Infoturbe juhtimise süsteem
Vastu võetud 15.03.2012 nr 26
RT I, 19.03.2012, 4
jõustumine 01.01.2013
Muudetud järgmiste aktidega (näita)
| Vastuvõtmine | Avaldamine | Jõustumine |
|---|---|---|
| 07.07.2023 | RT I, 14.07.2023, 3 | 17.07.2023 |
Määrus kehtestatakse Vabariigi Valitsuse seaduse § 27 lõike 3 alusel.
§ 1. Reguleerimisala
(1) Määrusega kehtestatakse valitsusasutuse (edaspidi asutus) infoturbe juhtimise süsteem ning ministeeriumi kantsleri ja asutuse juhi (edaspidi asutuse juht) ja infoturbejuhi ülesanded.
(2) Asutuse juht ja infoturbejuht juhinduvad küberturvalisuse seadusest ja selle alusel kehtestatud määrustest, käesolevast määrusest, rahvusvahelistest infoturbe halduse standarditest ja parimast praktikast.
[RT I, 14.07.2023, 3 - jõust. 17.07.2023]
(3) Asutuse juht korraldab infoturbe juhtimise süsteemi rakendamise ka oma asutuse hallatavas riigiasutuses.
§ 2. Terminid
Määruses kasutatakse termineid järgmises tähenduses:
1) infoturve on asutuse turvameetmete loomise, valimise ja rakendamise protsesside kogum;
2) infovara on informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;
3) infoturbe juhtimise süsteem on terviklik juhtimismeetmete kompleks, mis võimaldab tagada asutuse põhitegevuse jätkusuutlikkuse ja infovarade kaitstuse;
4) infoturbejuht on asutuse juhi määratud isik, kes vastutab asutuse infoturbe eest;
5) turvaintsident on sündmus või sündmused, millega kaasneb andmete või muude infovarade käideldavuse, tervikluse või konfidentsiaalsuse kadu või tekib oluline oht andmete käideldavuse, tervikluse või konfidentsiaalsuse kao tekkeks.
§ 3. Asutuse juhi ülesanded
Asutuse juht rakendab infoturbe juhtimise süsteemi oma asutuses ja oma asutuse hallatavas riigiasutuses ning vastutab selle tulemuslikkuse eest. Selleks täidab asutuse juht järgmisi ülesandeid:
1) kehtestab infoturvet reguleerivad juhised, milles määratakse kindlaks infoturbe eesmärgid kooskõlas asutuse tegevusstrateegia ja eesmärkidega;
[RT I, 14.07.2023, 3 - jõust. 17.07.2023]
2) loob organisatsioonilise raamistiku infoturbe juhtimise süsteemi rakendamiseks, sealhulgas määrab infoturbega seotud tööülesanded ja vastutuse kogu asutuse ulatuses ning integreerib need olemasolevate protsessidega;
3) vastutab infoturbe juhtimise süsteemi toimimise eest. Selleks loob ta asutuses infoturbejuhi ametikoha ja määrab infoturbejuhi. Infoturbejuhi ülesandeid võib kokkuleppeliselt teise asutuse juhiga täita teise asutuse infoturbejuht või asutuseväline teenuseosutaja;
4) tagab infoturbejuhile tööks vajalikud tingimused, ligipääsu tööks vajalikule informatsioonile ja objektidele ning sõltumatuse asutuse muust tööst;
5) võimaldab infoturbejuhile pideva ja asjakohase täiendusõppe kooskõlas infoturvet reguleerivate juhiste, asutuse strateegilise plaani ja asutuse tööplaaniga;
6) korraldab asutuse infoturbe riskide hindamise ja nende maandamise tegevuskava koostamise vähemalt kord aastas, kaasates sellesse infoturbejuhi;
7) kinnitab vähemalt kord aastas infoturbejuhi koostatud infoturbe raporti, millega aktsepteerib muu hulgas asutuses või selle valitsemisalas infoturbejuhi esitatud riskid, ja järgmise aasta riskide maandamise tegevuskava;
8) kiidab heaks infoturbejuhi värbamist ning vabastamist puudutavad otsused;
9) täidab muid teistes õigusaktides sätestatud ülesandeid.
§ 4. Infoturbe juhtimise süsteemi nõuded ja infoturbejuhi ülesanded
(1) Infoturbejuht peab alluma vahetult sellisele tasandile asutuses, mis võimaldab infoturbejuhile pandud ülesandeid täita.
(2) Kui infoturbejuhile pandud ülesandeid täidab asutuseväline teenuseosutaja, vastutab infoturbe tagamise eest asutuse juht.
(3) Infoturbejuhil on õigus ja kohustus raporteerida olulistest turvaintsidentidest ja asutusesiseste kordade rikkumisest asutuse juhile.
(4) Infoturbejuht:
1) vastutab infoturbega seotud ülesannete täitmise eest ning juhib infoturbe struktuuriüksust, kui see on moodustatud. Ta tagab infoturvet reguleerivate juhiste olemasolu, elluviimise ja ajakohastamise;
2) korraldab organisatoorsete, füüsiliste ja infotehniliste infoturbemeetmete rakendamist või asjaomase teenuse tellimist;
3) teeb oma ülesannete täitmisel koostööd andmekaitsespetsialistiga, kui asutus on sellise isiku määranud, riigi võrgu- ja infosüsteemile kohustusliku Eesti infoturbestandardi või rahvusvahelise standardi ISO/IEC 27001 rakendajaga ning riigisaladuse kaitset korraldava isiku või üksusega;
[RT I, 14.07.2023, 3 - jõust. 17.07.2023]
4) kontrollib infoturvet reguleerivate juhiste täitmist, hindab asutuse infoturbe tõhusust ning koostab sellekohase raporti, mille sisu ja esitamise sagedus määratakse kindlaks koostöös asutuse juhiga. Raport esitatakse asutuse juhile vähemalt kord aastas;
5) osaleb asutuse arendus- või IT-nõukogu töös ja infosüsteemide arendusprojektides ning nõustab infoturbe riskide hindamisel, uute turvameetmete loomisel või olemasolevate parendamisel;
6) korraldab asutuses turvameetmete rakendamist, olulise mõjuga küberintsidendi lahendamise raporti koostamist ja edastamist ning Riigi Infosüsteemi Ameti ja teiste asjakohaste isikute teavitamist küberintsidendist ja turvaintsidendist;
[RT I, 14.07.2023, 3 - jõust. 17.07.2023]
7) korraldab infosüsteemide valmisoleku hädaolukorraks ning taasteplaani koostamise;
8) korraldab elutähtsa teenuse katkemisest või selle ohust teavitamise hädaolukorra seaduse § 37 lõike 3 punkti 3 kohaselt, kui asutus osutab elutähtsat teenust ja teenuse toimepidevus on ohus elutähtsa teenuse osutamiseks kasutatavate infosüsteemide häirete tõttu;
9) teavitab töötajaid turvareeglitest, nõustab neid infoturbealaselt ning vajaduse korral korraldab asutuse töötajatele koolitusi üldise turvateadlikkuse tõstmiseks;
10) täidab teisi õigusaktides sätestatud ülesandeid.
(41) Lõike 4 punktis 6 nimetatud raport esitatakse Riigi Infosüsteemi Ametile iga kolme kuu järel. Raporti esitamise kohustust ei ole küberturvalisuse seaduse § 1 lõikes 2 nimetatud teabe töötlemisega seotud võrgu- ja infosüsteemides toimunud küberintsidentide kohta.
[RT I, 14.07.2023, 3 - jõust. 17.07.2023]
(5) Infoturbejuhil on õigus teha asutuse juhile ettepanek kaasata probleemide lahendamisele asjatundjaid.
(6) Infoturbejuht vastutab töö käigus kogutud ja koostatud dokumentide kaitstuse eest ja ei kasuta neis sisalduvat või muul viisil talle teatavaks saanud teavet teisiti kui oma tööülesannete täitmiseks.
(7) Kontrollimisel, tähelepanekute ja järelduste tegemisel, soovituste andmisel ning tulemustest teavitamisel on infoturbejuht sõltumatu ja kontrollitava suhtes objektiivne.
(8) Infoturbejuht teavitab asutuse juhti asjaolust, mis ohustab tema objektiivsust tööülesande täitmisel.
Facebook
Twitter