Turvariskide maandamiseks tuleb alati vaadata, kes on nende ärahoidmise eest vastutavad. Niisuguste ülesannete jagamine tehakse organisatsiooni infopoliitika ühe osana või ka eraldi dokumendina. See käsitleb kõiki selles organisatsioonis asjakohaseid turvalisusega seotud aspekte s.o. kehtestab infoturbe meetmete süsteemi. Alati on organisatsiooni sisese vastutuse kõrval s.o. vastutus kaastöötajate, klientide ja tarnijate ees, olemas ka laiem vastutus ühiskonnas, mis hõlmab usaldust infotehnoloogia rakendamise vastu äritegevuses, sotsiaalsetes suhetes ja avalike teenuste kasutamises.

Seetõttu peab isegi väikeses organisatsioonis olema turvaprobleemidega tegelev inimene, kes vajadusel kaasab väliseksperdid. See vastutav isik jõustab koos organisatsiooni juhtkonnaga asjakohase turvapoliitika, mille rakendamiseks kasutatakse vajalikku tehnoloogiat ja jälgitakse ettenähtud protseduure. Turvapoliitika tuleb perioodiliselt üle vaadata ja kaasajastada.

Infosüsteemide turvameetmete süsteemi kehtestamise eesmärgiks on määratleda üheselt mõistetavalt infosüsteemide turvanõuete kirjeldamise kord, turvanõuetest lähtuvalt andmeturbe eesmärkidele vastavate turvaklasside määramise kord ja turvaklassidele vastavate turvameetmete valimise kord.

Infosüsteemi turvaanalüüsi põhjal määratakse töödeldavate andmete koosseisu alusel turvaklassid, mille juures arvestatakse enim kaitsmist vajavate andmete turbe eesmärgi taset. Turvaklassi tähistamisel kasutatakse vastava andmeturbe eesmärgi nimetusele viitavat tähte ja taseme numbrit.

Turbetasemed jaotatakse teabe käideldavuse (K - eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile), tervikluse (T - andmete õigsuse/täielikkuse/ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine) ja konfidentsiaalsuse (S - andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele) alusel. Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, näiteks K2T3S1. Vastavalt turvaklassile tuleb kasutada asjakohaseid arendusvahendeid infosüsteemi loomisel, ette näha ning maandada kõik võimalikud riskid süsteemide töö halvamiseks või riknemiseks.

Terviklikkus

Kitsamas, ainult infosüsteemi käsitlemise mõttes, on infosüsteemi terviklikkuse kaitseks võimalik rakendada tehnilisi ja organisatsioonilisi meetmeid.

Organisatsioonilised meetmed peavad tagama info kättesaadavuse ainult lubatud isikutele ja kogu info säilimise. Paljuski on see seotud füüsiliste turvaabinõudega. Kõigis infosüsteemides on komponente, mida saavad kurikaelad varastada ja lõhkuda või loodusjõud saavad halvata nende töö. On loodud mitmeid standardeid, mis esitavad konkreetsed vähimad turvanõuded infosüsteemide füüsilisele turvalisusele. Nendes kirjeldatakse juurdepääsu lubamise/keelamise meetmed, nõuded tuletõrje häiresüsteemidele, varutoite allikatele jne. Andmete kaotsimineku ja elutähtsate süsteemide töö katkemise vältimiseks luuakse dubleerivaid andmehoidlaid või peegeldatud serverite klastreid üksteisest füüsiliselt eraldatud kohtades.

Infosüsteemi turvalisuse oluliste komponentidena käsitletakse nende terviklikkust, käideldavust ja konfidentsiaalsust, mis tähendab, et töödeldavad andmed peavad olema alati ajakohased, kättesaadavad täies vajalikus mahus ja töödeldavad ainult kasutajatele ja nende gruppidele kindlaks määratud juurdepääsupoliitikate alusel. On elementaarne, et süsteemide loogiline piir on kaitstud tulemüüridega ja kõikvõimalike kurivara tõrje vahenditega. Üle võrgu vahetatava informatsiooni kaitstuse peavad tagama mitmed krüpteerimise tehnikad. Siin tuleb teha tagasi viide ka ID-vahendite kasutamise vajalikkusest, mis on üks lahendus turvaliste krüptalgoritmide kasutamiseks.

Infosüsteemid saab jagada objektiivsete kriteeriumite alusel nende turvanõuete taseme järgi ja määrata neile sobivad turvaklassid sõltuvalt võimalike käideldavuse või muude intsidentide ohu järgi.

Mõned näited ilmselt erinevate turvanõuetega süsteemidest:

• kontrollisüsteemid, mis juhivad kõrgendatud riskiga objektide tööd (tuumarajatised, tammid, õhu- ja raudtee transport jne) s.t. süsteemid, mille riknemine kujutab otsest ohtu inimestele ja ühiskonna varale
• infrastruktuurisüsteemid mis hoiavad toimimas majanduse (pangad, side jne)
• e‑äri ja avaliku teenuse süsteemid, mida kodanikud kasutavad igapäevaselt.

Kokkuvõtteks. Rakendatud turvameetmete hindamise kriteeriumid peavad olema koostatud nii, et need näitaks selle vastavust infosüsteemi turvaklassile. Hindamine peab näitama, kas kõik riskid on arvesse võetud ja peab olema võimalik määrata (loomulikult süsteemi terveks jätvate simulatsioonidega) kasutatavate turvatehnikate tulemuslikkust ja ennetavate meetmete tõhusust iga potentsiaalse riski korral. Riskide realiseerumise tõenäosus ja oht peavad siin mängima olulist osa testide planeerimisel ning ei tohi jätta tähelepanuta, et kogu turvasüsteem on parasjagu nii tugev kui tugev on selle nõrgim lüli. Hästi korraldatud rünne leiab alati üles nõrgima lüli süsteemis ja sellest piisab, et halvata kas süsteemi käideldavust, terviklikkust või konfidentsiaalsust.

Kuna andmeturve on spetsiifiline valdkond, siis on asjakohane tuua eraldi välja mõned põhiterminid.

Autentimine (identifitseerimine) - protseduur, mille käigus tehakse kindlaks teenuse kasutamist taotlev isik või infosüsteem. Näiteks infosüsteem autenditakse riigi infosüsteemide andmevahetuskihi poolt antud turvaserveri sertifikaadi alusel. Infosüsteemi kasutava isiku autentimise eest vastutab infosüsteemi haldav asutus. Riigi ja omavalitsuse infosüsteemide kasutajad (ametnikud) autenditakse reeglina ID-kaardiga. Autenditud infosüsteemi teenuseid kasutav rakendus autenditakse täiendavalt rakenduse eest vastutava isiku sertifikaadi alusel. Isikud ja ettevõtjad, kes kasutavad teenuseid läbi kodanikuportaali, autenditakse ID-kaardi või internetipankade vahendusel.

Autoriseerimine - protseduur, mille käigus tehakse kindlaks teenust taotleva autenditud isiku või infosüsteemi õigus teenust kasutada. Kasutajainfosüsteem autoriseeritakse vastavalt selle kuuluvusele teatud kasutajagruppi (kasutajagrupp võib koosneda ka ühest asutusest). Kasutajagruppe loob ja haldab RIHA. Vastutus kasutajagrupi autoriseerimise eest lasub teenuseosutajal. Kasutajainfosüsteemi kaudu teenuseid kasutavaid isikuid autoriseerib seda süsteemi haldav asutus.

e-teenused - kõikvõimalikud teenused (kasutajale lisaväärtust loovad toimingud) elektroonses keskkonnas. Teenused võivad olla väga erinevat tüüpi: ühekordsed infoteenused, pikaajalised protsessipõhised menetlusteenused, e-demokraatia teenused (hääletamine, valimine jms). Teenuste pakkujateks võivad olla mistahes asutused, ettevõtted, organisatsioonid üksikisikud. Teenused võivad olla nii inimesele suunatud kui ka infosüsteemide vahelised.

e-valitsus - valitsuse, täidesaatva võimu elektroonsed rakendused, infosüsteemid ning vastavad vahendid ja protseduurid täidesaatva võimu funktsioonide täitmiseks.

Informatsiooniline infrastruktuur - informatsioon ning inimesed, protsessid, protseduurid, vahendid, rajatised ja tehnoloogia informatsiooni loomiseks, kasutamiseks, edastamiseks, säilitamiseks ja hävitamiseks.

Koosvõime - infosüsteemide ja nende poolt toetavate tegevusprotsesside võime vahetada andmeid ja ühiselt kasutada informatsiooni ja teadmisi.

Koosvõime raamistik - põhimõtete, standardite ja juhendite kogum, mida organisatsioonid järgivad üksteisega suhtlemisel.

Kriitiline infrastruktuur - kriitilised infrastruktuurid koosnevad nendest füüsilistest ja infotehnoloogia rajatistest, võrkudest, teenustest ja ressurssidest, millel häirimisel või hävitamisel on tugev mõju kodanike tervisele, ohutusele, julgeolekule või majanduslikule heaolule või valitsuse tõhusale toimimisele. Kriitilised infrastruktuurid hõlmavad paljusid majandussektoreid, kaasa arvatud pangandus ja rahandus, transport ja turustamine, energia, kommunaalmajandus, tervishoid, toiduga varustamine ja side, samuti ka valitsuse võtmeteenistused. Mõningad kriitilised elemendid nendes sektorites pole rangelt võttes „infrastruktuur", kuid on tegelikult võrgud või tarneahelad, mis toetavad elutähtsate toodete või teenuste laialijagamist. Näiteks on toidu- või veevarustus meie suuremates linnastunud piirkondades sõltuv teatud võtmerajatistest, kuid samuti tootjate, töötlejate, turustajate ja jaemüüjate komplekssest võrgust (http://www.siseministeerium.ee/elutahtsad-valdkonnad-ja-teenused-2/).

Kriitiline informatsiooniline infrastruktuur (Critical Information Infrastructure, CII) - informatsioonilise infrastruktuuri komponendid, mis on kas ise kriitilised või mis on hädavajalikud kriitilise infrastruktuuri toimimiseks.

Public Key Infrastructure, PKI - avaliku võtme infrastruktuur.