Järvakandi Vallavalitsuse infoturbepoliitika
Vastu võetud 15.12.2010 nr 28
Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse paragrahvi 30 lõike 1 punkti 3 ja Vabariigi Valitsuse määrus nr 252 „Infosüsteemide turvameetmete süsteem“ paragrahvi 2 alusel.
§ 1. Eesmärk ja põhimõtted
(1) Infoturbepoliitika määratleb ametiasutuse Järvakandi Vallavalitsus (edaspidi vallavalitsus) suunised oma infovarade turvalisuse tagamisel. Vallavalitsus püüab piisavate turvameetmete rakendamisega kõige tõenäolisemate ohtude tingimustes vältida oma infovarade ja oma maine kahjustamist ning tagada katkestusteta tegevus oma ülesannete saavutamiseks. Valitud turvameetmed peavad aitama täita õigusaktidest tulenevaid turvanõudeid ning olema majanduslikult õigustatud ning nende häiriv toime vallavalitsuse tegevusele ja ta töötajate tööle peab olema võimalikult väike.
(2) Infoturbepoliitika sõnastab turbe eesmärgid, nende saavutamise suunised, üldise turbekorralduse ja -strateegia ning peamiste turvamehhanismide rakendamise poliitika.
(3) Vallavalitsus lähtub oma infoturbe korraldamisel info- ja kommunikatsioonitehnoloogia (edaspidi IT) halduse headest tavadest ja infosüsteemide kolmeastmelisest etalonturbe süsteemi (edaspidi ISKE) juhistest. Turvadokumentide koostamisel kasutatakse ISKE mudeleid ja mõisteid.
(4) Vallavalitsuse infoturbepoliitika hõlmab kõiki vallavalitsuse teenistujaid ja töötajaid ning kehtib kõigi vallavalitsuse teenistujate ja töötajate füüsilistes asukohtades.
§ 2. Mõisted
(1) Infoturve – teabe ja infosüsteemide kaitsmine loata juurdepääsu, kasutamise, avaldamise, muutmise või hävitamise eest.
(2) Infovara – informatsioon, andmed ja nende töötlemiseks vajalikud rakendused. Andmebaas on korrastatud infokogum, kusjuures pole oluline, mis tüüpi see info on.
(3) Etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks.
(4) ISKE ohtude kataloog – infosüsteemide kolmeastmelise etalonturbe süsteemi ohtude kataloog.
(5) Turbeklass – andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning neljakomponendilisena, st kolme turvaosaklassi ühendina.
(6) Andmete töötlemine – andmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, nende kohta päringute teostamine, nendest väljavõtete tegemine, andmete kasutamine, üleandmine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodud toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest.
(7) Andmete omanik – isik, kes vastutab andmete loomise, klassifitseerimise, kasutamise, ligipääsude reguleerimise ja administreerimise eest terve elutsükli jooksul.
(8) Krüpteerimine – andmete teisendamine sellisele kujule, mida teistel on võimalik lugeda ainult vastava dekrüpteerimisvõtme olemasolu korral.
(9) Turvaintsident – mistahes kõrvalekalle süsteemide normaalse talitluse reeglitest.
(10) Varundamine – andmete koopia, mis on salvestatud algsest asukohast erinevasse asukohta.
§ 3. Vastutus
(1) Üldvastutus infoturbe tagamise eest on vallavanemal.
(2) Infoturbealast tööd korraldab ja koordineerib ISKE koordinaator.
(3) Infoturbe meetmete rakendamist koordineerib vastutav isik.
(4) Kõik vallavalitsuse teenistujad ja töötajad vastutavad oma töövaldkonnas turbeeesmärkide saavutamise ja kehtestatud kordade täitmise eest.
(5) Konkreetsete turvameetmete rakendamine kajastub ametijuhendites.
(6) Vastutavate töötajate eemaloleku ajaks tuleb neile määrata ajutised asetäitjad.
(7) Väline audit tellitakse vastavalt vajadusele, aga mitte harvemini kui kord kolme aasta jooksul.
(8) Seadusandluse või turbeolukorra muutumisel tuleb vallavanemal ja IT- spetsialistil algatada infoturbe alusdokumentide ja meetmete muutmise protsess.
(9) Kolmeastmelisest etalonturbe süsteemi ISKE metoodikast lähtuvalt peab olemas olema vallavalitsuse infovarade spetsifikatsioon koos määratud turvaklassidega, mille alusel hinnatakse v allavalitsuse infovaradele asjakohaste ISKE turvameetmete rakendatust ja koostatakse edasine rakendamata meetmete rakendusplaan.
(10) Vallavalitsuse infovarade ja neile rakenduvate ISKE turvameetmete rakendatus vaadatakse läbi vähemalt kord aastas vallavalitsuse eelarve koostamisega koos või suuremate muutuste ja juhtumite korral. Läbivaatust koordineerib ISKE koordinaator. Läbivaatusel analüüsib ISKE koordinaator koostöös vallavanema ning teenistujate ja töötajatega ISKE rakendatuse tulemusi lähtudes ISKE ohtude kataloogist.
§ 4. Infovarad
(1) Varade üle peab arvestust vastutav isik.
(2) Vallavalitsuse infovarad ja nende turbeklassid kinnitatakse vallavanema poolt käskkirjaga.
(3) Infovarade kaitse tuleb tagada vähemalt ISKE meetme tasemel L.
§ 5. Poliitikad ja suunised
(1) Personaliturve
1) Personali töölevõtul tuleb uuele töötajale tutvustada infoturvet reguleerivaid eeskirju.
2) Ametijuhendisse või töölepingusse tuleb lisada asjakohased turvanõuded.
3) Töötaja vabastamisel tuleb tagada viimase tööpäeva lõpuks kõikide tema valduses olevate varade ja pääsuvahendite tagastamine ning pääsuõiguste tühistamine.
4) Töötajaid tuleb teavitada neid puudutavate infoturbe meetmete muutustest ja turvaintsidentidest viivitamatult.
5) Töötajale peab olema tagatud infoturbealane koolitus.
(2) Üldturve:
1) üldturvet korraldab vallavanema poolt määratud töötaja.
2) üldturbe regulatsiooni kehtestab vallavalitsus vallavanema ettepanekul.
3) Ligipääs ruumidele tuleb tagada korraldatud tööalase vajaduse ja vastuse alusel. Võtmete arvu ja jagamise üle tuleb pidada kirjalikku arvestust.
4) Olulistes ruumides peab olema paigaldatud valvesignalisatsioon ning tagatud reageerimisvõimekus häirele.
5) Eraldi lukustatavas tööruumis tuleb viimasel väljujal sulgeda aknad ja lukustada uks.
6) Väline hoolde- ja remondipersonal lubada ruumidesse ainult koos saatjaga.
(3) Juhisdokumendid
Vallavalitsuse infovarade, turvameetmete loetelu, infosüsteemi kasutajate ja teenindajate õigused ning kohustused infosüsteemi töökindluse ja kasutusmugavuse tagamisel, infosüsteemi varundamise ning muud infoturvet reguleerivad korrad kehtestatakse vallavalitsuse poolt.
(4) Andmete ja dokumentide turve
1) Andmeturbe eesmärk on tagada andmete töötlemise vastavus kehtivatele õigusaktidele.
2) Kõigile andmetele on määratud omanik.
3) Vastutav isik korraldab andmete tehnilise haldamise ja administreerimise andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele infotehniliste vahenditega.
4) Asutustevaheline dokumentide ja andmekandjate üleandmine ning vastuvõtmine tuleb dokumenteerida.
(5) Pääsupoliitika
1) Juurdepääs infovaradele peab olema korraldatud tööalase vajaduse ja vastutuse alusel.
2) Pääsuparoole tuleb vahetada vähemalt kaks korda aastas.
3) Süsteemiparoolid peavad olema deponeeritud turvalises asukohas.
(6) Infovahetuse turve
1) Väljapoole vallavalitsuse ruume viidavatel kõvaketastel olevad konfidentsiaalsed andmed peavad olema krüpteeritud.
2) Tuleb tagada kõigi tarbetute konfidentsiaalsete andmetega paberdokumentide ja füüsiliste andmekandjate hävitamine.
3) Töökohtade remonti saatmisel ja utiliseerimisel tuleb eelnevalt eemaldada füüsilised andmekandjad.
4) Töökohtades ja e-posti süsteemis peab olema rakendatud keskne viirustõrje.
(7) Varundamine
1) Iga töötaja vastutab tema kasutuses olevate andmete varukoopiate tegemise eest.
2) Vastutav isik vastutab keskse süsteemi varukoopia tegemise eest. Vähemalt kord aastas tuleb luua kõikidest andmetest varukoopia püsisäilituseks.
(8) Turvaintsidentide käsitlemine
1) Turvaintsidentide käsitlemise poliitika eesmärk on tagada turvaintsidentidest tuleneva kahju minimeerimine.
2) Turvaintsidentidest ja meetmete rakendamise mittevastavustest tuleb teavitada viivitamatult vallavanemat.
3) Infoturbe eest vastutav isik peab tagama intsidendile reageerimise, registreerimise ja hilisema analüüsimise.
4) Intsidentide analüüse kasutatakse alusmaterjalina turvameetmete rakendamise plaani koostamisel ja uuendamisel.
§ 6. Infoturbepoliitika muutmine
(1) Infoturbepoliitika värskendamine peab tagama selle pideva vastavuse organisatsiooni infoturbevajadusele.
(2) Infoturbepoliitika läbivaatus toimub kord aastas või peale suuremaid muutusi organisatsioonis, süsteemides või regulatsioonides või pärast tõsist intsidenti.
(3) Läbivaatust ja värskendamist korraldab ISKE koordinaator koos juhtkonna esindajatega.
(4) Muudatustest teavitatakse kõiki teenistujaid ja töötajaid.
§ 7. Järelvalve
(1) Järelevalvet infoturbepoliitika täitmise üle korraldab infoturbe eest vastutav isik.
(2) Infosüsteemide vastavust infoturbepoliitikale kontrollitakse sise- ja välisaudititega.
§ 8. Rakendussätted
Määrus jõustub kolmandal päeval pärast avalikustamist.
Mart Järvik
Vallavanem
Sigrid Algre
Vallasekretär
Facebook
Twitter