Projekt “Turvalised laiatarbeveebid”

MTÜ Arvutikaitse kuulutab välja hanke projekti „Turvalised laiatarbeveebid” teostamiseks. Hange viiakse läbi Perioodi 2007-2013 struktuuritoetuse seaduse raames taotletud majanduskeskkonna rakenduskava prioriteetse suuna „Infoühiskonna edendamine” toetuse raames.

Hankedokumentide saamiseks tuleb saata e-kiri aadressile aare@arvutikaitse.ee. Samalt aadressilt saab ka vastused küsimustele hankedokumentide sisu kohta.

Pakkumuse esitamise tähtaeg on 29.10.2012.

Projekti kirjeldus

 

Probleem
Andmesidevõrkudes piiratud ligipääsuga alade andmekaitse sisuline kaitstus on tihti madalam kui püütakse näidata. Nii näiteks autendivad populaarsed suhtluskeskkonnad  ja isegi veebipoed oma kasutajaid üle ebaturvalise HTTP protokolli, kasutajate andmed, sealhulgas delikaatsed isikuandmed tööportaalides liiguvad võrgus pealtkuulataval kujul. Enamikel juhtudel kasutajad ja veebide omanikud ei teadvustagi, et nende andmed ja salasõnad on ohus.

Eesmärk

Projekti eesmärk on aidata leida taskukohaseid ja kergesti rakendatavaid viise selleks, et tõsta piiratud ligipääsuga veebide turvalisust.
Selleks on vajalik tutvustada lisaks avalikule sektorile ka kolmandale ja erasektorile ISKE etalonturbe meetmeid. Antud projektis võetakse kindel alamosa ISKE meetmetest (B 5.4), viiakse selle põhjal saidi omanikega läbi riskide hindamine ja aidatakse juurutada põhimõtted veebisaitide turvalisuse tõstmisel.
Projekti eesmärgiks on ka koostada veebisaidi turvalisuskaitse üldpõhimõtted, mida avalikud veebid saaksid oma kasutajate informeerimiseks lisada oma kasutustingimustesse.

Mida tehakse

Töötatakse välja kriteeriumid projektis osalemiseks, et eelistatud oleksid just laia kõlapinda omavad ja kolmanda sektori veebid. Kuna auditeerimist vajavaid veebisaite on eeldatavasti üle 100, tuleb nende seast teha valik.
ISKE B 5.4 põhjal koostatakse veebisaidi riskide hindamise küsimustik, auditit läbiviivaid töötajaid instrueeritakse ISKE metoodika ning turvaauditi läbiviimise osas.
Viiakse läbi veebide turvaaudit, selleks küsitletakse veebide haldajaid ning kasutatakse ka spetsiaalseid auditeerimistööriistu. Saadud tulemi põhjal koostatakse raport koos soovitustega.
Vastavalt raporti soovitustele konfigureeritakse veebid ümber. Kus vaja, suletakse süsteemsed teenused, mida ei kasutata, kuid mis töötavatena kujutavad endast turvariski. HTTP-protokolli kasutavad autentimisleheküljed seadistatakse kasutama HTTPS-i. Kui veebilehekülje haldajal puudub selleks vajalik veebiserveri sertifikaat, ostetakse see tunnustatud sertifitseerimisteenuse pakkujalt ning paigaldatakse serverisse.
Veebiserverite omanikud varustatakse juhendmaterjalidega nende veebide edasiseks turvaliseks kasutamiseks.
Audit põhineb ISKE metoodikal. Info kogutakse kas veebi haldaja küsitlemise või seaduslike andmepäringute kaudu. Pen-teste ei kasutata ning nende järele pole projekti eesmärkide täitmiseks ka vajadust. Arvutisüsteemide tööd häirida või tõkestada, arvutiandmetesse ja andmetöötlusse sekkuda või arvutisüsteemi mõnel muul viisil ebaseaduslikult kasutada ei ole lubatud.
Audiitori tegevus ja auditi läbiviimine peab vastama Rahvusvahelistele Siseauditi Standarditele ja Tegevusjuhistele, sh Eetika koodeksile.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga