Teksti suurus:

Infoturbe juhtimise süsteem

Väljaandja:Vabariigi Valitsus
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:01.01.2013
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT I, 19.03.2012, 4

Infoturbe juhtimise süsteem

Vastu võetud 15.03.2012 nr 26

Määrus kehtestatakse Vabariigi Valitsuse seaduse § 27 lõike 3 alusel.

§ 1. Reguleerimisala

 (1) Määrusega kehtestatakse valitsusasutuse (edaspidi asutus) infoturbe juhtimise süsteem ning ministeeriumi kantsleri ja asutuse juhi (edaspidi asutuse juht) ja infoturbejuhi ülesanded.

 (2) Asutuse juht ja infoturbejuht juhinduvad oma tööülesannete täitmisel käesolevast määrusest, Vabariigi Valitsuse 20. detsembri 2007. a määrusest nr 252 „Infosüsteemide turvameetmete süsteem”, rahvusvahelistest infoturbe halduse standarditest ja parimast praktikast.

 (3) Asutuse juht korraldab infoturbe juhtimise süsteemi rakendamise ka oma asutuse hallatavas riigiasutuses.

§ 2. Terminid

  Määruses kasutatakse termineid järgmises tähenduses:
 1) infoturve on asutuse turvameetmete loomise, valimise ja rakendamise protsesside kogum;
 2) infovara on informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;
 3) infoturbe juhtimise süsteem on terviklik juhtimismeetmete kompleks, mis võimaldab tagada asutuse põhitegevuse jätkusuutlikkuse ja infovarade kaitstuse;
 4) infoturbejuht on asutuse juhi määratud isik, kes vastutab asutuse infoturbe eest;
 5) turvaintsident on sündmus või sündmused, millega kaasneb andmete või muude infovarade käideldavuse, tervikluse või konfidentsiaalsuse kadu või tekib oluline oht andmete käideldavuse, tervikluse või konfidentsiaalsuse kao tekkeks.

§ 3. Asutuse juhi ülesanded

  Asutuse juht rakendab infoturbe juhtimise süsteemi oma asutuses ja oma asutuse hallatavas riigiasutuses ning vastutab selle tulemuslikkuse eest. Selleks täidab asutuse juht järgmisi ülesandeid:
 1) kehtestab infoturvet reguleerivad juhised, näiteks infoturbepoliitika, milles määratakse kindlaks infoturbe eesmärgid kooskõlas asutuse tegevusstrateegia ja eesmärkidega;
 2) loob organisatsioonilise raamistiku infoturbe juhtimise süsteemi rakendamiseks, sealhulgas määrab infoturbega seotud tööülesanded ja vastutuse kogu asutuse ulatuses ning integreerib need olemasolevate protsessidega;
 3) vastutab infoturbe juhtimise süsteemi toimimise eest. Selleks loob ta asutuses infoturbejuhi ametikoha ja määrab infoturbejuhi. Infoturbejuhi ülesandeid võib kokkuleppeliselt teise asutuse juhiga täita teise asutuse infoturbejuht või asutuseväline teenuseosutaja;
 4) tagab infoturbejuhile tööks vajalikud tingimused, ligipääsu tööks vajalikule informatsioonile ja objektidele ning sõltumatuse asutuse muust tööst;
 5) võimaldab infoturbejuhile pideva ja asjakohase täiendusõppe kooskõlas infoturvet reguleerivate juhiste, asutuse strateegilise plaani ja asutuse tööplaaniga;
 6) korraldab asutuse infoturbe riskide hindamise ja nende maandamise tegevuskava koostamise vähemalt kord aastas, kaasates sellesse infoturbejuhi;
 7) kinnitab vähemalt kord aastas infoturbejuhi koostatud infoturbe raporti, millega aktsepteerib muu hulgas asutuses või selle valitsemisalas infoturbejuhi esitatud riskid, ja järgmise aasta riskide maandamise tegevuskava;
 8) kiidab heaks infoturbejuhi värbamist ning vabastamist puudutavad otsused;
 9) täidab muid teistes õigusaktides sätestatud ülesandeid.

§ 4. Infoturbe juhtimise süsteemi nõuded ja infoturbejuhi ülesanded

 (1) Infoturbejuht peab alluma vahetult sellisele tasandile asutuses, mis võimaldab infoturbejuhile pandud ülesandeid täita.

 (2) Kui infoturbejuhile pandud ülesandeid täidab asutuseväline teenuseosutaja, vastutab infoturbe tagamise eest asutuse juht.

 (3) Infoturbejuhil on õigus ja kohustus raporteerida olulistest turvaintsidentidest ja asutusesiseste kordade rikkumisest asutuse juhile.

 (4) Infoturbejuht:
 1) vastutab infoturbega seotud ülesannete täitmise eest ning juhib infoturbe struktuuriüksust, kui see on moodustatud. Ta tagab infoturvet reguleerivate juhiste olemasolu, elluviimise ja ajakohastamise;
 2) korraldab organisatoorsete, füüsiliste ja infotehniliste infoturbemeetmete rakendamist või asjaomase teenuse tellimist;
 3) teeb oma ülesannete täitmisel muu hulgas koostööd isikuandmete töötlemise eest vastutava isikuga, kui asutus on sellise isiku määranud, riigi andmekogudele kohustusliku infosüsteemide turvameetmete süsteemi rakendajaga ning riigisaladuse kaitset korraldava isiku või üksusega;
 4) kontrollib infoturvet reguleerivate juhiste täitmist, hindab asutuse infoturbe tõhusust ning koostab sellekohase raporti, mille sisu ja esitamise sagedus määratakse kindlaks koostöös asutuse juhiga. Raport esitatakse asutuse juhile vähemalt kord aastas;
 5) osaleb asutuse arendus- või IT-nõukogu töös ja infosüsteemide arendusprojektides ning nõustab infoturbe riskide hindamisel, uute turvameetmete loomisel või olemasolevate parendamisel;
 6) juurutab asutuses turvaintsidentide haldamise korra ning teavitab viivitamata Riigi Infosüsteemi Ameti infoturbeintsidentide käsitlemise osakonda (CERT-EE) olulistest turvaintsidentidest nende nõuete järgi, mis on toodud Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide turvameetmete süsteem” alusel kinnitatud rakendamisjuhendis. Turvaintsidentide raport esitatakse CERT-EE-le kord kolme kuu jooksul;
 7) korraldab infosüsteemide valmisoleku hädaolukorraks ning taasteplaani koostamise;
 8) korraldab elutähtsa teenuse katkemisest või selle ohust teavitamise hädaolukorra seaduse § 37 lõike 3 punkti 3 kohaselt, kui asutus osutab elutähtsat teenust ja teenuse toimepidevus on ohus elutähtsa teenuse osutamiseks kasutatavate infosüsteemide häirete tõttu;
 9) teavitab töötajaid turvareeglitest, nõustab neid infoturbealaselt ning vajaduse korral korraldab asutuse töötajatele koolitusi üldise turvateadlikkuse tõstmiseks;
 10) täidab teisi õigusaktides sätestatud ülesandeid.

 (5) Infoturbejuhil on õigus teha asutuse juhile ettepanek kaasata probleemide lahendamisele asjatundjaid.

 (6) Infoturbejuht vastutab töö käigus kogutud ja koostatud dokumentide kaitstuse eest ja ei kasuta neis sisalduvat või muul viisil talle teatavaks saanud teavet teisiti kui oma tööülesannete täitmiseks.

 (7) Kontrollimisel, tähelepanekute ja järelduste tegemisel, soovituste andmisel ning tulemustest teavitamisel on infoturbejuht sõltumatu ja kontrollitava suhtes objektiivne.

 (8) Infoturbejuht teavitab asutuse juhti asjaolust, mis ohustab tema objektiivsust tööülesande täitmisel.

§ 5. Määruse jõustumine

  Määrus jõustub 1. jaanuaril 2013. a.

Andrus Ansip
Peaminister

Juhan Parts
Majandus- ja kommunikatsiooniminister

Heiki Loot
Riigisekretär