Teksti suurus:

• Väike
• Keskmine
• Suur

Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed

Vastu võetud 14.03.2013 nr 43

Määrus kehtestatakse hädaolukorra seaduse § 40 lõike 2 alusel.

§ 1.  Määruse reguleerimisala ja eesmärk

  (1) Määrusega reguleeritakse elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ja nendega seotud infovarade turvameetmete rakendamise korraldust.

  (2) Määruse eesmärk on tagada elutähtsa teenuse osutamiseks kasutatavate infosüsteemide järjepideva toimimise suutlikkus ja taastamise võime pärast katkestust.

§ 2.  Terminid

  Määruses kasutatakse termineid järgmises tähenduses:
  1) elutähtsa teenuse osutamise kriitiline tegevus (edaspidi kriitiline tegevus) – tegevus, mille katkestus ohustab tõsiselt asutuse või ettevõtte võimekust osutada elutähtsat teenust ning takistab asutuse või ettevõtte sõnastatud eesmärkide saavutamist teenuse osutamisel;
  2) elutähtsa teenuse osutamiseks kasutatav infosüsteem – kriitilise tegevuse toimepidevust mõjutav infosüsteem;
  3) infosüsteemi riskianalüüs – analüüs, mille käigus tuleb kriitilise infosüsteemi kohta selgitada välja võimalikud ohud ja nõrkused, hinnata ohtude realiseerumise tõenäosust ja nendega kaasnevaid kahjusid ning valida sobivad turvameetmed ohtude realiseerumise mõju vähendamiseks;
  4) olulise mõjuga turvaintsident – elutähtsa teenuse osutamiseks kasutatava infosüsteemiga seotud sündmus, mille tagajärjel elutähtsa teenuse toimepidevuse nõudeid ei suudeta täita või tekib vahetu oht toimepidevuse nõuete täitmise suutlikkusele. Olulise mõjuga turvaintsident võib lisaks oma infosüsteemile mõjutada teiste elutähtsate teenuste osutamiseks vajalike infosüsteemide toimimist;
  5) varundusmeedia – andmekandja, millele salvestatakse varundamisele kuuluvad andmed;
  6) oluline sõltuvus infosüsteemist – kriitilise tegevuse katkemine infosüsteemi tõrke tõttu. Olulise sõltuvusega infosüsteem on samuti tööstuslik automaatjuhtimissüsteem, millega juhitakse kriitilist tegevust.

§ 3.  Kriitilise tegevuse sõltuvus infosüsteemist

  (1) Elutähtsa teenuse osutaja koostab hädaolukorra seaduse § 37 lõike 3 punkti 1 alusel toimepidevuse riskianalüüsi. Toimepidevuse riskianalüüsist selgub, kas ja millisel määral mõjutavad infosüsteemid kriitilise tegevuse toimepidevust.

  (2) Kui kriitilise tegevuse sõltuvus infosüsteemist on oluline, on elutähtsa teenuse osutaja kohustatud rakendama turvameetmed vastavalt §-le 4.

  (3) Kui kriitiline tegevus sõltub infosüsteemist, kuid on olemas alternatiivne lahendus kriitilise tegevuse toimepidevuse tagamiseks, peab elutähtsa teenuse osutaja kirjeldama asendusmeetmed hädaolukorra seaduse § 39 lõikes 1 nimetatud toimepidevuse plaanis.

  (4) Kui kriitilise tegevuse sõltuvus infosüsteemist ei ole oluline, peab elutähtsa teenuse osutaja rakendama sellele infosüsteemile turvameetmed tasemel, mis tagab teenuse toimepidevuse.

§ 4.  Turvameetmete rakendamine infoturbe halduse süsteemi alusel

  (1) Elutähtsa teenuse osutaja loob oma põhitegevusi ja riske arvestades infoturbe halduse süsteemi, mida ta rakendab, seirab ja vajaduse korral täiustab.

  (2) Elutähtsa teenuse osutaja järgib infoturbe halduse süsteemi rakendamisel soovitatavalt:
  1) EVS-ISO/IEC 27001:2006 standardit;
  2) Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteem” kehtestatud infosüsteemide kolmeastmelise etalonturbe süsteemi ISKE või
  3) oma tegevusvaldkonnas kehtestatud infoturbe halduse erinõudeid ja head tava, mis tulenevad õigusaktist, välislepingust või muust lepingust ja on samaväärsed punktides 1 ja 2 nimetatud standarditega.

  (3) Elutähtsa teenuse osutaja teeb infosüsteemi riskianalüüsi ja valib selle alusel infosüsteemi kaitseks vajalikud turvameetmed eesmärgiga tagada elutähtsat teenust korraldava asutuse kehtestatud teenuse toimepidevuse nõuete täitmine.

  (4) Elutähtsa teenuse osutaja dokumenteerib turvameetmete rakendamise.

  (5) Elutähtsa teenuse osutaja peab turvameetmete rakendamisel tagama:
  1) ligipääsu kriitilisele infosüsteemile vaid selleks õigustatud isikutele;
  2) õigustatud isikute turvalise tuvastamise;
  3) kontrolljälje olemasolu, mis võimaldab tagantjärele kindlaks teha katkestuse toimumise aja ja muud kontrolli või uurimise teostamiseks tähtsust omavad asjaolud;
  4) olulise mõjuga turvaintsidendi raporti olemasolu, mis sisaldab muu hulgas teenuse taastamise käiku pärast katkestust ja meetmeid katkestuste edasiseks vältimiseks;
  5) elutähtsa teenuse osutamiseks vajalike andmete koopia säilitamise elektromagnetilise kiirguse eest kaitstud ruumides;
  6) elutähtsa teenuse osutamiseks vajalike andmete varundusmeedia säilitamise asukohtades, mis on üksteisest piisaval kaugusel, arvestades võimalikke ohtusid ja nendest tulenevaid riske.

  (6) Elutähtsa teenuse osutaja määrab isiku, kes vastutab turvameetmete rakendamise eest ning teavitab regulaarselt juhtkonda toimunud turvaintsidentidest ja toimepidevuse häiretest.

§ 5.  Turvaintsidentidest teavitamine

  Elutähtsa teenuse osutaja määrab kontaktisiku, kes teavitab viivitamata Riigi Infosüsteemi Ametit olulise mõjuga turvaintsidendist ja turvaintsidendi lahendamise järel edastab sellekohase raporti.

§ 6.  Riigi Infosüsteemi Ameti ja elutähtsat teenust korraldava asutuse vaheline teabevahetus

  (1) Kui kontaktisik on teavitanud Riigi Infosüsteemi Ametit § 5 alusel, siis edastab Riigi Infosüsteemi Amet saadud teabe elutähtsat teenust korraldavale asutusele.

  (2) Kui elutähtsa teenuse osutaja on elutähtsat teenust korraldavat asutust teavitanud olulise mõjuga turvaintsidendist, siis edastab elutähtsat teenust korraldav asutus saadud teabe Riigi Infosüsteemi Ametile.

§ 7.  Riigi Infosüsteemi Ameti õigus anda juhendeid

  Riigi Infosüsteemi Amet võib anda elutähtsa teenuse osutajale soovituslikke juhendeid turvameetmete paremaks rakendamiseks.

§ 8.  Rakendussätted

  (1) Elutähtsa teenuse osutaja teavitab Riigi Infosüsteemi Ametit § 5 alusel määratud kontaktisikust 1. aprilliks 2013. a.

  (2) Elutähtsa teenuse osutaja rakendab turvameetmed 1. jaanuariks 2014. a.