Infosüsteemide turvameetmete süsteem
Vastu võetud 20.12.2007 nr 252
Määrus kehtestatakse «Avaliku teabe seaduse» § 439 lõike 1 punkti 4 alusel.
1. peatükk
ÜLDSÄTTED
§ 1. Reguleerimisala
(1) Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.
(2) Turvameetmete süsteem koosneb turvanõuete spetsifitseerimise korrast ning andmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete kirjeldustest.
(3) Määrust ei kohaldata riigisaladust töötlevate infosüsteemide turbeks.
§ 2. Turvameetmete süsteemi rakendamine
Turvameetmete süsteemi rakendamine seisneb infoturbe eesmärkidele vastavate turvaklasside määramises ja nendele vastavate turvameetmete valimises vastavalt infosüsteemide kolmeastmelise etalonturbe süsteemi (edaspidi ISKE) rakendamisjuhendile ja nende rakendamises.
§ 3. Mõisted
(1) Määruses kasutatakse mõisteid järgmises tähenduses:
1)
andmete turvaanalüüs – turvaklassi määramiseks sooritatav andmete
tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude
hindamine;
2) etalonmeetmed – tüüpsed katalogiseeritud ja
valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik
sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest;
3)
etalonturve – turvameetmestik, mille rakendamine on vajalik andmete
turvalisuse saavutamiseks ja säilitamiseks;
4) infosüsteem –
andmeid töötlev, salvestav või edastav tehniline süsteem koos tema
normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega;
5)
infoturve – turvameetmete loomise, valimise ja rakendamise protsesside
kogum;
6) turvameetmed – organisatsioonilised toimingud ja vahendid,
tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja
infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks;
7)
turvaklass – andmete tähtsusest tulenev nõutav andmete turvalisuse tase
väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena,
st kolme turvaosaklassi ühendina;
8) turvaosaklass –
andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase
väljendatuna neljaastmelisel skaalal; kolmest infoturbe eesmärgist
tuleneb kolm turvaosaklassi.
(2) Määruses kasutatakse termineid standardiga EVS/ISO/IEC 2382 (Infotehnoloogia. Sõnastik), standardi EVS ISO/IEC 13335 osadega 1–5 (Infotehnoloogia. Infoturbe halduse suunised) ning standardiga EVS ISO/IEC 17799 (Infotehnoloogia. Turbemeetodid. Infoturbe halduse tegevusjuhis) määratud tähenduses.
2. peatükk
TURVAKLASSID JA TURVAMEETMED
§ 4. Turvanõuete spetsifitseerimine
(1) Infoturbe eesmärke arvestava turvaklassi määramiseks korraldab andmekogu vastutav töötleja andmekogu andmete turvaanalüüsi.
(2) Andmekogu andmetele määratud turvaklass kooskõlastatakse koos andmekogu registreerimiseks või andmekogu andmete ajakohastamiseks ettevalmistatava tehnilise dokumentatsiooniga «Avaliku teabe seaduse» § 439 lõike 1 punkti 6 alusel kehtestatud õigusaktis sätestatud korras. Andmekogu kasutusele võtmise ajaks peavad turvaklassile vastavad turvameetmed olema rakendatud.
§ 5. Turvaklassi määramine
(1) Andmekogu vastutav töötleja korraldab andmete turvaanalüüsi tulemusena üksteisest sõltumatute turvaosaklasside määramise infoturbe eesmärkide ja nende saavutamise olulisuse alusel.
(2) Turvaklass määratakse andmekogus töödeldavatele andmetele. Ühe andmekogu erinevatel andmeliikidel võib olla erinev turvaklass. Turvaklassile vastavad turvameetmed rakendatakse andmeid töötlevale infosüsteemile või selle osale töödeldava andmestiku alusel.
(3) Turvaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete infoturbe tasemest.
(4) Turvaklassi tähistuses kasutatakse vastavate infoturbe eesmärkide nimetustele viitavaid tähti ja tasemete numbreid (näiteks K2T3S1).
§ 6. Turvatasemed
(1) Turbeaste võib olla kõrge (H), keskmine (M) või madal (L).
(2) Nõutav turvatase määratakse vastavalt infoturbe eesmärkidele tervikluse, konfidentsiaalsuse ja käideldavuse parameetrite kaudu.
(3) Andmete terviklus on andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine.
(4) Andmete konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile.
(5) Andmete käideldavus on eelnevalt kokku lepitud vajalikul ja nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul ja nõutaval ajahetkel ja vajaliku ning nõutava aja jooksul) selleks volitatud isikule või tehnilisele vahendile.
§ 7. Turvaosaklassid
(1) Andmete käideldavuse alusel määratakse turvaosaklass järgmisest
skaalast:
1) K0 – töökindlus – pole oluline; jõudlus – pole oluline;
2)
K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev);
lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10);
3)
K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi);
lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10);
4)
K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit);
lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10).
(2) Andmete tervikluse alusel määratakse turvaosaklass järgmisest
skaalast:
1) T0 – info allikas, muutmise ega hävitamise tuvastatavus
ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole
vajalik;
2) T1 – info allikas, selle muutmise ja hävitamise fakt
peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse
kontroll erijuhtudel ja vastavalt vajadusele;
3) T2 – info allikas,
selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on
info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll;
4)
T3 – info allikas, selle muutmise ja hävitamise faktil peab olema
tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse
kontroll reaalajas.
(3) Andmete konfidentsiaalsuse alusel määratakse turvaosaklass
järgmisest skaalast:
1) S0 – avalik info: juurdepääsu teabele ei
piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on
määratud tervikluse nõuetega);
2) S1 – info
asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu
taotleva isiku õigustatud huvi korral;
3) S2 – salajane info:
info kasutamine on lubatud ainult teatud kindlatele kasutajate
gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku
õigustatud huvi korral;
4) S3 – ülisalajane info: info
kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs
teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.
§ 8. Turvaklasside moodustamine
Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses KTS (näiteks K2T3S1).
§ 9. Turvaklassidele vastavate turvameetmete valimine
(1) Andmekogu andmeid töötleva infosüsteemi infoturbe eesmärkide tagamiseks peab rakendama turvameetmeid, mis vastavad selles infosüsteemis peetava andmekogu andmetele määratud turvaklassile.
(2) Turvameetmed valitakse vastavalt turvaklassile ISKE rakendamisjuhendi kohaselt.
(3) ISKE rakendamisjuhendi kinnitab majandus- ja kommunikatsiooniminister ning ministeerium avaldab selle oma veebilehel.
3. peatükk
RAKENDUSSÄTE
§ 10. Määruse jõustumine
Määrus jõustub 1. jaanuaril 2008. a.
Peaminister Andrus ANSIP |
Majandus- ja kommunikatsiooniminister Juhan PARTS |
Riigisekretär Heiki LOOT |