Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Infoturve on teabe ja infosüsteemide kaitsmine loata juurdepääsu, kasutamise, avaldamise, muutmise või hävitamise eest.[1] Mõisteid „infoturve”, „arvutiturve” ja „infokindlustus” kasutatakse sageli samas tähenduses. Need valdkonnad on omavahel seotud ning nende ühine eesmärk on teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse kaitsmine; samas on nende vahel mõned väikesed erinevused, mis seisnevad peamiselt lähenemisviisis, kasutatud meetodites ja rõhuasetuses. Infoturve on seotud andmete konfidentsiaalsuse, terviklikkuse ja kättesaadavusega sõltumata sellest, kas andmed on elektroonilised, paberkandjal või muus vormis.
Valitsuse, sõjaväe, finantsasutuste, haiglate ja eraettevõtete valduses on suur hulk konfidentsiaalset teavet nende töötajate, klientide, toodete, uuringute ja rahalise seisundi kohta. Praegu kogutakse, töödeldakse ja säilitatakse enamikku andmeid elektrooniliselt ning edastatakse võrkude kaudu teistesse arvutitesse. Kui ettevõtte kliente, rahalist seisundit või uut toodet käsitlevad andmed peaksid sattuma konkurendi kätte, võib selline turvanõuete rikkumine tuua kaasa kahjumi, kohtuvaidlused või isegi ettevõtte pankrotistumise. Konfidentsiaalse teabe kaitse on vajalik ärilistel ning paljudel juhtudel ka eetilistel ning õiguslikel kaalutlustel. Infoturve mõjutab oluliselt üksikisikute eraelu puutumatust, mida erinevates kultuurides mõistetakse väga erinevalt.
Viimaste aastate jooksul on infoturbe valdkond oluliselt kasvanud ja arenenud. Infoturbe alal tegutsemiseks on mitmeid võimalusi – spetsialiseeruda saab erinevatele valdkondadele, sh infosüsteemide auditile, talitluspidevuse planeerimisele ja arvutikriminalistikale, kui nimetada üksnes mõned.
Ajalugu
Juba kirjaoskuse algusest peale teadsid riigipead ja väejuhid, et on vaja vahendeid, mille abil kaitsta kirjavahetuse saladust ning avastada ebaseaduslikud juurdepääsukatsed. Kirjaoskuse algusaegadel kasutati dokumendi ehtsuse kinnitamiseks, kirjade ebaseadusliku avamise vältimiseks ja kirjavahetuse saladuse tagamiseks vahapitsereid.
Julius Caesar leiutas 50. aastal enne meie ajaarvamist nn Caesari šifri, et takistada salasõnumi lugemist, kui see peaks sattuma valedesse kätesse.
Teise maailmasõja ajal kaitsti teavet tõkete ja relvastatud valvuritega, kes kontrollisid juurdepääsu teabekeskustele. Samuti võeti kasutusele ametlik andmete liigitus nende salastatuse astme järgi ning isikute järgi, kes andmeid võisid kasutada.[2] Samuti kontrolliti Teise maailmasõja ajal isikute tausta, enne kui neile anti luba kasutada salastatud teavet.
20. sajandi lõpus ja 21. sajandi alguses arenesid kiiresti telekommunikatsioon, arvutite riist- ja tarkvara ning andmete krüpteerimine. Väiksemad, võimsamad ja odavamad arvutid tegid andmete töötlemine võimalikuks ka väikestele ettevõtetele ja kodukasutajatele. Arvutid ühendati võrku, mida üldiselt tuntakse interneti või ülemaailmse veebina.
Andmete elektroonilise töötlemise ja internetikaubanduse kiire arengu ja leviku ning rahvusvahelise terrorismi kasvu tõttu tekkis vajadus kaitsta paremini arvuteid ja teavet, mida neis säilitatakse ja töödeldakse ning nende kaudu edastatakse. Tekkisid arvutiturbe, infoturbe ja infokindlustuse valdkonnad koos arvukate erialaorganisatsioonidega, kelle ühine eesmärk on tagada infosüsteemide turvalisus ja usaldusväärsus.
Infoturbe põhimõtted
Enam kui kakskümmend aastat on infoturve rajanenud kolmel aluspõhimõttel: konfidentsiaalsus, terviklikkus ja kättesaadavus. Neid põhimõtteid tuntakse KTK triaadina.
Juurdepääsu kontroll
Juurdepääs kaitstud teabele peab piirduma isikutega, kellel on selleks luba. Samuti peab luba olema juurdepääsuks arvutiprogrammidele ja paljudel juhtudel ka andmete töötlemiseks kasutatavatele arvutitele. See tähendab, et tuleb sätestada kaitstud teabele juurdepääsu kontrolli mehhanismid. Juurdepääsukontrolli põhjalikkus peab olema kooskõlas kaitstava teabe väärtusega – mida delikaatsem ja väärtuslikum on teave, seda rangem peab olema kontroll. Juurdepääsukontrolli aluseks on identifitseerimine ja autentimine.
Identifitseerimisega tehakse kindlaks, kelle või millega on tegemist. Kui inimene ütleb: „Tere, minu nimi on Toomas Tavaline”, siis ta tutvustab ennast. Selline väide võib olla tõene, kuid võib seda ka mitte olla. Enne kui Toomas Tavalisele antakse luba pääseda juurde kaitstud andmetele, tuleb kontrollida, kas isik, kes väidab, et ta on Toomas Tavaline, tõesti see ka on.
Autentimine on isikusamasuse kontrollimine. Kui Toomas Tavaline läheb panka, et kontolt raha võtta, ütleb ta tellerile oma nime (isikusamasuse väide). Teller palub tal esitada fotoga isikut tõendav dokument ning ta annab tellerile oma juhiloa. Teller kontrollib, kas juhiloale on trükitud nimi Toomas Tavaline ja võrdleb fotot isikuga, kes väidab, et ta on Toomas Tavaline. Kui nimi ja foto on õiged, on teller teinud kindlaks, et Toomas Tavaline on see, kes ta väidab ennast olevat.
Autentimisel saab kasutada kolme liiki teavet: seda, mida sa tead; seda, mis sul on, või seda, kes sa oled. Näideteks sellest, mida isik teab, on PIN-kood, salasõna või ema neiupõlvenimi. Näideteks sellest, mida isik omab, on juhiluba või kiipkaart. See, kes isik on, on seotud biomeetriaga.
Biomeetrilised andmed on näiteks peopesa jäljend, sõrmejäljed, hääl või silma võrkkest. Range autentimise puhul tuleb esitada kahte või kolme liiki isikusamasust tõendavad andmed. Näiteks midagi, mida sa tead, ja veel midagi muud. Seda kutsutakse kahefaktoriliseks autentimiseks.
Tänapäeva arvutisüsteemides kasutatakse kõige sagedamini identifitseerimiseks kasutajanime ja autentimiseks salasõna. Kasutajanimi ja salasõna täitsid oma ülesande, kuid tänapäevases maailmas neist enam ei piisa. Järk-järgult asendatakse kasutajanimi ja salasõna keerukamate autentimismehhanismidega.
Kui isik, programm või arvuti on edukalt identifitseeritud ja autenditud, tuleb kindlaks teha, millisele teabele on tal lubatud juurde pääseda ning milliseid toiminguid ta võib sooritada (programmi käivitada või andmeid vaadata, luua, kustutada või muuta). Seda kutsutakse autoriseerimiseks.
Autoriseerimine saab alguse halduspoliitikast ja -menetlustest. Poliitikas nähakse ette, millistele andmetele ja arvutiteenustele on lubatud juurdepääs, kellel ja millistel tingimustel. Seejärel sätestatakse nimetatud poliitika järgimiseks juurdepääsukontroll.
Erinevad arvutisüsteemid on varustatud erinevate juurdepääsukontrolli mehhanismidega. Süsteemi juurdepääsukontrolli mehhanism põhineb ühel juurdepääsukontrolli kolmest lähenemisviisist või ka kõigi kolme kombinatsioonil.
Vaba valikuta lähenemisviisi puhul on juurdepääsukontroll tsentraliseeritud. Juurdepääs teabele ja muudele vahenditele sõltub isiku funktsioonist organisatsioonis või ülesannetest, mida ta peab täitma. Vaba valikuga lähenemisviis võimaldab teabe või vahendite valdajal juurdepääsu ise kontrollida. Kohustusliku juurdepääsukontrolli puhul antakse luba andmetele juurdepääsuks või keeldutakse selle andmisest vastavalt teabe turvaliigitusele.
Vaata ka: Teabe turvaliigitus ja Infoturbe kontroll
Märkused ja viited:
1. 44 U.S.C § 3542 (b)(1) (2006)
2. Quist, Arvin S. (2002). „Security Classification of Information” (HTML). Volume 1. Introduction, History and Adverse Impacts. Oak Ridge Classification Associates, LLC.
Kirjandus:
Allen, Julia H. (2001). „The CERT Guide to System and Network Security Practices”, Boston, MA: Addison-Wesley.
Krutz, Ronald L.; Russell Dean Vines (2003). „The CISSP Prep Guide, Gold Edition”, Indianapolis, IN: Wiley.
Layton, Timothy P. (2007). „Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton”, FL: Auerbach publications.
McNab, Chris (2004). \"Network Security Assessment”, Sebastopol, CA: O\'Reilly.
Peltier, Thomas R. (2001). Information Security Risk Analysis”, Boca Raton, FL: Auerbach publications.
Peltier, Thomas R. (2002). „Information Security Policies, Procedures, and Standards: guidelines for effective information security management”, Boca Raton, FL: Auerbach publications.
White, Gregory (2003). „All-in-one Security+ Certification Exam Guide”, Emeryville, CA: McGraw-Hill/Osborne.
Lühendatult wikipedia.com-ist