anu Tanila, Anu.Tanila@focusit.ee, Jaan Oruaas, Jaan.Oruaas@focusit.ee 24