Teksti suurus:

• Väike
• Keskmine
• Suur

Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide turvameetmete süsteem” muutmine

Vastu võetud 08.01.2009 nr 4

Määrus kehtestatakse «Avaliku teabe seaduse» § 43⁹ lõike 1 punkti 4 alusel.

Vabariigi Valitsuse 20. detsembri 2007. a määruses nr 252 «Infosüsteemide turvameetmete süsteem» (RT I 2007, 71, 440) tehakse järgmised muudatused:

1) paragrahvi 2 teksti lõppu lisatakse sõnad «ning rakendamise auditeerimises.»;

2) paragrahvi 3 lõiget 1 täiendatakse punktiga 5¹ järgmises sõnastuses:

« 5¹) infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;»;

3) määrust täiendatakse §-dega 9¹ ja 9² järgmises sõnastuses:

« § 9¹. Turvameetmete süsteemi rakendamise auditeerimine riigi infosüsteemi kuuluvate riigi andmekogude pidamisel

(1) Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «H», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kahe aasta järel.

(2) Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «M», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kolme aasta järel.

(3) Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «L», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga nelja aasta järel.

(4) Turvameetmete süsteemi rakendamise auditeerimine viiakse läbi infosüsteemi osas, kus andmekogu andmeid töödeldakse. Auditeerimise käigus tuleb teha järgmised tööd:
1) kontrollida teostatud infovarade inventuuri vastavust nõuetele;
2) kontrollida turvaklasside ja turbeastmete määramist;
3) kontrollida rakendamisele kuuluvate turvameetmete valimist;
4) kontrollida kõigi rakendamisele kuuluvate turvameetmete rakendamist.

(5) Andmekogu vastutav töötleja peab auditeerimise läbiviimisel veenduma, et audiitor omaks auditi läbiviimise ajal kehtivat Rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati, Briti Standardi Instituudi (British Standards Institute) väljaantud ISO 27001 juhtiva audiitori sertifikaati või Saksa Infoturbeagentuuri (Bundesamt für Sicherheit in der Informationstechnik) väljaantud ISO 27001 IT Grundschutzi baasil sertifitseeritud audiitori sertifikaati.

(6) Audiitor järgib tööde tegemisel Rahvusvahelise Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni kutse-eetika koodeksit, standardeid, suuniseid, protseduurireegleid ja häid tavasid.

(7) Audiitor peab olema auditeeritavast sõltumatu. Audiitoriks ei tohi olla isik, kes on auditeerimisele eelnenud kahe aasta jooksul asutust konsulteerinud auditeeritavas valdkonnas. Audiitori sõltumatus peab olema kinnitatud audiitori poolt allkirjastatud dokumendiga.

(8) Audiitor peab säilitama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsuse.

(9) Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu.

§ 9². Turvameetmete süsteemi rakendamise auditeerimine kohaliku omavalitsuse riigi infosüsteemi kuuluvate andmekogude pidamisel

(1) Kohalike omavalitsuste andmekogude auditi tellib Majandus- ja Kommunikatsiooniministeerium arvestades § 9¹ lõigetes 4–8 sätestatud tingimusi ja nõudeid ning lähtuvalt vajadusest.

(2) Ühe kuu jooksul pärast auditi teostamist edastab andmekogu vastutav töötleja riigi infosüsteemi halduse infosüsteemi kaudu Majandus- ja Kommunikatsiooniministeeriumile audiitori hinnangu.»;

4) määrust täiendatakse §-ga 11 järgmises sõnastuses:

« § 11. Turvameetmete süsteemi rakendamise auditeerimise tähtajad riigi infosüsteemi kuuluvate riigi andmekogude pidamisel

(1) Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.

(2) Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «M», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. detsembriks 2010. a.

(3) Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «L», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2011. a.».

Peaminister Andrus ANSIP

Majandus- ja kommunikatsiooniminister Juhan PARTS

Riigisekretär Heiki LOOT