Eesti infoturbestandardi rakendamine Atlassiani toodetega
Eesti infoturbestandard (E-ITS) on eestikeelne ja Eesti õigusruumile vastav alus infoturbe käsitlemiseks, mille missioon on arendada ning edendada Eesti avaliku sektori asutuste, aga ka erafirmade infoturbe taset.
Järgnevas postituses tutvume lähemalt E-ITS olemusega ning selgitame hüpoteetilise protsessi näitel, kuidas E-ITS'i Atlassiani toodetega rakendada.
Küberturvalisus kui digiriigi vundament
Nagu sõnas Riigi Infosüsteemi Ameti (RIA) peadirektor Margus Noormaa, on küberturvalisus digiriigi vundament.
Kuni 2022 aastani kehtis Eestis Infosüsteemide turvameetmete süsteem (ISKE), mis andis riigi- ja kohaliku omavalitsuse asutustele kätte tegevussuunad oma andmekogude infoturbe tagamiseks.
2023. aastast kehtima hakanud E-ITS on aga üles ehitatud riskipõhisele lähenemisele, mis sisaldab konkreetseid meetmeid äriprotsesside kaitsmiseks.
Kuigi E-ITS on kohustuslik eelkõige avalikule sektorile, võivad teenuste turvalisuse huvides standardit rakendada ka eraettevõtted.
“Oluline on ju, et äri töötaks ja andmed ei lekiks. Seal saab standard abiks olla,” kommenteeris RIA infoturbe meetmete osakonna juhataja Rain Ojastu E-ITSi olulisust.
Ettevalmistused etalonturbega alustamiseks
Asutused, kus on varasemalt rakendatud ISKEt, võivad turbeprotsessi planeerimise ja kavandamise faasis otsustada varasemalt rakendatud tehnilised meetmed ISKEst E-ITSi üle tuua.
Küll aga märgib RIA, et üleminekut toetav vastavustabel ISKE meetmetele on ainult informatiivse iseloomuga - seega täisautomaatset ülekandmist meetmete erinevuse tõttu ei soovitata.
Juhul, kui ISKE rakendamine pole tehtud väga süstemaatiliselt, on praktikud senini soovitanud alustada n-ö nullist.
E-ITSi meetmete rakendamiseks on esimese sammuna oluline võtta vastutus juhtkonna tasandil.
“Tuleb aru saada, kust tulevad asutusele nõuded ja millised need on. Seejärel on vaja ülevaadet varadest ja siis juba saab E-ITS-i kataloogist vajalikud meetmed,” selgitab Rain Ojastu lühidalt, mida tähendab standardi rakendamine.
Järgnevates peatükkides tutvustame täpsemalt, kuidas mainitud etappe teostada.
CMDB juurutamine
Turbeprotsessi käivitamisel ehk planeerimise ja kavandamise faasis kaardistatakse äriprotsessid ning seosed protsesse teenindavate rakenduste ja andmeallikate ehk varadega.
Protsesside ja varade kaardistamisel on sisuliselt tegu CMDB (configuration management database) ehk varahalduse juurutamisega.
Äriprotsesside arvelevõtu tulemusena saab organisatsioon struktureeritud ülevaate oma äriprotsessidest ning esmase pildi protsessides kasutatavast teabest ja teenustest.
Protsesside terviklik kaardistus on muuhulgas oluline sisend kaitseala määratlemisel (käsitleme lähemalt järgmises peatükis). Arvele tuleb võtta IT-süsteemid, rakendused, taristu, sideühendused ja muud äriprotsessi toimimiseks vajalikud ressursid.
Olenevalt organisatsiooni (infoturbe) küpsusest võib CMDB olla juba loodud, muul juhul võib see vajada korrastamist.
Oluline on aga täheldada, et mida detailsemalt on CMDB struktuur juurutatud, seda põhjalikumalt saab jaotada E-ITSi meetmeid.
E-ITSi meetmete rakendamine Jira ja Assets´i abil
Jira on protsessijuhtimise tööriist, mis on mõeldud tööde (näiteks meetme rakendamine) ja nende edenemise jälgimiseks.
Assets on CMDB tööriist, mis on loodud varahalduse juurutamiseks. Kombineeritult sobivad need kaks rakendust suurepäraselt E-ITS rakendamiseks.
Joonis 1. E-ITS rakendusjuhendist pärinev joonis, mis kujutab E-ITSi rakendamiseks vajalikke toiminguid.
Kui organisatsioon juba kasutab Jirat, räägib Assets’i kasuks varahalduse juurutamise perspektiivist kindlasti asjaolu, et ei ole vaja lisaks maksta mõne eraldiseisva rakenduse eest. Lisaks on ka sinu andmed ühes süsteemis.
Assets´i leiad tasuta Jira Service Management Cloud Premium plaanist ning Jira Service Management Data Center tootesse on see lisatud alates versioonist 4.15.
Kaitsetarbe määratlemine
Kuna sisuliselt tähendab E-ITSi rakendamine turvameetmete rakendamist äriprotsessi turvalisuse tagamiseks, eeldab meetmete rakendamine ka arusaama sellest, milliseid meetmeid ja millele rakendada.
Äriprotsesside ja nendega seotud varade terviklik inventeerimine (CMDB juurutamine) tekitab arusaama kaitseala ulatusest, mis omakorda ongi aluseks kaitsetarbe määramisele.
Kaitsetarve väljendab äriprotsessi infoturbe vajadust. Hinnang äriprotsessi kaitsetarbele tuleneb eelkõige äriprotsessi poolt töödeldava teabe kaitsetarbest, sh andmekogu turvaklassist.
Kaitsetarbe hinnang on kvalitatiivne ja see tuleneb kolmeastmelise skaala (normaalne, suur, väga suur) ning turvalisuse kolme põhikomponendi konfidentsiaalsuse, terviklikkuse ja käideldavuse maatriksist.
Äriprotsessile omistatud kaitsetarve kandub tavaliselt edasi kõigile selles äriprotsessis kasutatavatele varadele.
Protsessidele, mille kaitsetarbe tase on väga suur, rakendatakse vajadusel riskianalüüs ja määratakse lisaturvameetmed.
Sihtobjektide loomine ja moodulite sidumine
Kaitsetarbe määratlemine on omakorda sisendiks moodulite tuvastamisele, prioritiseerimisele ja teostusjärjekorra seadmisele ehk sihtobjektide modelleerimise etapile.
📌 Sihtobjekt võib olla füüsiline, näiteks võrk või IT-süsteem, aga ka näiteks organisatsiooni allüksus, rakendus või kogu infosüsteem.
Sihtobjekti võiks vaadelda ka kui n-ö ühenduslüli, mis kaotab vajaduse siduda üksikuid meetmeid otse teenusega.
Selle asemel seotakse moodulgrupid (ja moodulid) sihtobjektiga ja sihtobjekt omakorda seotakse ühelt poolt rakendusega, teiselt poolt konkreetsete turvameetmetega.
📌 Moodulid on E-ITSi etalonturbe kataloogi plokid. Moodulid koondavad muu sisestruktuuri hulgas konkreetseid meetmeid küberturvalisuse tagamiseks.
Eesti infoturbe standardi meetmed on alla laetavad E-ITSi kodulehelt ning need saab kiirelt ja mugavalt Assets´isse importida.
“Kokku on meil 1600 meedet, aga rõhutan, et kõik ei pea kõiki rakendama. Rakendada tuleb vaid neid, mis kehtivad vastava asutuse kohta, sõltuvalt sellest, milliseid varasid kasutatakse,” selgitas Ojastu meetmete rakendamist.
Alljärgneval joonisel on näha, kuidas võib välja näha üks CMDB struktuur alates protsessist kuni E-ITSi meetmeteni.
Joonis 2. Näidisstruktuur CMDB seostest, kus ühel pool on äriprotsessi "E-commerce" teenused, mis läbi rakenduste ja sihtobjektide on seotud E-ITSi meetmetega.
Rõhutame, et joonisel 2 oleva võrgustiku näol ei ole tegemist standardlahendusega, mis peaks sobima kõigile.
Täpne varahalduse struktuur on tüüpiliselt igas organisatsioonis erinev, sõltuvalt selle teenustest ja konkreetsetest varadest – oluline on põhimõte, et seostest tekiks “ämblikuvõrk”, kus ühel pool on teenus ja teiselpool E-ITSi meede.
AQL päringute loomine
Assetsil on olemas oma päringukeel AQL (Assets query language), sarnaselt nagu Jiras on JQL (Jira query language).
Mis teeb AQL’i eriti võimsaks on võimalus pärida objekte vastavalt nende seostele teiste objektidega. Näiteks on võimalik otsida kõik rakendused, mis on seotud teenusega “E-commerce platform”.
AQL päringus saab aga neid seoseid teha pikemaks kui ainult kahe objekti vahel - näiteks on võimalik leida kõik varad, mis on seotud mõne rakendusega, mis on omakorda seotud teenusega “E-commerce platform”.
Päringuahelat laiendades ongi võimalik lõpuks leida kõik E-ITS meetmed, mis on seotud konkreetse protsessi ja selle teenustega (vt ülalolevat joonist).
Kuna iga teenuse ja meetme kombinatsiooni kohta tuleb pilet, saab meetmete rakendamise jälgimiseks kasutada Jira töölaudasid (dashboard), filtreid või agiilseid tahvleid.
Joonis 3. Näidis Jira töölaud E-ITSi meetmete rakendamise projektist.
Automaatikate loomine
Teenused, vastutajad, varad, tehnoloogiad ja vastavad seosed võivad ajas muutuda. Automaatika aga aitab kaasa standardi ajakohasele ja nõuetele vastavale rakendamisele.
Automaatika reegli aluseks on eelmainitud AQL päring, mis käivitab pileti loomise automaatika iga teenuse ja sellele kehtivate meetmete kohta.
Piletisse kopeeritakse Assetsis olevalt meetmelt meetmete nimekiri, seosed ja muu teemakohane info.
Joonis 4. Meetme "Tarkvara inventuur" Jira pilet. "Description" väljal on näha nimekiri konkreetsete tegevustega, et meedet rakendada.
Automaatikaid on parim luua ScriptRunner rakendusega. Sageli on vaja lisaks pileti loomisele pileti andmeid uuendada, pilet sulgeda (kui meede antud teenusele enam ei kehti) või suletud pilet taasavada (kui meede hakkas teenusele uuesti kehtima).
Mainitud toimingute näol on tegemist juba spetsiifiliste nõudmistega automaatikaga reeglile, mille lahendamiseks jääb Jira Automation’ist vajaka.
Meetmeid rakendades saab lõpetatud tegevused pileti kommentaaridesse kirja panna ja tänu sellele säilib auditi huvides ka täpne ajalugu.
Tänu Jira piletile on seega võimalik iga teenuse ja meetme kombinatsiooni kohta jälgida meetmete rakendamise kulgu, hetkeseisu ja lõpetatud tegevuste ajalugu.
Kuna E-ITSi standardit uuendatakse igal aastal, saab piletiautomaatika abil muudetud või lisandunud meetmeid lihtsa vaevaga hallata.
Kuidas edasi?
E-ITSiga alustamine võib tunduda keerukas ettevõtmine, kuid põhjalik panustamine varahalduse juurutamisel loob tugeva alguspunkti, et standardit tõhusalt rakendada.
Läbimõeldud CMDB struktuur on abiks ka paljude teiste protsesside - näiteks kasutajatoe, muudatustehalduse, personalihalduse – toetamisel.
Riigi Infosüsteemi Amet korraldab ka mitmekülgseid koolitusi ja seminare, mis aitavad standardi süvadetaile paremini mõista.
Võta meiega julgelt ühendust, et live demo käigus lähemalt näha, kuidas Assets varahaldust ning E-ITS meetmete rakendamist toetab.