1. Kui on tahe, on ka võimalus!
Minu andmed, kallis vara
Erkki Leego – juhtivpartner
(1/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erkki Leego
juhtivpartner
Hansson, Leego & Partner
2. Kui on tahe, on ka võimalus!
Ettekande ülesehitus
1. Ettekandja ja HLP tutvustus
2. Ettevõtte IT vajadus ja teabehaldus
3. IT teenuse sisseost
Erkki Leego – juhtivpartner
(2/44)
3. IT teenuse sisseost
4. Andmekaitse
5. Kokkuvõte
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
3. Kui on tahe, on ka võimalus!
Ettekandja taustast
• Haridus - MSc informaatikas
• Tööalane
– Hansson Leego & Partner, juhtivpartner
– Tartu Ülikooli Kliinikum, IT direktor
– Riigikogu Kantselei, infosüsteemide ja
tehnikaosakonna juhataja
– Vabariigi Presidendi Kantselei, infonõunik
Erkki Leego – juhtivpartner
(3/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Vabariigi Presidendi Kantselei, infonõunik
– Tartu Ülikooli teabetalitus, vanemtoimetaja
• Õppejõud
– Tartu Ülikool
• 2007 - ... Kursus „Kasutajaliideste kavandamine“
– International University Concordia Audentes
• 1999-2004 Hüperteksti kursus meediatudengitele
4. Kui on tahe, on ka võimalus!
Hansson, Leego & Partner
• Konsultatsiooni- ja IT juhtimise ettevõte
• Firma põhitegevus on ettevõtete esindajana nende
infosüsteemide toimimise ja arengu tagamine läbi kõrget
Erkki Leego – juhtivpartner
(4/44)
infosüsteemide toimimise ja arengu tagamine läbi kõrget
erialast kompetentsi ja laialdast kogemust nõudvate
teenuste
• HLP eksperdid on teostanud üle 100 IT arendusprojekti
ning taganud infosüsteemi toimimist rohkem kui 70
ettevõttes (20-3000 töötajat).
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
5. Kui on tahe, on ka võimalus!
HLP teenused – 3 valdkonda
1. ITK - IT juhtimine ja konsultatsioon
• Ettevõtte strateegiline IT juhtimine
• Infosüsteemi toimimise tagamine ja hooldus
• Infosüsteemi audit ja konsultatsioon
2. PRK - Arenduse koordineerimine ja järelevalve
• Ettevõtte esindamine IT arendusprojektides
Erkki Leego – juhtivpartner
(5/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Hangete läbiviimine
• Tellijapoolne projektijuhtimine ja järelvalve
3. ATK - Andmeturbe konsultatsioon
• Riskianalüüsi läbiviimine
• Andmeturbe audit
• Talituspidevuse plaani koostamine
• ISKE juurutamine
6. Kui on tahe, on ka võimalus!
Tööd - näited
• AS Rait, AS Lemeks, AS Tallmac, Quattromed
– Infosüsteemi (>60 arvutit) toimimise koordineerimine (IT juht ja IT
koordinaator)
• TÜ Eesti Geenivaramu
– IT strateegia koostamine ja elluviimine, koostöövõrgustiku ning
asutuse esindatuse tagamine olulistel valdkonna konverentsidel
• Lemeks AS, Salvest AS
– Microsoft Dynamics AX tootmise komponendi juurutamise
koordineerimine tellija esindajana
• Põllumajandusministeerium
Erkki Leego – juhtivpartner
(6/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Põllumajandusministeerium
– Põllumajandusministeeriumi haldusala infosüsteemide kaardistamine
ja IT strateegia koostamiseks lähteandmete koondamine
• Riigikogu Kantselei, Tartu Linnavalitsus, Fontes, ...
– ISKE juurutamine, infovarade turvalisuse ja infoturbepoliitika piisavuse
ning tervikluse auditeerimine
• Gruusia tervishoiu- ja sotsiaalprojektide rakendamise keskus
– IT partner konsultatsiooniprojektis „Improvement of Hospital
Governance/Management and Strategic planning”
* Terviknimekiri töödest - http://www.hlp.ee/Projektid.htm
7. Kui on tahe, on ka võimalus!
Ettevõtte IT korraldus ja
teabehaldus
Erkki Leego – juhtivpartner
(7/44)
teabehaldus
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
8. Kui on tahe, on ka võimalus!
Ettevõtte vajadus
• Igapäevane elu toimib
– Arvutid, serverid, võrk ja printerid töötavad
– Standard- ja spetsiaaltarkvara toimib
– Kui on probleem, saab kelleltki abi
– Andmeturve tagatud
Erkki Leego – juhtivpartner
(8/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Toimub areng
– Ettevõtte kasvule ja ärifookusele vastavalt IT
süsteemi arendamine
– Tarkvaratoodete kasutuselevõtt (majandustarkvara,
kliendihaldus jmt.)
– Spetsiaaltarkvara loomine ja arendamine
9. Kui on tahe, on ka võimalus!
Infohaldus - kust alustada
• Õige informatsioon õigel ajal õiges kohas
– Kes
• Isiklik, ettevõte, partnerid, kogukond, avalikkus
– Kus
• Minu arvuti, sisevõrk, erinevad asukohad
Erkki Leego – juhtivpartner
(9/44)
– Kuna
• Kohe, tööajal või ööajal, aastaid hiljem
– Mis
• Milline informatsioon? Kas volitatud?
– Millega
• Tööjaam, sülearvuti, nutitelefon
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
10. Kui on tahe, on ka võimalus!
Koostöövahendid – aeg ja koht
Samal ajal Erineval ajal
Samas
kohas
“näost näkku”
(klassid,
koosolekuruumid)
asünkroonne suhtlus
(projekti ajakava,
koordineerimine)
Erkki Leego – juhtivpartner
(10/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erinevates
kohtades
sünkroonne
jagatud
(jagatud redaktorid,
videoülekanne, chat)
asünkroonne jagatud
(e-post, listserverid,
blogid, wikid)
11. Kui on tahe, on ka võimalus!
Põhilised IT töövahendid
1. Suhtlusvahendid
– E-post
– Vestlus - Skype, MSN
2. Failisüsteem/dokumendihoidla
3. Siseinfo ja teadmusvaramu haldus
4. Raamatupidamine/majandusarvestus
Erkki Leego – juhtivpartner
(11/44)
4. Raamatupidamine/majandusarvestus
5. Põhitegevusega seotud rakendused
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
12. Kui on tahe, on ka võimalus!
E-post
• Teemad millega arvestada
– Kus e-post füüsiliselt asub – kättesaadavus ja
töökindlus
– Kuidas arhiveerida ja struktureerida
– Erakirjade ja töökirjade eraldamine
– Kas saata e-kirjas
dokument manusena
Erkki Leego – juhtivpartner
(12/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
dokument manusena
või viide dokumendi
asukohale
– Identiteet – disain ja
struktuur
– Avalike kataloogide
olemasolu ja
ülesehitus
13. Kui on tahe, on ka võimalus!
Vestlus – Skype, MSN
• Teemad millega arvestada
– Kas on ettevõttes lubatud ja soositud?
– Kontode nimed ettevõtte väärilised
– Kas ja kuidas teisi teavitatakse
– Kas ja kuidas vestlusi arhiveeritakse
Erkki Leego – juhtivpartner
(13/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
14. Kui on tahe, on ka võimalus!
Failisüsteem/dokumendihoidla
Teemad millega arvestada
• Asukoht
– E-postkast
– Arvuti kõvaketas
– Ettevõtte jagatud ketas
– Ettevõtte e-kirjade ühiskataloogid
– Dokumendihaldussüsteem
– Veeb (koduleht, intranet, ekstranet)
• Struktuur
– Kuidas määratleda kõigi jaoks loogiline
Erkki Leego – juhtivpartner
(14/44)
– Kuidas määratleda kõigi jaoks loogiline
õige koht, kust on võimalik ja osatakse
otsida ka aastaid hiljem teiste inimeste
poolt?
• Failide edastamine
– E-kirja manused
– Välised kandjad (CD, USB pulk, ...)
– Viide asukohale
• Juurdepääs
– Kas juurdepääs on võimalik igal ajal
igast kohast?
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
15. Kui on tahe, on ka võimalus!
Rusikareeglid failihalduses
• Oluline metainfo
– Pealkiri, autor, versioon, aeg, asukoht
• Kirjeldav ja jätkusuutlik failinimi
– “HLP IT infrastruktuuri kirjeldus 1.0 Leego.docx”
– “GEEN-K-81 Geenivaramu arhitektuuri visioon (Jaak Vilo) 0.08
Leego.doc”
• Üks “õige” asukoht
Erkki Leego – juhtivpartner
(15/44)
• Üks “õige” asukoht
– Peab kehtima eeldus – kui faili selles asukohas ei ole,
siis teda ei ole olemas
– dominaProjektidGEENRakendusedOperatiivbaas
• Juurdepääsuõigused
– 3 lihttaset– juurdepääs puudub, lugemine, kirjutamine
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
16. Kui on tahe, on ka võimalus!
Siseinfo ja teadmusvaramu
• Teemad millega arvestada
– Täiendamine ja kättesaadavus
• Kas täiendamine jagatud või ühe inimese käes
• Kas juurde pääseb sisevõrgus või ka kaugelt
– Asukoht ja vahend
• Failisüsteem
• E-post või e-posti avalik kataloog
• Intranet
Erkki Leego – juhtivpartner
(16/44)
• Intranet
• Wiki, blogid, ...
– Tavapärased siseinfo ühikud
• Sündmuste info (nt. sünnipäevad)
• Ettevõtte pildi- ja videovaramu
• Ettevõtte esitlusmaterjalide ja taustinfo varamu
• Infomaterjalid enesetäiendamiseks
• Turuinformatsioon ja valdkondade taust
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
17. Kui on tahe, on ka võimalus!
Põhitegevuse rakendused
• Eripärased rakendused põhitegevuse
efektiivseks teostamiseks
– Tootmise planeerimine, dokumendimenetlus,
kliendihaldus, tellimuste haldus, jne.
• HLP näide
– Mindjet Mindmanager – teabehalduse ja
Erkki Leego – juhtivpartner
(17/44)
– Mindjet Mindmanager – teabehalduse ja
visualiseerimise tarkvara
– Gyronix – tööde halduse tarkvara Mindmanagerile
– SysAid – arvutiabi tööde haldustarkvara
• Teemad millega arvestada
– Kas osta valmistarkvara või arendada ise?
• Soovitus - üldjuhul otstarbekas soetada valmistarkvara
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
18. Kui on tahe, on ka võimalus!
Arendus keeruline
Erkki Leego – juhtivpartner
(18/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
19. Kui on tahe, on ka võimalus!
Rakenduse valik - kasutatavus
1. Kerge õppida
2. Efektiivne kasutada
3. Kerge meelde tuletada
Erkki Leego – juhtivpartner
(19/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
3. Kerge meelde tuletada
4. Vähe vigu
5. Meeldiv kasutada
20. Kui on tahe, on ka võimalus!
IT teenuse sisseost
Erkki Leego – juhtivpartner
(20/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
21. Kui on tahe, on ka võimalus!
IT teenuse sisseostu valikud
• Tarkvara hooldus ja tugi
– Standardtarkvara
– Spetsiaaltarkvara
• Riistvara hooldus ja tugi
– Tööjaamad, serverid, võrk, printerid jmt.
• Arendus- ja juurutusteenused
Erkki Leego – juhtivpartner
(21/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Erilahenduse väljatöötamine
– Valmistoote integreerimine ja juurutamine
• Konsultatsiooniteenused
– IT juht – strateegia, tegevuskava, eelarve
– Projektijuhtimine ja järelevalve
– Andmeturbe tagamine
– Mitmesugused eriprojektid – “mobiilne kontor” jmt.
22. Kui on tahe, on ka võimalus!
Vajalik kompetents
Oma IT meeskond
• Igapäevane elu
– Tööjaamade administreerimine
– Serverite administreerimine
– Kasutajatoe osutamine
– Dokumenteerimine
– Andmeturbe tagamine
– Juhtkonnapoolne IT meeskonna
järelevalve
Sisseostmisel
• Hankimine
• Järelevalve
Erkki Leego – juhtivpartner
(22/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Juhtkonnapoolne IT meeskonna
järelevalve
– ...
• Areng
– Strateegiline ja taktikaline
planeerimine
– Süsteemianalüüs
– Programmeerimine
– Testimine
– Projektijuhtimine
– Hankimine ja järelevalve
– ...
23. Kui on tahe, on ka võimalus!
Teenuseosutajad
• Suured IT ettevõtted paljude erinevate teenustega
• Spetsialiseerunud ettevõtted
– Riist- ja tarkvara müüjad
– Valmistoodete müüjad ja juurutajad
– Infosüsteemi töö tagajad
Erkki Leego – juhtivpartner
(23/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– Tarkvaraarendajad
– ...
• Tellija esindajad ja konsultandid
• “Patsiga poiss”
24. Kui on tahe, on ka võimalus!
Kulud on sisseostul väiksemad
Oma töötaja
• Kuupalk
– 15 000.- + 4950.-
(sotsiaalmaks)
• Kontorikulud
– Töövahendid (arvuti,
tarkvara, pliiatsid jne.)
Teenuseosutaja
• Nt. 50 arvutiga süsteemi
toimimise tagamine
– 12 000.-/kuus
• Eriprojektid
Erkki Leego – juhtivpartner
(24/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
tarkvara, pliiatsid jne.)
– Kontori rent
• Koolitus
– 25 000.-/tk
• Motiveerimine
– Preemiad
– Firmaüritused
• Eriprojektid
– 400 – 2000 kr/tund
25. Kui on tahe, on ka võimalus!
Sisseostmise ohud
• Teenuse sisu, kvaliteet ja tulemus ei vasta
ootustele
– Kokkulepped ja teenuse kvaliteedi määratlused
lepingus pealiskaudsed või mõistetakse erinevalt
– “Fassaadi taga” nõrk spetsialist või vilets töökorraldus
• Liiga tugev sõltuvus teenusepakkujast
– Teadmus lastakse koguneda ainult teenuseosutaja
kätte
Erkki Leego – juhtivpartner
(25/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
kätte
– Sõltuvus võib kaasa tuua hoolimatuse või hinnatõusu
• Teenuseosutaja ei saa aru või ei hooli ettevõtte
ärist
– IT lahendused ja valikud ei toeta piisavalt äristrateegiat
– Teenuseosutaja ei saa osa ettevõtte igapäevaelust ja
aktiivsus piiritletud rangelt oma teenusega
26. Kui on tahe, on ka võimalus!
Sisseostmise eelised
• Saab keskenduda põhitegevusele
– Ei ole vaja tegeleda keerulise tugiteenuse
arendamisega
• Parim kompetents ja kogemus tunnikaupa
– IT tööjõuturul tihe konkurents
– Vaja on palju erinevaid kompetentse, mida ühes
inimeses (meeskonnas) ei ole
Erkki Leego – juhtivpartner
(26/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
inimeses (meeskonnas) ei ole
– Spetsialiseerunud ettevõtte kvaliteet kasvab läbi
paljude klientide ja projektide
• Vastutus selgepiiriline
– Tasu siis kui töö kvaliteetselt tehtud
• Kulude kokkuhoid
– Sisseostetava teenuse kulud on tavaliselt väiksemad
27. Kui on tahe, on ka võimalus!
Omaniku tunne
• Ettevõte peab suutma
olla oma infosüsteemi
omanik
• Tööjaamade ja
lisaseadmete loend;
• Kasutajate loend;
• Tarkvara loend;
• Serverite loend;
• Võrguseadmete loend;
• Teenuste loend;
Erkki Leego – juhtivpartner
(27/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
omanik • Teenuste loend;
• Hooldus- ning
arenduspartnerid ja
nende vastutusalad;
• Infosüsteemi hoolduseks
teostatud tööde
fikseerimine.
28. Kui on tahe, on ka võimalus!
Andmekaitse
Erkki Leego – juhtivpartner
(28/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
29. Kui on tahe, on ka võimalus!
100% turvalisust ei ole olemas
• 9/11 terrorirünnak (11.09.01)
– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid
hävinenud, 18 000 väikest äri hävinenud või ümber
paigutatud
– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva
– Investeerimispank Cantor Fitzgerald L.P. kaotas 658
töötajat
• Societe Generale hiigelpettus (01/08)
– Jérôme Kerviel kauplemistehingud põhjustasid pangale
76 miljardit krooni kahju
– Süüdistus volitamata ligipääsus ja usalduse
kuritarvitamises
• Lähis-Ida riikide interneti katkestus 01/08
Erkki Leego – juhtivpartner
(29/44)
• Lähis-Ida riikide interneti katkestus 01/08
– Mitme veealuse kaabli katkemine põhjustas paljude
Lähis-Ida riikide Interneti side kadumise 10 päevaks
– 80 milj. kasutajat häiritud (70% Egiptusest, 60%
Indiast)
• UK MTA andmete kadumise intsident (10/07)
– Kaks Suurbritannia maksu- ja tolliameti arvutiketast
kõikide lastetoetust saanud perede andmetega läks
teekonnal ühest kontorist teise kaduma
– Intsident puudutab 25 milj. UK elanikku
• Küberrünnakud Eestis kevad 2007
– DOS rünnakud Eesti riigiasutustele ja pankadele
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
30. Kui on tahe, on ka võimalus!
Andmeturbe 3 põhikomponenti
1. Konfidentsiaalsus
• Andmete kättesaadavus ainult selleks volitatud
tarbijaile (isikutele või tehnilistele süsteemidele)
ning kättesaamatus kõigile ülejäänutele
2. Terviklus
• Andmete päritolu autentsus ning volitamatute
Erkki Leego – juhtivpartner
(30/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Andmete päritolu autentsus ning volitamatute
muutuste puudumine
3. Käideldavus
• Kasutamiskõlblike andmete õigeaegne ja hõlbus
kättesaadavus selleks volitatud tarbijaile (isikutele
või tehnilistele vahenditele)
31. Kui on tahe, on ka võimalus!
Andmete turvaklass (nt. R1K2T3S1)
Teabe hilinemise tagajärgede lubatav
kaalukus (R):
R0 - teabe saamatajäämisega ei kaasne
tagajärgi;
R1 - teabe saamatajäämisega võib tuua kaasa
takistusi funktsiooni täitmisele;
R2 - teabe saamatajäämisega toob kaasa
olulise takistuse funktsiooni täitmisele;
R3 - teabe saamatajäämisega toob kaasa
funktsiooni täitmatajäämise.
Aegkriitilise teabe käideldavus (K):
K0 - teabe saamisele ei ole seatud tähtaegu;
K1 - teabe saamisele on seatud tähtaeg
päevades;
K2 - oluline on teabe saamine tundide jooksul;
K3 - oluline on teabe saamine sekundite
jooksul.
Erkki Leego – juhtivpartner
(31/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
funktsiooni täitmatajäämise.
Teabe terviklus (T):
T0 - teabe allikas ega muutmise tuvastatavus ei
ole olulised;
T1 - teabe muutmise fakt peab olema
tuvastatav;
T2 - teabe allikas peab olema tuvastatav;
T3 - teabel on tõestusväärtus.
Teabe konfidentsiaalsus (S):
S0 - juurdepääsu teabele ei piirata;
S1 - teabele juurdepääsu tingimuseks on
juurdepääsu taotleva isiku identifitseerimine;
S2 - juurdepääs teabele on lubatav
juurdepääsu taotleva isiku õigustatud huvi
korral;
S3 - teave on seaduse alusel tunnistatud
juurdepääsupiiranguga teabeks.
Allikas: VV määrus nr. 273 „Infosüsteemide turvameetmete süsteemi kehtestamine”
32. Kui on tahe, on ka võimalus!
Ohud, nõrkused, meetmed
• Oht
– Süsteemi või organisatsiooni kahjustada võiva
soovimatu intsidendi potentsiaalne põhjus
• Nõrkused
– Vara või vararühma nõrk koht, mida saab ära
kasutada oht
Erkki Leego – juhtivpartner
(32/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Risk
– Võimalus, et vaadeldav oht kasutab ära mingi vara
või vararühma nõrkused, põhjustades varade
kaotuse või kahjustuse
• Turvameede
– Riski kahandav teoviis, protseduur või mehhanism
33. Kui on tahe, on ka võimalus!
Andmeturbe põhimõisted
Erkki Leego – juhtivpartner
(33/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
34. Kui on tahe, on ka võimalus!
Ohutüübid
• Maavärin
• Üleujutus
• Orkaan
• Äike
• Tööstustegevus
• Pommirünne
• Relvade kasutamine
• Kahjutuli
• Sihilik kahjustamine
• Elektritoite katkemine
• Veevarustuse katkemine
• Õhu konditsioneerimise rike
• Riistvara rikked
• Tarkvara kasutamine volitamatute poolt
• Tarkvara kasutamine volitamata viisil
• Kasutaja identsuse teesklus
• Tarkvara ebaseaduslik kasutamine
• Ründetarkvara
• Tarkvara ebaseaduslik import või eksport
• Ekspluatatsioonipersonali eksitus
• Hoolduseksitus
• Volitamata kasutajate võrgupöördus
• Võrguaparatuuri kasutamine volitamata
viisil
• Võrgukomponentide tehniline rike
• Edastusvead
Erkki Leego – juhtivpartner
(34/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Riistvara rikked
• Toite kõikumine
• Äärmuslik temperatuur ja niiskus
• Tolm
• Elektromagnetiline kiirgus
• Elektrostaatilised laengud
• Vargus
• Salvestuskandjate volitamatu kasutamine
• Salvestuskandjate riknemine
• Ekspluatatsioonipersonali eksitus
• Hoolduseksitus
• Tarkvara tõrge
• Edastusvead
• Liinide kahjustused
• Liikluse ülekoormus
• Pealtkuulamine
• Sidesse sisseimbumine
• Liikluse analüüs
• Sõnumite väär marsuutimine
• Sõnumite ümbermarsuutimine
• Salgamine
• Sideteenuste (st võrguteenuste) tõrge
• Personalinappus
• Kasutajate eksitused
• Ressursside väärkasutus
Allikas: EVS-ISO/IEC TR 13335 „Infotehnoloogia. Infoturbe halduse suunised”
35. Kui on tahe, on ka võimalus!
Nõrkuste valdkonnad
• Keskkond ja infrastruktuur
– nt. hoonete, uste ja akende füüsilise turbe puudumine
• Riistvara
– nt. tundlikkus pinge kõikumiste suhtes
• Tarkvara
– nt. pääsuõiguste väär jaotamine
• Side
Erkki Leego – juhtivpartner
(35/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Side
– nt. kaitsmata sideliinid
• Dokumendid
– nt. hooletus kõrvaldamisel
• Personal
– nt. puudulikud töölevõtmise protseduurid
36. Kui on tahe, on ka võimalus!
Andmeturbemeetmed
• Turvameetmed otstarbe järgi:
– ennetavad, avastus- ja taastusmeetmed
• Turvameetmed teostusviisi järgi:
– organisatsioonilised, füüsilised ja infotehnoloogilised
meetmed
• Esmased andmeturbemeetmed (näide)
Erkki Leego – juhtivpartner
(36/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Esmased andmeturbemeetmed (näide)
– Usaldusväärse elektroonilise identiteedi tagamine
– Infosüsteemi kasutajate korra kehtestamine
– Kasutajatunnuste väljastamise korra kehtestamine
– Võtmete ja koodide väljastamine kontrolli alla
– Konfidentsiaalsusnõuded töölepinguisse
– Ruumide ja seadmete kaitse
37. Kui on tahe, on ka võimalus!
Turbe strateegilised küsimused
• Mida on vaja kaitsta? Miks on seda vaja
kaitsta? Mis juhtub siis kui ei kaitse?
• Milliseid potentsiaalseid ebasoovitavaid
tagajärgi me soovime vältida? Millise hinnaga?
Kui suurt katkestust võime me enne
Erkki Leego – juhtivpartner
(37/44)
Kui suurt katkestust võime me enne
tegutsemist taluda?
• Kuidas me määratleme ja efektiivselt haldame
jääkriski?
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
The Art of Information Security Governance, Julia H. Allen, 2008, Qatar
Information Security Forum
38. Kui on tahe, on ka võimalus!
Lubatud jääkrisk
• Riskianalüüs annab ülevaate ettevõtte
infovaradest ja nende kaitse olukorrast
• Juhtkonna poolt määratletud jääkrisk annab
võimaluse piiritleda meetmeid ja kaasnevaid
kulusid
Erkki Leego – juhtivpartner
(38/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
39. Kui on tahe, on ka võimalus!
Talitluspidevusplaan
• Talitluspidevusplaan peab määratlema, millal
on tegemist kriisiga, kes kriisi eest vastutab,
kuidas toimub teavitamine ja millised
tegevused kriisi korral käivitatakse.
• Põhikomponendid
– põhiprotsessi ja tugiprotsesside kirjeldus koos
Erkki Leego – juhtivpartner
(39/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
– põhiprotsessi ja tugiprotsesside kirjeldus koos
oluliste ressurssidega,
– kriiside määratlus, vastutava kriisijuhi määramine ja
kriisiteavituse korraldus
– alternatiivtegevuste kavad ja oluliste ressursside
taasteplaanid
– plaani kaasajastamise, koolituse ja testimise
korraldus
40. Kui on tahe, on ka võimalus!
10 olulisemat meedet
1. Uksed lukku ka tööpäeva ajal
2. Pidage arvet kasutajatunnuste üle
3. Tagage turvainfo jõudmine töötajateni
4. Tehke regulaarselt tagavarakoopiaid
5. Viirustõrje igasse arvutisse
Erkki Leego – juhtivpartner
(40/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
6. Dokumentide hoidmiseks kindel kord
7. Tagavaratoide olulistele seadmetele
8. Kontrolljäljed kõikidest tegevustest
9. Reeglid andmete kasutamiseks
10.Koostage ülevaade oma infovaradest
41. Kui on tahe, on ka võimalus!
Mida ette võtta?
• Määrake andmeturbe eest vastutaja
• Tehke ettevõttes infovarade inventuur
• Määrake andmetele omanikud
Erkki Leego – juhtivpartner
(41/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
• Töötage välja ja rakendage ettevõtte
turvameetmed
• Kontrollige regulaarselt protseduuride täitmist
42. Kui on tahe, on ka võimalus!
Kuidas turbega mitte üle pingutada?
• Kulude õigsust on keeruline hinnata – turve on edukas
siis kui midagi ei juhtu ...
• Tunne oma ettevõtte infoturbe olukorda
– Riskianalüüs toob välja pingerea probleemidest ja nõrkustest
– Tee selgeks mida ette võtta saab ja määratle kuna seda
tehakse
• Lähtu äri-põhistest kriteeriumitest
Erkki Leego – juhtivpartner
(42/44)
• Lähtu äri-põhistest kriteeriumitest
– Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud
– Valdkonnal peab olema selge vastutaja
– Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi
investeeringuotsuseid
• Turve on protsess
– Loo turvalisusele orienteeritud kultuur
– Liigu paremuse suunas teadlike ja jõukohaste sammudega
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
43. Kui on tahe, on ka võimalus!
Kokkuvõte
• Andmed on tänapäeva ettevõttes suur väärtus
• Teabehalduse võtmeküsimus on jätkusuutlikus
andmete säilimise ja ülesleidmise tähenduses
• Kaasa IT juhtimises, hoolduses ja arenduses
kompetentseid partnereid
Erkki Leego – juhtivpartner
(43/44)
kompetentseid partnereid
• Andmekaitse algab omanikutundest ja vastutusest
• Lihtsate vahenditega on võimalik teabehalduse
kvaliteeti oluliselt tõsta
Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
44. Kui on tahe, on ka võimalus!
Aitäh!
Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(44/44)Minu andmed, kallis vara / 05.05.09 / Tartu Teaduspargi seminar
Erkki Leego, erkki.leego@hlp.ee, www.hlp.ee