Korduma kippuvad küsimused

PÕHIMÕISTED KÜBERTURBES
Mis on elektrooniline teabeturve? Mis on küberturve?
Küberturve ehk elektrooniline teabeturve on salastatud teabe käideldavuse, salajasuse ja tervikluse tagamine töötlussüsteemis
Mis on käideldavus?
Käideldavus - salastatud teave peab olema õigele lugejale vajalikul hetkel kättesaadav (inglise keeles availability)
Mis on salajasus?
Salajasus - salastatud teave peab olema kättesaadav vaid volitatud isikule ja jääma teiste eest varjatuks (inglise keeles confidentiality)
Mis on terviklus?
Terviklus - salastatud teave peab olema edastatud terviklikult, st algset sõnumi sisu muutmata (inglise keeles integrity)
KÜBERTURBE PRINTSIIBID
Mis on elektroonilise teabeturbe põhimõtted?
Elektroonilise teabeturbe turvapõhimõtted on minimaalsuse põhimõte, õiguste piiramise põhimõte, isekaitsvate sõlmede kasutamise põhimõte ning sügavuti kaitse põhimõte
Mis on minimaalsuse põhimõte?
Minimaalsuse põhimõte ülteb, et kasutada võib üksnes neid funktsioone, protokolle või teenuseid, mis on vajalikud teabe töötlemiseks või selle turvalisuse tagamiseks
Mis on õiguste piiramise põhimõte?
Õiguste piiramise põhimõte ütleb, et süsteemi kasutajatel ja administraatoritel on ainult tööülesannete täitmiseks vajalikud kasutajaõigused
Mis on enesekaitse ehk isekaitsvate sõlmede kasutamise põhimõte?
Enesekaitse ehk isekaitsvate sõlmede kasutamise põhimõttega eeldatakse süsteemiga ühendatud kõikide teiste süsteemide ebausaldusväärsust ning nendega teabe vahetamisel rakendatakse piisavaid turvameetmeid
Mis on sügavuti kaitse põhimõte?
Sügavuti kaitse põhimõte ütleb, et ühe kasutatava turvameetme rikke korral ei tohi süsteem muutuda ebaturvaliseks
AUTENTIMINE
Mis on kasutajanimi?
Kasutajanimi tähistab harilikult kombinatsiooni kasutaja ees- ja perekonnanimedest või nende esitähtedest
Mis on kasutajatunnus?
Kasutajatunnuse puhul lisaks kasutaja ees- ja perekonnanimede või nende esitähtede kombinatsioonile võib olla selleks ka isikukood või muu numbrite ja tähtede kombinatsioon
Milleks on vaja kasutada unikaalset kasutajatunnust?
Unikaalne kasutajatunnus võimaldab siduda kasutajatoimingud kindla volitatud kasutajaga, mis omakorda võimaldab vältida eksitusi logikirjete analüüsimisel. Muu hulgas on see vajalik selleks, et anda isikule süsteemis juurdepääs üksnes tema teadmisvajadusele vastavale teabele
Mida tähendab kahefaktoriline autentimine/kaheastmeline autentimine?
Kahefaktoriline autentimismeetodi korral valitakse isiku tuvastamise vahendid järgmistest kategooriatest: midagi, mida isik teab (näiteks salasõna); midagi, mis isikul on (näiteks ID-kaart); midagi, mida isik ise on (biomeetrilised andmed, näiteks sõrmejälg)
TURVAALA/ADMINISTRATIIVALA
Mis on turvaala?
Turvaala on konfidentsiaalse, salajase või täiesti salajase taseme salastatud teavet sisaldava salastatud teabekandja töötlemiseks lubatav ala. Nutiseadmete kasutamine turvaaladel on üldjuhul keelatud. Täpsema info saamiseks kirjuta infosec@fis.gov.ee
Mis on ajutine turvaala?
Ajutine turvaala on turvaala, mis erandkorras on rajatud liikuvale platvormile või alale, mis tavaliselt ei ole kasutuses turvaalana
Mis on liikuv turvaala?
Liikuv turvaala on turvaala, mis on rajatud liikuvale platvormile. Liikuvaks ja ajutiseks turvaalaks võib olla näiteks sõiduk, haagis, laev, punker, konteiner, soojak, telk, ülesande täitmiseks sobiv olemasolev ehitis
Mis on avatud hoiuala?
Avatud hoiuala on turvaala, kus ei pea kasutama seifi ega lukustatavat kappi või sahtlit
Mis on administratiivala?
Administratiivala on ala, millel on lubatud piiratud taseme riigisaladuse või salastatud välisteabe ja seda sisaldava salastatud teabekandja töötlemine. Töötleva üksuse kasutuses olev selge välispiiriga ala, millele sisenenud kõik isikud ja sõidukid tuvastatakse ning mille on lubatud piiratud tasemel salastatud teabe töötlemine
Mis on avalik ruum?
Avalik ruum on ala, mis ei ole turva- ega administratiivala
Mis on väline turvakeskkond?
Väline turvakeskkond on süsteemi paiknemiskohta ümbritsev keskkond, sealhulgas hoone või ala, milles toimuvad sündmused võivad mõjutada süsteemi turvalisust
Mis on sisemine turvakeskkond?
Sisemine turvakeskkond on välise turvakeskkonnaga piirnev ruum või ala, kus paiknevad süsteemi komponendid või kus neid kasutatakse
Mis on elektrooniline turvakeskkond?
Elektrooniline turvakeskkond piirdub süsteemi komponentidega, mille abil teavet elektrooniliselt töödeldakse ning mille kaitseks süsteemi käitav personal rakendab elektroonilisi turvameetmeid
SALASTATUD TEABE KAITSE PÕHIMÕISTED
Mis on salastatud teave?
Salastatud teave on riigisaladus või salastatud välisteave
Mis on riigisaladus?
Riigisaladus on teave, mille avalikuks tulek seab ohtu Eesti Vabariigi julgeoleku või kahjustab välissuhtlust
Mis on salastatud välisteave?
Salastatud välisteave on avaldaja poolt salastatud ja Eestile avaldatud teave ning Eesti Vabariigi poolt välislepingu täitmiseks loodud teave, mis tuleb salastada välislepingu kohaselt
Kes on salastatud välisteabe avaldaja?
Salastatud välisteabe avaldaja on välisriigi, Euroopa Liidu, NATO või mõne muu organisatsiooni või rahvusvahelise kokkuleppega loodud institutsioon
Millal tohib salastatud teavet avaliku e-maili teel edastada?
Avaliku (interneti) e-mailiga võib salastatud teavet edastada vaid juhul kui see teave on kaitstud/krüpteeritud nõuetekohast heakskiitu omava lahendusega
Mis on salastatud teabekandja?
Salastatud teabekandja on mis tahes objekt, millele on jäädvustatud riigisaladust või salastatud välisteave
PERSONALI JULGEOLEK/INIMESED
Mis on riigisaladuse luba?
Riigisaladuse juurdepääsuluba on füüsilisele isikule väljastatav luba, mida on vaja, kui soovitakse töödelda riigisaladust
Mis on töötlemisluba?
Töötlemisluba on juriidilisele isikule väljastatav luba, mida on vaja, kui soovitakse töödelda riigisaladust
Mis on salastatud välisteabe juurdepääsusertifikaat?
Salastatud välisteabe juurdepääsussertifikaat antakse juurdepääsuks salastatud välisteabele, kui välislpeingus on juurdepääsusertifikaadi andmine vastava taseme salastatud välisteabele juurdepääsuõiguse saamiseks ette nähtud. Juurdepääsusertifikaate väljastab Riigi julgeoleku volitatud esindaja, mis on üks Välisluureameti funktsioone
Mis on teadmisvajadus?
Teadmisvajadus on juurdepääsuvajadus teatavale salastatud teabele
Mis on juurdepääsuõigus?
Juurdepääsuõigus on isiku õigus töödelda salastatud teavet ametikohajärgselt või asutuse juhi otsuse, riigisaladuse juurdepääsuloa või välisteabele juurdepääsusertifikaadi alusel
Mis on krüptosertifikaat?
Krüptosertifikaat on dokument, mis kinnitab isiku õiguseid ja teadmisi käidelda krüptoteavet ja –materjale
INTSIDENDID
Mis on intsident?
Intsident on sündmus, mille tagajärjel saab kahjustada elektrooniliselt salastatud teabe terviklus, salajasus ning käideldavus. Intsidendi puhul on oht salastatud teabe kahjustada saamiseks realiseerunud või realiseerub väga tõenäoliselt
Mis on arvutiintsident?
Arvutiintsident on intsident, mis leiab aset salastatud teavet sisaldavas IT-süsteemis (töötlussüsteemis)
Mida teha intsidendi korral?
Intsidendi korral peab töötleva üksuse riigisaladuse kaitset korraldav isik (RSKKI) teavitama viivitamatult Kaitsepolitseiametit ja vastavalt Kaitseväge, Välisluureametit või riigi julgeoleku volitatud esindajat, kui talle on teatavaks saanud riigisaladuse ja salastatud välisteabe seaduse ning selle alusel antud õigusaktidest tulenevate nõuete rikkumine või teabe teatavaks saamine vastava taseme juurdepääsuõigust mitteomavale isikule (RSVKK § 23)
Mis on puudus?
Puudus on nõuete rikkumine, mis tuvastatakse üldjuhul kontrolli käigus. Puudused on eri kaaluga – iga puudus ei ohusta veel salastatud teabe salajasust, käideldavust või terviklust (nt kui turvakleebiste ülevaatamine on natuke hilinenud, dokumentatsioon on mingis osas puudulik või ebaselge, ekraan lukustub veidi hiljem kui turvadokumentatsioonis ette nähtud vms)
RISKIDE HALDAMINE
Mis on riskianalüüs?
Riskianalüüs on süsteemide turvalisust ja teenuse toimepidevust ohustavate riskide ja nende haldamiseks rakendatavate meetmete kirjeldus
Millest riskianalüüsi koostamisel lähtuda?
Risikianalüüsis võib lähtuda erinevatest standarditest, nt standardist EVS-EN 31010:2010 «Riskijuhtimine. Riskihindamisemeetodid», mis toetab standardit ISO 31000 «Risk Management – Principles and quidelines». Samuti on välja antud ISO/IEC Guide 73 «Risk management – Vocabulary – Guidelines for use in standards». Lisaks soovitab Välisluureamet lähtuda Riigi Infosüsteemi Ameti riskijuhtimise metoodikatest ja Välisluureameti poolt välja töötatud töötlussüsteemi riskianalüüsi koostamise abivahendist. Täpsemat infot küsi infosec@fis.gov.ee
Mis on pidev riskihaldus?
Pideva riskihalduse puhul peab katkematult toimuma süsteemi turvariskide ohjamine, sealhulgas vältimine, vähendamine, kõrvalejuhtimine ja lubatav aktsepteerimine
Mis on riskihaldus?
Riskihaldus on vara, teabe, ohu, intsidendi ja turvariski analüüs, mille põhjal määratakse kindlaks teabe ja selle kaitsmist toetavate süsteemitoimingute ja -vahendite turvameetmed. Riskihaldus hõlmab süsteemi turvameetmete planeerimist, korraldamist, kasutamist ja kontrollimist, selleks et vältida turvariski väljumist vastuvõetavatest piiridest ja intsidente
Mis on haavatavuse analüüs?
Haavatavuse analüüs on süsteemi üksikasjalik kontrollimine, et selgitada välja süsteemi turvaaugud, ohud süsteemis töödeldava teabe salajasusele, terviklusele ja käideldavusele ning süsteemi vastuvõtlikkus mis tahes ründele või ohule
TÖÖTLUSSÜSTEEMID
Mis on töötlussüsteem?
Töötlussüsteem on salastatud teavet sisaldav IT-süsteem
Milliseid seadmeid tohib töötlussüsteemides kasutada?
Töötlussüsteemides kasutatava seadme kiirgusturbe klass peab vastama turvaala kiirgusturbe tsoonile. PIIRATUD tasemel töötlussüsteemis kiirgusturbe klassi ei jälgita. Lisaks peavad seadmed olema seadistatud lähtuvalt minimaalsuse printsiibist ning vastavalt AKKNist ja turvadokumentatsioonist tulenevatele nõuetele (vt lisaks seadistamise juhendid). Töötlussüsteemides kasutatavad sideturbelahendused peavad olema Välisluureameti poolt heaks kiidetud
Mida tähendab internetiga ühendatud süsteem?
Internetiga ühendatud süsteemi all peetakse silmas piiratud tasemel töötlussüsteemi nn valge nimekirja alusel lubatud turvalisi ühendusi. Lüüsiga ühendamist ei loeta otseselt internetiga ühendatud süsteemiks
Mida tähendab valge nimekiri?
Valge nimekirja ehk whitelist’i all on mõeldud üksnes lubavaid ühendusi loetlevat filtreerimisvahendit
Millal tohin töötlussüsteemi ühendada internetti?
Konfidentsiaalsel ja kõrgemal tasemel süsteemi komponente ei tohi internetti ühendada, ka mitte uuendamiseks. Uuendused tuleb vajadusel sisse viia käsitsi. PIIRATUD tasemel töötlussüsteemis on ühendused internetti lubatud minimaalsuse printsiipi järgides
Mis on must süsteem?
Must süsteem on IT-süsteem, kus ei töödelda salastatud teavet
Mis on punane süsteem?
Punane süsteem on salastatud teavet sisaldav IT-süsteemi ehk töötlussüsteem
Mis on punane seade?
Punane seade on salastatud teavet sisaldava IT-süsteemi (töötlussüsteemi) komponent
Mis on must seade?
Must seade on IT-süsteemi komponent, millega ei töödelda salastatud teavet
AKREDITEERIMINE
Mis on töötlussüsteemi akrediteerimine?
Töötlussüsteemi akrediteerimine on salastatud teavet sisaldava IT-süsteemi (töötlussüsteemi) küberturbe (elektroonilise teabeturbe) nõuetele vastavuse hindamine
Millised on töötlussüsteemile kehtivad nõuded?
Riigisaladuse korral tuleb eelkõige lähtuda AKKNis toodud nõuetest, kuid ka RSVKK-s ja RSVS toodud üldpõhimõtetest. Välisteabe korral rakenduvad teabe väljaandja (NATO, EL) kehtestatud nõuded. Spetsiifilisemaid nõudeid küsi Välisluureametist
Mis on akrediteeritud töötlussüsteem?
Akredeeritud töötlussüsteem on küberturbe (elektroonilise teabeturbe) nõuetele vastav IT-süsteem (töötlussüsteem)
Mis on vastavussertifikaat?
Vastavussertifikaat on Välisluureameti peadirektori käskkirjaga väljastatav kinnitus, kui akrediteerimise tulemusena töötlussüsteem vastab elektroonilise teabeturbe nõuetele
Mis on ajutine kasutusluba?
Ajutine kasutusluba on Välisluureameti peadirektori käskkirjaga väljastav luba, kui akrediteerimise tulemusena töötlussüsteem ei vasta kõigile elektroonilise teabeturbe nõuetele, kuid sellest tingitud turvariskid on ajutiselt vastuvõetavad
Mis on testimisluba?
Testimisluba on Välisluureameti peadirektori käskkirjaga väljastatav ajutine kasutusluba töötlussüsteemi testimiseks
Mis on turvadokumentatsioon?
Turvadokumentatsioon on töötlussüsteemi kohta käiv teave, mis dokumenteeritakse süsteemi turvanõuete loetelus ja turvanõuete rakendamise juhendis
Mis on turvanõuete loetelu?
Turvanõuete loetelu (TNL) ehk töötlussüsteemi turvajuhend on süsteemi kohustuslike turvanõuete loetelu, mis sätestab, kuidas saavutada süsteemi piisav turvalisus ning kuidas tagada ja kontrollida teabe turvalisust süsteemis (inglise keeles System-Specific Security Requirement Statement/SSRS)
Kellele on mõeldud turvanõuete loetelu?
Turvanõuete loetelu on mõeldud süsteemi eest vastutavatele isikutele
Mis on turvanõuete rakendamise juhend?
Turvanõuete rakendamise juhend (TNRJ) ehk töötlussüsteemi kasutusjuhend on dokument, mis kirjeldab detailselt süsteemi turvanõuete loetelus ettenähtud turvanõuete täitmise korda ja iga konkreetse töötaja või muu isiku ülesandeid teabe turvalisuse tagamisel (inglise keeles Security Operating Procedures/SecOPs
Kellele on mõeldud turvanõuete rakendamise juhend?
Turvanõuete rakendamise juhend on mõeldud kõikidele kasutajatele
Mis on krüptoplaan?
Krüptoplaan on dokument, mille eesmärgiks on kirjeldada krüptoturvalisuse reegleid ning protseduure salastatud IT-süsteemis
Mida peab krüptoplaan sisaldama?
Krüptoplaanis kirjeldatakse salastatud IT-süsteemi krüptolahenduse kasutamise tehnilisi ja administratiivseid tingimusi
ROLLID TÖÖTLUSSÜSTEEMIDES
Kes on töötlev üksus?
Töötlev üksus on salastatud teavet töötlev asutus. Töötlemiseks nimetatakse teabe või teabekandja koostamist, märgistamist, kogumist, hoidmist, säilitamist, vedamist, reprodutseerimist, edastamist, hävitamist, nendest väljavõtete tegemist, nendega tutvumist või muud teabe või teabekandjaga tehtavat toimingut, sõltumata toimingu teostamise viisist või kasutatavatest vahenditest
Kes on volitatud isik?
Volitatud isik on salastatud teabele juurdepääsuõigust ja teadmisvajadust omav isik
Kes on süsteemi eest vastutav eriõigustega kasutajad?
Süsteemi eest vastutavad eriõigustega kasutajad on isikud, kes vastutavad süsteemi, sealhulgas selle osaks oleva arvuti ja kohtvõrgu turvalisuse eest. Sellisteks kasutajateks on süsteemi julgeolekuametnik, infoturbejuht ehk turbeadministraator, süsteemiadministraator ehk süsteemi haldaja, ning krüptomaterjalide töötlemise ja kaitse eest vastutav isik. Süsteemiadministraator, kellele on antud juurdepääsuõigus ainult mingile osale tervest süsteemist, nt rakendusteenusele või andmebaasile, mida ta haldab, ei ole terve süsteemi eest vastutav eriõigustega kasutaja. Samuti ei ole süsteemi eest vastutav eriõigustega kasutaja selline kasutaja, kellel on süsteemis antud teatud eriõigus (näiteks õigus printida, mälupulka kasutada jms)
Mille eest vastutab süsteemi julgeolekuametnik või turbeadministraator/infoturbejuht?
Süsteemi julgeolekuametnik või turbeadministraator/infoturbejuht vastutab süsteemi üldise turvalisuse eest. Talle on tagatud süsteemi kõigi funktsioonide kasutamine ja süsteemiinfole juurdepääsu õigus. See isik teostab kontrolli ka süsteemiadministraatori tegevuse üle
Mille eest vastutab süsteemiadministraator?
Süsteemiadministraator vastutab seadmete, tarkvara ja IT-teenuste käideldavuse, salajasuse ja tervikluse nõuetekohase tagamise eest. Talle on tagatud süsteemi kõigi funktsioonide kasutamine ja süsteemiinfole juurdepääsu õigus
Mille eest vastutab krüptomaterjalide töötlemise ja kaitse eest vastutav isik?
Krüptomaterjalide töötlemise ja kaitse eest vastutava isiku pädevuses on krüptomaterjalide loomine ja säilitamine ning nende üle arvestuse pidamine
Kes on kuller?
Kuller on isik, kes veab salastatud teabekandjaid
VÄLISLUUREAMETI ROLLID
Milliseid rolle Välisluureamet täidab?
Välisluureamet täidab järgnevaid üleriiklikke rolle nii salastatud välisteabe kui riigisaladuse kontekstis: riigi julgeoleku volitatud esindaja ehk NSA, riigi kiirgusturbe volitatud esindaja ehk NTA, riigi töötlussüsteemide akrediteerimise volitatud esindaja ehk SAA, riigi sideturbelahenduste volitatud esindaja ehk NCSA, riigi krüptohalduse volitatud esindaja ehk NDA
Mis on NSA?
National Security Authority ehk NSA on riigi julgeoleku volitatud esindaja on institutsioon, mille ülesannet on korraldada salastatud välistebe kaitset riigis Täpsemalt vaata RJVE volituste kohta RSVSst ja RSVKKst
Mis on NDA?
National Distribution Authority (NDA) ehk riigi krüptomaterjalide halduse volitatud esindaja on institutsioon, mille ülesanne on korraldada riigis salastatud teabe kaitseks kasutatavate krüptomaterjalide haldust ja teostada krüptomaterjalide töötlemise üle järelvalvet ning korraldada koolitusi
Mis on NCSA?
National Communication Security Authority (NCSA) ehk riigi sideturbelahenduste volitatud esindaja on institutsioon, mille ülesanne on salastatud süsteemides kasutatavate osade usaldusväärsuse kontrollimine ning sideturbelahenduste heakskiitmine
Mis on NTA?
National TEMPEST Authority (NTA) ehk riigi kiirgusturbe volitatud esindaja, kelle ülesandeks on uurida salastatud teabe IT-süsteemidest (töötlussüsteemidest) lähtuvaid elektromagnetvälju
Mis on SAA?
National Security Accreditation Authority (SAA) ehk riigi töötlussüsteemide akrediteerimise volitatud esindaja, kelle ülesandeks on töötlussüstemied nõuetele vastavuse kontroll
KRÜPTEERIMINE
Mis on krüpteerimine?
Krüpteerimine on teabe salajasuse tagamiseks vastavate meetodite kasutamine, et teave oleks kättesaadav ainult volitatud kasutajale
Miks peab salastatud teavet krüpteerima?
Krüpteerimine muudab teabe volitamata osapooltele arusaamatuks ehk kaitseb volitamata osapoolte eest
Millal on vaja teavet krüpteerida?
Väljaspool turvalist keskkonda (nt avalikus ruumis) võib salastatud teavet edastada vaid nõuetekohaselt krüpteerituna
Millised krüpteerimisnõuded on EL teabe osas?
Nõuded EL salastatud teabe kaitseks kasutatavale krüpteerimisele on kirjeldatud Euroopa Liidu nõukogu julgeolekureeglites (Council Security Rules/CSR's) ja selle alusel antud juhistes nt. IASP 2 Information Assurance Policy on Cryptography"
Millised krüpteerimisnõuded on NATO teabe osas?
Nõuded NATO salastatud teabe kaitseks kasutatavale krüpteerimisele on kirjeldatud NATO julgeolekureeglites (CM-49) ja selle alusel antud juhistes nt AC/322-D/0047 "Directive on Cryptographic Security and Cryptographic Mechanisms"
Kust saan lugeda krüpteerimise nõuete kohta?
Nõuded krüptomaterjalide kohta on reguleeritud 28.10.2015 Vabariigi Valitsuse määruses nr 29. Teadmisvajaduse olemasolul tuleb täpsemate krüptonõuete teadasaamiseks pöörduda Välisluureameti poole
Milliseid krüpteerimise meetodeid võib saladuse kaitseks kasutada?
Saladuste kaitsel võib kasutada nii tarkvaralist kui riistvaralist krüpteerimislahendust, kui see vastab salastatud teabe kaitse tingimustele ja selle on heaks kiitnud Välisluureamet
KRÜPTOLAHENDUSED JA -MATERJALID
Mis on krüptoseade?
Krüptoseade on seade, mis kasutades võtmematerjali, teisendab elektroonilisel kujul salastatud teabe volitamata isikule arusaamatule kujule ning mida kasutatakse salastatud teabe edastamiseks tehniliste sidekanalite kaudu
Millal on vaja kasutada krüptoseadet?
Krüptoseadet on vaja kasutada juhul kui teavet on vaja edastada elektrooniliselt krüpteerituna läbi ebaturvalise keskkonna
Mis on võtmematerjal?
Võtmematerjal on võti, kood või autentimisinformatsioon füüsilisel või elektroonilisel kujul, mida kasutatakse krüptoseadmes
Mis on krüptomaterjal?
Krüptomaterjal on tehniliste sidekanalite kaudu salastatud teabe edastamiseks kasutatavad krüptoseadmed ja võtmematerjalid
Mis on kasutusvõti?
Kasutusvõti on kiipkaart või muu analoogne salvestuskandja, mis on vajalik krüptoseadme toimimiseks nn multifaktor vahend
Mis on krüptoalgoritm?
Krüptoalgoritm on andmete teisendamise reeglid andmete krüpteerimiseks mingi teatud loogika alusel
Mis on krüptotoode?
Krüptotoode on teabe krüpteerimise abil kaitsmiseks spetsiaalselt välja töötatud toode
Mis on CCI?
Controlled Cryptographic Item (CCI) ehk kontrollitud krüptograafiline ese on sisuliselt kontrollitud tarneahelaga eriliigiline krüptograafiline toode. CCI märgisega tooteid tuleb käidelda tingimustel, tagamaks seadme endi ja nendega kaitstava (krüpteeritava) teabe turvalisuse. Tegu on tootja poolt määratud erikategooriaga seadmetele, sh kiipkaartidele ja muudele salvestuskandjatele, ja tarkvarale ning nendega seotud dokumentatsioonile, mis ei pruugi olla määratletud salajasel tasemel teabe ega teabekandjana, kuid mida kasutatakse salastatud teabe töötlemiseks ning mis alluvad seetõttu töötlemise erinõuetele
Kust leian heakskiidetud krüptotoodete nimekirja?
Heakskiidetud krüptotoodete nimekirja saamiseks palume pöörduda küsimusega Välisluureameti poole saates e-kiri aadressil infosec@fis.gov.ee. NATO salajast teavet töödeldavates IT-süsteemides lähtuda NATO toodete nimekirjast. ELi salastatud teavet töödeldavates IT-süsteemides lähtuda ELi nimekirjast
Mis on krüptokonto?
Krüptokonto on töötlevas üksuses krüptomaterjalide töötlemise ja kaitse sh arvestuse eest vastutav struktuuriüksus.
SIDETURBELAHENDUS
Mis on turbelahendus?
Turbelahendus on teabe kaitsmise ülesannet täitev toode (mis võib olla ka krüptotoode)
Mis on sideturbelahendus?
Sideturbelahendus on krüpteerimise või muud meetodiga edastatava teabe kaitset teostav lahendus
Mis on krüpteerimislahendus?
Krüpteerimislahendus on seade, seadmete kogum või tarkvaraline lahendus, sh krüptomaterjalid, millte abil kaitstakse teabet. Krüpteerimislahenduse kooskõlastamine sõltub suuresti konkreetse lahenduse omadustest.
Mis on krüptolahendus?
Krüptolahendus on ühest või mitmest omavahel koostöötavast krüptotootest koosnev lahendus
KRÜPTOKOOLITUS
Kes peab osalema krüptokoolitusel?
Krüptokoolituse peavad olema läbinud kõik, kelle tööülesannete täitmiseks on vajalik juurdepääs krüptoteabele ja –materjalidele
Kui pikk on krüptokoolitus?
Koolitused on erinevate tasemetega sõltuvalt milliste ülesannete täitmiseks töötajat on vaja ette valmistada ja seetõttu võivad kesta kahest tunnist kuni kahe päevani (nt krüptokonto halduritele)
Millal on vaja luua krüptokonto?
Salastatud teabe kaitseks kasutatavate krüptomaterjalide käitlemiseks peab asutus omama krüptokontot
Kes on krüptomaterjalide haldur?
Krüptomaterjalide haldur on krüptokonto eest vastutav isik, kes on töötleva üksuse poolt määratud korraldama krüptomaterjalide töötlemist ja kontrollima nende kaitse nõuete täitmist
KIIRGUSTURVE
Mis on TEMPEST ehk kiirgusturve?
TEMPEST ehk kiirgusturve on seadmete ja ruumide raadiosageduslike parameetrite mõõtmine ning mõõtmistulemuste hindamine vastavalt nõuetele
Millised kiirgusturbe nõuded kehtivad EL teabe kohta? Millised kiirgusturbe nõuded kehtivad NATO teabe kohta? Kust saan lugeda kiirgusturbe nõuete kohta?
Kõik kehtivad kiirgusturbe nõuded on salastatud, täpsema info saamiseks kirjuta teadmisvajaduse olemasolul e-kiri aadressile infosec@fis.gov.ee
RUUMIDE KIIRGUSTURVE
Mis on tsoneerimine?
Tsoneerimine on kiirgusturbe valdkond, mis hindab või mõõdab ruumide raadiosagedusliku sumbumise parameetreid
Mis on ruumide tsoonid?
Ruumide tsoonid näitavad ruumide kiirguskindlust (raadiosageduslikku sumbuvust)
Miks on vaja mõõta ruume?
Ruume on vaja mõõta, kui soovite töödelda salastatud teavet KONFIDENTSIAALSEL või kõrgemal tasemel, et ära hoida salastatud teabe kompromiteerimist elektromagnetsignaale ära kasutades
Millal mõõta ruume?
Ruume on vaja mõõta, kui soovite töödelda salastatud teavet KONFIDENTSIAALSEL või kõrgemal tasemel. Ruumide kiirgusturbealased mõõtmised peavad olema sooritatud enne salastatud teabe elektroonilise töötlemise algust
Millal on vaja ruume üle mõõta?
Ruumid tuleb uuesti mõõta, kui on tehtud ulatuslikke muudatusi tehnosüsteemides (nt ventilatsioon, küte), ruume on remonditud või ümber ehitatud. Täpsema info saamiseks võta ühendust infosec@fis.gov.ee
Kui kaua võtab aega ruumi mõõtmine?
Mõõtmistele kuluv aeg oleneb mõõtmist vajava objekti omapäradest. Täpsema info saamiseks võta ühendust infosec@fis.gov.ee
Kui palju maksab ruumide mõõtmine?
Hetkel on mõõtmisteenused kaetud riigieelarvest
TOITEFILTER
Mis on toitefilter? Miks on vaja kasutada toitefiltrit?
Toitefilter on seade, mis summutab elektromagnetsignaale elektrivõrgus. Ühtlasi summutab toitefilter elektromagnetsignaale, mis võiksid salastatud infot lekitada töötlussüsteemi seadmetest elektrivõrku
Millal on vaja kasutada toitefiltrit?
Toitefiltri kasutamisvajaduse peamised määravad tegurid on turvaala perimeetri suurus ja töötlussüsteemi elektritarbimise näitajad. Tegu on alati erilahendusega. Täpsema info saamiseks võta ühendust infosec@fis.gov.ee
SEADMETE KIIRGUSTURVE
Mis on seadme(te) mõõtmise kategooriad?
Seadme mõõtmise kategooria näitab seadme kiirgustaset. Kategooriaid on kolm. Nende kirjeldus on salastatud info
Mis on seadme(te) kiirguskategooria?
Seadme kiirguskategooria näitab seadme vastavust kiirgusturbe nõuetele. Kategooriaid on kolm, nende kirjeldus on salastatud info. Täpsema info saamiseks esita infopäring
Millal on vaja seadmeid mõõta?
Seadmeid on vaja mõõta, kui soovite töödelda salastatud teavet KONFIDENTSIAALSEL või kõrgemal tasemel
Millal peab seadmeid uuesti mõõtma?
Üldjuhul tuleb seadmed uuesti mõõta, kui varasemalt kontrollitud seadmete riistvaras on tehtud muudatusi või seadmeid on remonditud/modifitseeritud. Täpsema info saamiseks esita infopäring
Mida on vaja teha enne seadmete mõõtmisele toomist? Kuidas eelseadistada seadmeid enne mõõtmisele toomist?
Soovitused seadmete eelseadistamiseks leiad kiirgusturbe infomaterjalist, mille saad teadmisvajaduse olemasolu korral Välisluureametist
Mille järgi tuvastada mõõdetud seade?
Mõõdetud seadet saab tuvastada kleebise järgi. Mõõdetud seadmed märgistatakse sinise kleebisega. Kleebisel on triipkood, mõõtmise kuupäev ja seadmele omistatud kategooria(d)
Kui palju maksab seadmete mõõtmine?
Hetkel on mõõtmisteenused kaetud riigieelarvest
Kui kaua võtab aega seadme mõõtmine?
Mõõtmistele kuluv aeg oleneb mõõtmist vajava seadme tüübist ning eelseadistusest. Suurte koguste puhul anna plaanidest võimalikult vara teada. Seadmeid mõõdetakse vastavalt ootejärjekorrale. Täpsema info saamiseks võta ühendust infosec@fis.gov.ee
Millal tulete objektile kohapeale seadmeid mõõtma?
Kohapealseid (on-site testing, field testing) mõõtmisi teostatakse väga erandlikel juhtudel. Täpsema info saamiseks esita infopäring
Kes on TEMPEST seadmete edasimüüjad Eestis?
TEMPEST seadmete tootjaid on mitmeid ja leitavad internetist otsingufraasiga TEMPEST equipment. Oluline on jälgida, et seadmed vastaksid vajalikule kategooriale ja on kontrollitud vastavalt NATO SDIP-27 või ELi IASG 7-03 nõuetele. Täpsema info saamiseks TEMPEST seadmete tootjate ning edasimüüjate kohta võta ühendust infosec@fis.gov.ee
Rahumäe tee 4b, 13415
tel: +372 693 5000 , faks: +372 693 5001