Teksti suurus:

Infosüsteemide turvameetmete süsteem

Väljaandja:Vabariigi Valitsus
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:01.01.2008
Redaktsiooni kehtivuse lõpp:24.01.2009
Avaldamismärge:RT I 2007, 71, 440

Infosüsteemide turvameetmete süsteem

Vastu võetud 20.12.2007 nr 252

Määrus kehtestatakse «Avaliku teabe seaduse» § 439 lõike 1 punkti 4 alusel.

1. peatükk
ÜLDSÄTTED

§ 1. Reguleerimisala

(1) Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogudes sisalduvate andmekoosseisude töötlemiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.

(2) Turvameetmete süsteem koosneb turvanõuete spetsifitseerimise korrast ning andmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete kirjeldustest.

(3) Määrust ei kohaldata riigisaladust töötlevate infosüsteemide turbeks.

§ 2. Turvameetmete süsteemi rakendamine

Turvameetmete süsteemi rakendamine seisneb infoturbe eesmärkidele vastavate turvaklasside määramises ja nendele vastavate turvameetmete valimises vastavalt infosüsteemide kolmeastmelise etalonturbe süsteemi (edaspidi ISKE) rakendamisjuhendile ja nende rakendamises.

§ 3. Mõisted

(1) Määruses kasutatakse mõisteid järgmises tähenduses:
1) andmete turvaanalüüs – turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine;
2) etalonmeetmed – tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest;
3) etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks;
4) infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega;
5) infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum;
6) turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks;
7) turvaklass – andmete tähtsusest tulenev nõutav andmete turvalisuse tase väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina;
8) turvaosaklass – andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal; kolmest infoturbe eesmärgist tuleneb kolm turvaosaklassi.

(2) Määruses kasutatakse termineid standardiga EVS/ISO/IEC 2382 (Infotehnoloogia. Sõnastik), standardi EVS ISO/IEC 13335 osadega 1–5 (Infotehnoloogia. Infoturbe halduse suunised) ning standardiga EVS ISO/IEC 17799 (Infotehnoloogia. Turbemeetodid. Infoturbe halduse tegevusjuhis) määratud tähenduses.

2. peatükk
TURVAKLASSID JA TURVAMEETMED

§ 4. Turvanõuete spetsifitseerimine

(1) Infoturbe eesmärke arvestava turvaklassi määramiseks korraldab andmekogu vastutav töötleja andmekogu andmete turvaanalüüsi.

(2) Andmekogu andmetele määratud turvaklass kooskõlastatakse koos andmekogu registreerimiseks või andmekogu andmete ajakohastamiseks ettevalmistatava tehnilise dokumentatsiooniga «Avaliku teabe seaduse» § 439 lõike 1 punkti 6 alusel kehtestatud õigusaktis sätestatud korras. Andmekogu kasutusele võtmise ajaks peavad turvaklassile vastavad turvameetmed olema rakendatud.

§ 5. Turvaklassi määramine

(1) Andmekogu vastutav töötleja korraldab andmete turvaanalüüsi tulemusena üksteisest sõltumatute turvaosaklasside määramise infoturbe eesmärkide ja nende saavutamise olulisuse alusel.

(2) Turvaklass määratakse andmekogus töödeldavatele andmetele. Ühe andmekogu erinevatel andmeliikidel võib olla erinev turvaklass. Turvaklassile vastavad turvameetmed rakendatakse andmeid töötlevale infosüsteemile või selle osale töödeldava andmestiku alusel.

(3) Turvaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete infoturbe tasemest.

(4) Turvaklassi tähistuses kasutatakse vastavate infoturbe eesmärkide nimetustele viitavaid tähti ja tasemete numbreid (näiteks K2T3S1).

§ 6. Turvatasemed

(1) Turbeaste võib olla kõrge (H), keskmine (M) või madal (L).

(2) Nõutav turvatase määratakse vastavalt infoturbe eesmärkidele tervikluse, konfidentsiaalsuse ja käideldavuse parameetrite kaudu.

(3) Andmete terviklus on andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine.

(4) Andmete konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile.

(5) Andmete käideldavus on eelnevalt kokku lepitud vajalikul ja nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul ja nõutaval ajahetkel ja vajaliku ning nõutava aja jooksul) selleks volitatud isikule või tehnilisele vahendile.

§ 7. Turvaosaklassid

(1) Andmete käideldavuse alusel määratakse turvaosaklass järgmisest skaalast:
1) K0 – töökindlus – pole oluline; jõudlus – pole oluline;
2) K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10);
3) K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10);
4) K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10).

(2) Andmete tervikluse alusel määratakse turvaosaklass järgmisest skaalast:
1) T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik;
2) T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele;
3) T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll;
4) T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas.

(3) Andmete konfidentsiaalsuse alusel määratakse turvaosaklass järgmisest skaalast:
1) S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega);
2) S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
3) S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
4) S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.

§ 8. Turvaklasside moodustamine

Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses KTS (näiteks K2T3S1).

§ 9. Turvaklassidele vastavate turvameetmete valimine

(1) Andmekogu andmeid töötleva infosüsteemi infoturbe eesmärkide tagamiseks peab rakendama turvameetmeid, mis vastavad selles infosüsteemis peetava andmekogu andmetele määratud turvaklassile.

(2) Turvameetmed valitakse vastavalt turvaklassile ISKE rakendamisjuhendi kohaselt.

(3) ISKE rakendamisjuhendi kinnitab majandus- ja kommunikatsiooniminister ning ministeerium avaldab selle oma veebilehel.

3. peatükk
RAKENDUSSÄTE

§ 10. Määruse jõustumine

Määrus jõustub 1. jaanuaril 2008. a.

Peaminister Andrus ANSIP

Majandus- ja
kommunikatsiooniminister Juhan PARTS

Riigisekretär Heiki LOOT

/otsingu_soovitused.json