Linna ja valla valitsemineAndmekogud ja infoturve

Teksti suurus:

Kanepi Vallavalitsuse infoturbepoliitika

Väljaandja:Kanepi Vallavalitsus
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:11.11.2019
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT IV, 08.11.2019, 55

Kanepi Vallavalitsuse infoturbepoliitika

Vastu võetud 28.10.2019 nr 2

Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse § 30 lõike 1 punkti 3, avaliku teabe seaduse § 43 lõike 1, küberturvalisuse seaduse § 7 lõigete 1-3 ja §-de 8-9, isikuandmete kaitse seaduse § 14 punkti 6 alusel ning kooskõlas Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 „Infosüsteemide turvameetmete süsteemˮ.

§ 1.  Reguleerimisala


Määrusega kehtestatakse infoturbe poliitika üldised põhimõtted mida on kohustatud täitma Kanepi Vallavalitsuse kui ametiasutuse ja vallavalitsuse hallatavate asutuste (edaspidi koos asutus) teenistujad, töötajad, töövõtu- või muu lepingu alusel teenust osutavad isikud ning kõik teised isikud, kes osalevad asutuse töös.

§ 2.  Eesmärgid

 (1) Infoturbe poliitika eesmärk on kehtestada üldised suunised infovarade kaitsmiseks rünnete ja ohtude eest.

 (2) Infoturbe põhieesmärgid on:
 1) kaitsta infovarasid ohtude eest;
 2) tagada andmete väärtuste ja omaduste säilimine;
 3) tagada asutuse infosüsteemide käideldavus;
 4) minimeerida riske;
 5) tagada õigusaktidele vastavus.

 (3) Andmete tähendus ja väärtus määratakse infosüsteemide kolmeastmelise etalonturbe (edaspidi ISKE) metoodika alusel.

§ 3.  Mõisted

  Infoturbe kirjeldamisel kasutatakse mõisteid järgmises tähenduses:
 1) infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;
 2) turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide turvalisuse saavutamiseks ja säilitamiseks;
 3) infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum;
 4) infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega;
 5) andmekogu – infosüsteemis töödeldavate korrastatud andmete kogum;
 6) ISKE − infoturbe metoodika, mida rakendatakse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks;
 7) krüpteerimine – andmete muundamine matemaatilise algoritmi abil;
 8) varundamine – meetmete komplekt võimaldamaks programme või andmeid taastada teadaoleva hetkeseisuni;
 9) turvaintsident – sündmus või sündmused, millega kaasneb andmete või muude infovarade käideldavuse, tervikluse või konfidentsiaalsuse kadu või tekib oluline oht andmete käideldavuse, tervikluse või konfidentsiaalsuse kao tekkeks.

§ 4.  Infoturbe rakendamine

 (1) Infoturbe rakendamise eest vastutab asutuse juht kehtestades infoturvet reguleerivad juhised ning rakendades infoturbe juhtimise süsteemi oma asutuses.

 (2) Igal infovaral on vastutaja, kes määrab infovara turbevajaduse ja korraldab infoturbe nõuete täitmist.

 (3) Iga infovara kasutaja vastutab infoturbe meetmete rakendamise eest, täidab infoturbe nõudeid ja rakendab asjakohaseid turvameetmeid.

 (4) Avastatud turvaintsidentidest teavitatakse kokku lepitud teavitusskeemide kaudu.

 (5) Tahtliku infoturbenõuete eiramise, infovarade mittesihipärase kasutamise või avastatud turvaintsidendist teatamata jätmise eest vastutab nõudeid rikkunud isik.

§ 5.  Turvariskid

  (1) Turvariskide hindamisel rakendatakse ISKE metoodikat. Ohuallikateks infosüsteemidele võivad olla:
 1) puudused infrastruktuuris – ebapiisav kaitse füüsiliste ohtude eest (näiteks kuum, külm, elektrikatkestus, vesi) või turbe füüsiliste meetmete osaline rakendamine;
 2) puudused infotehnoloogias – süsteemide või seadmete tõrked (näiteks serveririke või võrguühenduse katkestus); seadmete paigutus; süsteemide jõudlus; ülepingutatud turvameetmed;
 3) puudused töös −vead, mida töötajad teevad turvanõuete järgimisel (näiteks antakse edasi ligipääsuõigusi või taotletakse tarbetuid ligipääsuõigusi, ei järgita töö- ja eraasjade lahususe põhimõtet);
 4) puudused töökorralduses – juhtumid, kus järgitakse turvanõuete täitmise reegleid puudulikult või ei täideta neid; kasutusjuhendid või süsteemikirjeldused on ebaselged või puuduvad; süsteemile juurdepääsu reguleerimise vahend ehk parool on nõrk või ebapiisav; arvutisse on paigaldatud volitamata tarkvara;
 5) turvaründed;
 6) vääramatu jõud.

§ 6.  Turvariskide vähendamine

 (1) Riskide vähendamiseks võetakse kasutusele järgmised meetmed:
 1) füüsilised meetmed ruumidele (näiteks uste, akende ja lukkudega seotud abinõud);
 2) organisatsioonilised meetmed töötajatele (näiteks protseduurireeglid, korrad ja eeskirjad turvanõuete täitmiseks);
 3) infotehnoloogilised meetmed infosüsteemidele ja andmekogudele (näiteks ligipääsuõiguste andmise ja kasutamisega, viirusetõrjega, krüpteerimisega, varukoopiate tegemise ja ID-kaardi kasutamisega seotud abinõud).

 (2) Andmete töötlemiseks asutuses kasutatakse vaid ametiasutuse poolt lubatud riistvara- ja tarkvarastandardile vastavaid infotehnoloogilisi vahendeid. Asutuse sisevõrku ei tohi ühendada asutusele mittekuuluvaid seadmeid.

§ 7.  Infoturbe meetmete rakendamine

 (1) Asutuste infovarade riskihaldus põhineb ISKE-l. Selle alusel määratakse turvameetmed, mida tuleb rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.

 (2) Kui mõnda turvameedet ei ole võimalik või otstarbekas rakendada, peab leidma alternatiivse meetme riski vähendamiseks.

 (3) Kui infovara omanik või valdaja leiab, et ISKE-põhisest riskianalüüsist ei piisa, koostatakse lisaks detailne riskianalüüs, kus vaadatakse eraldi iga infovarale mõjuvat ohtu, hinnatakse ohu realiseerumise tõenäosust, selgitatakse välja suuremad riskid ja võetakse vajaduse korral kasutusele spetsiifilised meetmed nende vähendamiseks.

§ 8.  Turvaintsidendid

 (1) Turvaintsidendist või selle ohust peab töötaja koheselt teavitama IT spetsialisti, ametiasutuse andmekaitsespetsialisti ja enda vahetut juhti.

 (2) Kui turvaintsidendi lahendamise käigus avastatakse kuriteo, väärteo, distsiplinaarsüüteo või töölepingu rikkumise tunnuseid, antakse juhtum edasi menetlemiseks asjaomase õigusega asutusele või isikule.

 (3) Turvaintsidentide haldus sätestatakse asutuse juhi käskkirjaga.

§ 9.  Pääsuõigused

 (1) Ligipääs infovaradele tagatakse vaid volitatud kasutajatele.

 (2) Pääsuõiguste jagamisel lähtutakse ametialase vajaduse põhimõttest.

 (3) Pääsuõiguste taotlemisel ja seadistamisel lähtutakse võimalusel kohustuste lahususe printsiibist, kus pääsuõiguste taotleja ei saa olla pääsuõiguste seadistaja. Taotletud ning seadistatud pääsuõigused antakse töötajale asutuse juhi käskkirjaga.

 (4) Pääsuõiguste jagajad võtavad kasutusele protseduurid, reeglid või muud mehhanismid, mis tagavad pääsuõiguste tühistamise, kui töötaja tööülesanded muutuvad, ta kaotab usalduse või tema töösuhe lõppeb.

 (5) Reeglid, mille järgi valitakse salasõna, selle kehtivus ja muud parameetrid, kehtestatakse kas infosüsteemi kasutamise korra või mõne teise kohase juhendmaterjaliga

§ 10.  Krüpteerimine

 (1) Asutusesiseseks kasutamiseks mõeldud info edastamisel läbi välisvõrkude peab see olema krüpteeritud.

 (2) Krüpteerimise detailid sätestatakse infosüsteemide kasutamise korras.

§ 11.  Viiruse- ja pahavaratõrje

 (1) Kõikidele infosüsteemidele rakendatakse viiruse- ja pahavaratõrjet.

 (2) Viiruse- ja pahavaratõrje andmebaase uuendatakse regulaarselt.

 (3) Viirustõrjesüsteem peab olema keskhallatav.

§ 12.  Infosüsteemide kasutusele võtmine ja muudatused

 (1) Infosüsteemid ja nende muudatused testitakse enne kasutusele võtmist.

 (2) Infosüsteemidele rakendatakse vajalikke turvameetmeid.

§ 13.  Varundamine

 (1) Andmete varundamine ja taastamine reguleeritakse asutuse juhi poolt kehtestatud korras.

 (2) Andmekogude varundusnõuded kehtestatakse igale andmekogule eraldi. Muude andmete varundusnõuded kehtestab asutuse juht.

 (3) Hävitatavad andmed kustutatakse turvaliselt sellisel viisil, mis välistab nende taastamise.

§ 14.  Ruumide turve

 (1) Ligipääs ruumidele tagatakse töövajaduse ja vastutuse alusel vastavalt asutuse töökorralduse reeglitele.

 (2) Infoturbe seisukohalt olulised ruumid peavad olema valvestatud.

 (3) Töövälisel ajal valvatakse hooneid ja ruume nii füüsiliselt kui ka elektrooniliselt. Vajadusel rakendatakse turvameetmeid ka territooriumi kaitseks.

§ 15.  Kaugtöö

 (1) Kaugtööl tuleb järgida asutuse infosüsteemide kasutamise korda ning töökorralduse reegleid. Töökoha ressurssidega võib ühendust pidada ainult krüpteeritud andmeside kaudu.

 (2) Kaugtööl kasutatav tööalane teave tuleb hoida kättesaamatuna kolmandatele isikutele, sealhulgas pereliikmetele.

 (3) Kaugtööl kasutatavad arvutid ja seadmed peavad vastama asutuse infoturbe nõuetele.

§ 16.  Rakendussätted

 (1) Infoturbe poliitika rakendamiseks vajalikud rakendusaktid kinnitab asutuse juht. Rakendusaktid peavad tuginema infoturbepoliitikale ja olema kooskõlas õigusaktidega.

 (2) Määrus jõustub kolmandal päeval pärast Riigi Teatajas avaldamist.

Piret Rammul
vallavanem

Elen Heidok
vallasekretär

/otsingu_soovitused.json