Toila valla asutuste infoturbe põhimõtted
Vastu võetud 05.12.2018 nr 9
Määrus antakse kohaliku omavalitsuse korralduse seaduse § 30 lg 1 punkti 3, isikuandmete kaitse seaduse § 6 punkti 6 ja avaliku teabe seaduse § 43 lõike 1 alusel ning kooskõlas Vabariigi Valitsuse 20. detsembri 2007 määrusega nr 252 „Infosüsteemide turvameetmete süsteemˮ.
1. peatükk ÜLDSÄTTED
§ 1. Infoturbe põhimõtete rakendusala
(1) Toila valla infoturbe põhimõtted sätestavad Toila Vallavalitsuse, kui ametiasutuse ja tema hallatavate asutuste (edaspidi ka asutus) infoturbe eesmärgid ja nende saavutamise juhised, infoturbe korralduse ja peamiste turvameetmete rakendamise.
(2) Hallatavad asutused ei pea järgima antud korda osas, mis puudutab otseselt Toila vallavalitsuse siseseid toiminguid ja protsesse.
(3) Infoturbe põhimõtteid arvestatakse ning kavandatakse põhimõtete elluviimiseks vastavad tegevused valdkondlikes valla õigusaktides.
(4) Infoturbe põhimõtted puudutavad Toila kui kohaliku omavalitsuse üksuse sisest suhtlust ning suhtlust riigiasutustega, teiste kohaliku omavalitsuse üksuste ja lepingupartneritega.
(5) Infoturbe põhimõtted hõlmavad valla personali, infrastruktuuri, andmeid ja dokumentatsiooni, IT-riistvara, tarkvara ja sidesüsteeme.
(6) Infoturbe põhimõtteid on kohustatud järgima Toila Vallavalitsuse teenistujad ja hallatavate asutuste töötajad ning Toila valla lepingupartnerid, kes on volitatud töötleja rollis.
§ 2. Põhimõtted
(1) Infosüsteemide ja infovarade turvalisus tagatakse nende varade käideldavuse, tervikluse ja konfidentsiaalsuse säilitamisel nõutaval või kokkulepitud tasemel (ISKE auditis).
(2) Käideldavuse, tervikluse ja konfidentsiaalsuse säilitamine nõutaval või kokkulepitud tasemel tagatakse turvameetmete rakendamisega ulatuses, mis tagab ohtude realiseerumisel Toila valla kui kohaliku omavalitsuse üksuse ülesannete tavapärase ja katkestusteta täitmise.
(3) Turvameetmed jagunevad organisatsioonilisteks, füüsilisteks ja infotehnilisteks. Turvameetmed peavad olema majanduslikult õigustatud ning nende negatiivne mõju valla tegevusele ja teenistujate tööle peab olema tasakaalus meetmete rakendamata jätmisel tekkida võiva kahjuga.
§ 3. Terminid
Infoturbe põhimõtete kirjeldamisel kasutatakse termineid järgmises tähenduses:
1) infovara – mistahes kujul talletatud informatsioon, mis on asutusele väärtuslik ja mida asutus kasutab oma põhimääruses ettenähtud ülesannete täitmiseks, ning asutuse omandis olevad infotöötlusvahendid, rakendused ja taristu, mis tagavad asutusele informatsiooni nõuetekohase töötlemise;
2) turvameetmed – organisatoorsed toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide turvalisuse saavutamiseks ja säilitamiseks;
3) infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum;
4) andmed – informatsiooni kirjapanek taasesitamist võimaldaval kujul;
5) infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega;
6) andmekogu – infosüsteemis töödeldavate korrastatud andmete kogum;
7) vahendid – infrastruktuur (näiteks hooned, ruumid, kaablid, võrguühendus), arvutid (näiteks lauaarvutid, sülearvutid, pihuarvutid), lisaseadmed (näiteks printerid), andmekandjad (näiteks serverid, mälupulgad, CD, DVD) jms;
8) andmete käideldavus – teabe, IT-süsteemide, inimeste ja protsesside teovõime ja kättesaadavus ajal, mil asutus seda vajab;
9) andmete terviklus – infovara lubamatute muudatuste puudumine; hõlmab ka autentsust ja salgamatust;
10) andmete konfidentsiaalsus – andmete salastatus, nende usalduslik käitlemine;
11) privaatsus – üksikisiku eraellu või juriidilise isiku ärisaladusse tungimise või tema kohta kogutud andmete kasutamise välistamine väljaspool ametiülesannete täitmist;
12) infosüsteemide kolmeastmeline etalonturve (edaspidi ISKE) − infoturbe metoodika, mida rakendatakse infovarale ja mis sisaldab juhised ning turvameetmete kataloogi, kuidas korraldada infoturbe haldust ja määrata infovarade turbevajadust;
13) krüpteerimine – andmetele kõrvaliste isikute jaoks loetamatu kuju andmine;
14) varundamine – andmete kopeerimine, mis on salvestatud algsest asukohast erinevasse asukohta.
§ 4. Eesmärgid
(1) Infoturbe põhimõtete eesmärk on kehtestada üldised suunised infovarade kaitsmiseks rünnete ja stiihiliste ohtude eest. Nende põhimõtete alusel koostatakse eeskirjad, juhendmaterjalid, korrad ja muud dokumendid, mis reguleerivad asutuse infoturvet.
(2) Infoturbe eesmärgid on:
1) kaitsta andmeid ohtude eest;
2) tagada andmete väärtuste ja omaduste säilimine;
3) tagada talituse jätkuvus;
4) minimeerida talitusriski;
5) maksimeerida investeeringute tasuvust;
6) tagada õigusaktidele vastavus;
(3) Infoturbe tähtsus tuleneb andmete tähendusest ja väärtusest.
2. peatükk ORGANISATSIOON JA RISKIHALDUS
§ 5. Infoturbe organisatsioon ja vastutusalad
(1) Infoturbe põhimõtete rakendamise eest asutuses vastutab asutuse juht.
(2) Igal infovaral on vastutaja, kes määrab infovara turbevajaduse ja korraldab infoturbe nõuete täitmist.
(3) Rolli- või ametikohapõhine infoturbealane vastutus tuleneb asutuse struktuurist, üldisest töökorraldusest, tegevusvaldkondadest ja delegeerimispõhimõtetest.
(4) Iga teenistuja vastutab infoturbe meetmete rakendamise eest oma valdkonnas ning täidab infoturbe nõudeid ja rakendab asjakohaseid turvameetmeid.
(5) Rolli- või ametikohapõhine infoturbealane vastutus tuleneb asutuse struktuurist, üldisest töökorraldusest, tegevusvaldkondadest ja delegeerimispõhimõtetest.
(6) Kõigi tasandite vahetud juhid kontrollivad, et alluvad täidaks infoturbe nõudeid.
(7) Kõik teenistujad teavitavad avastatud turvaintsidendist kokku lepitud teavitusskeemide kaudu (turvaintsidendi lahendamise kord) või informeerivad vahetut juhti.
(8) Tahtliku infoturbe nõuete eiramise, infovarade mittesihipärase kasutamise või avastatud turvaintsidendist teatamata jätmise eest vastutab nõudeid rikkunud isik.
§ 6. Turvariskide hindamise terminid
Turvariskide hindamisel kasutatakse termineid järgmises tähenduses:
1) oht – olukord, mis võib kahjustada infovarasid ning võib peituda infrastruktuuris, tehnoloogias, inimeste turbeteadlikkuses või asutuse töökorralduses. Ohuallikaks võivad olla:
2) nõrkus – infovara omadus, mis laseb ohul realiseeruda;
3) risk – tõenäosus, et oht kasutab ära nõrkuse ja tekitab infovarale kahju;
4) jääkrisk – risk, mida on mõistlik aktsepteerida;
5) turvaintsident – mistahes kõrvalekalle infosüsteemi normaalse talitluse reeglitest
§ 7. Turvariskide vältimise meetmed
Riskide minimeerimiseks vastuvõetavale tasemele võetakse asutuses kasutusele järgmised meetmed:
1) füüsilised meetmed ruumidele (näiteks uste, akende, seinte ja lukkudega seotud abinõud);
2) organisatsioonilised meetmed teenistujatele (näiteks protseduurireeglid, korrad ja eeskirjad turvanõuete täitmiseks);
3) infotehnoloogilised meetmed infosüsteemidele ja andmekogudele (näiteks ligipääsuõiguste andmise ja kasutamisega, viirusetõrjega, krüpteerimisega, varukoopiate tegemise ja ID-kaardi kasutamisega seotud abinõud).
§ 8. Riskihaldus
(1) Asutuste infovarade riskihaldus põhineb ISKE-l. Selle alusel määratakse turvameetmed, mida tuleb rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
(2) Kui mõnda turvameedet ei ole võimalik või otstarbekas rakendada, peab leidma alternatiivse meetme riski vähendamiseks.
(3) Kui infovara omanik või valdaja leiab, et ISKE-põhisest riskianalüüsist ei piisa, koostatakse lisaks detailne riskianalüüs, kus vaadatakse eraldi iga infovarale mõjuvat ohtu, hinnatakse ohu realiseerumise tõenäosust, selgitatakse välja suuremad riskid ja võetakse vajaduse korral kasutusele spetsiifilised meetmed nende vähendamiseks.
§ 9. Turvaintsidentide haldus
(1) Turvaintsidendist või selle ohust peab teenistuja koheselt teavitama valla andmekaitse-spetsialisti, IT spetsialisti ja enda vahetut juhti, töövälisel ajal enda vahetut juhti.
(2) Kui turvaintsidendi lahendamise käigus avastatakse kuriteo, väärteo, distsiplinaarsüüteo või töölepingu rikkumise tunnuseid, antakse juhtum edasi menetlemiseks asjaomase õigusega asutusele või isikule.
(3) Turvaintsidentide haldus sätestatakse valla turvaintsidendi lahendamise korras.
3. peatükk INFOTEHNOLOOGILISED TURVANÕUDED
§ 10. Infovarade ligipääsu reguleerimine
(1) Ligipääs infovaradele tagatakse vaid volitatud kasutajatele autoriseerimismeetoditega. Kõik õnnestunud ja ebaõnnestunud autoriseerimiskatsed registreeritakse.
(2) Pääsuõiguste jagamisel lähtutakse ametialase teadmisvajaduse põhimõttest. Pääsuõigused taotleb vahetu juht.
(3) Pääsuõiguste taotlemisel ja seadistamisel lähtutakse võimalusel kohustuste lahususe printsiibist, kus pääsuõiguste taotleja ei saa olla pääsuõiguste seadistaja. Taotletud ning seadistatud pääsuõigused dokumenteeritakse.
(4) Pääsuõiguste jagajad võtavad kasutusele protseduurid, reeglid või muud mehhanismid, mis tagavad pääsuõiguste tühistamise, kui teenistuja kaotab usalduse või tema töösuhe lõppeb.
(5) Infovarade kasutajad tuvastatakse, kasutades asjakohaseid autentimismehhanisme. Uute infosüsteemide projekteerimisel eelistatakse Eesti ID-kaardi põhist autentimist.
(6) Reeglid, mille järgi valitakse salasõna, selle kehtivus ja muud parameetrid, kehtestatakse kas infosüsteemi kasutamise korra või mõne teise kohase juhendmaterjaliga.
(7) Andmete töötlemiseks asutustes kasutatakse vaid asutuse kinnitatud riist- ja tarkvarastandardile vastavaid infotehnoloogilisi vahendeid. Asutuse sisevõrku ei tohi ühendada asutusele mittekuuluvaid seadmeid.
§ 11. Krüpteerimine ja sõnumautentimine
(1) Asutusesiseseks kasutamiseks mõeldud teabe edastamisel välisvõrkude vahendusel peab see olema krüpteeritud.
(2) Välisvõrkude vahendusel edastatud teabe sisestamisel andmekogudesse kasutatakse kaheastmelise autentimise meetodeid.
(3) Krüpteerimise ja sõnumiautentimise detailid sätestatakse infosüsteemide juhendmaterjalides. Nende puudumisel kasutatakse ID-kaardil põhinevat krüpteerimist ja ID-kaardi digitaalallkirjal põhinevat sõnumiautentimist.
§ 12. Kontrolljäljed
(1) Toimingute või sündmuste ajaloo väljaselgitatavuse tagamiseks salvestatakse ja säilitatakse infovarade haldamise ja kasutamisega seotud kontrolljäljed ehk logid. Toimingute ja sündmuste nimekiri, mille kohta kontrolljälgi salvestatakse ja säilitatakse, ning kontrolljälgede säilitamise tähtaeg tuleneb seadusest, infovaradele määratud turvaklassist ja sellele vastavatest turvameetmetest.
(2) Kontrolljälg peab sisaldama vähemalt teostaja identiteeti, juhtumit ja toimumise aega.
(3) Kontrolljälgede salvestamisel ja säilitamisel peab olema tagatud nende vältimatus, käideldavus, terviklus ja konfidentsiaalsus.
§ 13. Viirusetõrje
Kõikidele infosüsteemidele ja edastatavatele andmetele rakendatakse viirusetõrjet, mille andmebaase uuendatakse perioodiliselt.
§ 14. Infosüsteemide kasutusele võtmine ja muudatused
(1) Uued infosüsteemid või olemasolevate infosüsteemide olulised muudatused testitakse enne kasutusele võtmist. Testid peavad sisaldama infoturbe regressiooniteste.
(2) Enne uute infosüsteemide kasutusele võtmist rakendatakse neile vajalikud turvameetmed.
(3) Kõiki infosüsteemi muudatusi tuleb enne nende tegemist kaaluda infoturbe seisukohast. Turvameetmed tuleb viia vastavusse muutunud nõuete või uute ohtudega.
§ 15. Varundamine
(1) Andmete varundamine reguleeritakse asutuse andmete varundamise ja arhiveerimise korras.
(2) Andmekogude varundusnõuded kehtestatakse igale andmekogule eraldi. Muude andmete varundusnõuded kehtestab asutuse juht.
(3) Hävitatavad andmed kustutatakse turvaliselt sellisel viisil, mis välistab nende taastamise.
(4) Varundatud andmete hoidmisel rakendatakse ISKE turvameetmeid, lähtudes varundatud andmete maksimaalsest turvaklassist.
§ 16. Turvastandardid ja ISKE
(1) Andmekogudega seotud asjakohaste turvameetmete määramisel lähtutakse ISKE rakendusjuhendis toodud metoodikast ning ohtude ja turvameetmete kataloogist.
(2) Vajadusel rakendatakse lisaks etalonturvameetmetele ka muid turvameetmeid, mis tagavad infovarade käideldavuse, tervikluse ja konfidentsiaalsuse nõutaval tasemel.
(3) Andmekogudega seotud turvameetmete rakendamisel järgitakse auditeeritavuse printsiipi. Rakendatavad turvameetmed peavad olema põhjendatud ja dokumenteeritud selliselt, et hiljem oleks võimalik hinnata nende vajalikkust ning asjakohasust.
(4) ISKE rakendusjuhendi ja teiste juhendmaterjalide tõlgendamisel lähtutakse mõistlikkuse printsiibist ja arvestatakse infoturbe üldeesmärki.
(5) Dokumenteerida tuleb nii ISKE rakendusjuhendi tõlgendused kui ka põhjendused, kui ISKE turvameetmete kataloogis sätestatud turvameetmeid ei ole rakendatud.
4. peatükk MUUD TURVANÕUDED
§ 17. Füüsiline turve
(1) Ligipääs ruumidele tagatakse töövajaduse ja vastutuse alusel. Võtmete arvu ja jagamise kohta peetakse arvestust. Ruumide avamiseks välja antud ning võtmete üldarvu kohta peab arvestust vallavaraspetsialist.
(2) Infoturbe seisukohalt esmatähtsates ruumides (näiteks serveriruum, nõupidamiste ruum, pääsla) peab olema valvesignalisatsioon ja nende ruumide puhul tuleb tagada häirele reageerimise suutlikkus.
(3) Töövälisel ajal valvatakse hooneid ja ruume elektrooniliselt. Vajadusel rakendatakse turvameetmeid territooriumi kaitseks.
§ 18. Konfidentsiaalsuskohustus
(1) Konfidentsiaalsuskohustus kehtib konfidentsiaalse teabe kohta ega sõltu isiku ametikohast ja töötegemise asukohast. Konfidentsiaalsuskohustus kohaldub ka neile teenistujatele , kellel puuduvad otsesed infovara kasutamise volitused.
(2) Kui töötaja tegutseb lepingu alusel, peab leping sisaldama konfidentsiaalsus-kohustuse sätteid.
(3) Kui lepingulisi kohustusi täidab teine organisatsioon või asutus (kolmas osapool), peab asutuse ja kolmanda poole vahel sõlmitud leping sisaldama konfidentsiaalsuskohustuse sätteid. Pooled allkirjastavad lepingu enne, kui lepingu täitjale võimaldatakse juurdepääs infovarale.
§ 19. Kaugtöö
(1) Kaugtööl tuleb järgida asutuse infoturbe- ja IT-reegleid ning infoturbe-eeskirju. Töökoha ressurssidega võib ühendust pidada ainult krüpteeritud andmeside kaudu.
(2) Kaugtööl kasutatav tööalane teave tuleb hoida kättesaamatuna kolmandatele isikutele, sh pereliikmetele.
(3) Kaugtööl kasutatavad arvutid ja seadmed peavad olema valla IT-reeglite nõuetekohase seadistusega ning kasutama autentimisvahendeid.
§ 20. Teenistujad
(1) Teenistuja infoturbega seotud õigused, kohustused ja vastutus määratakse ametijuhendis, infoturbe juhendites ja/või muudes asjakohastes eeskirjades.
(2) Enne teenistuja tööle asumist tutvustatakse talle asutuse infoturbe põhimõtteid ja -reegleid. Reeglitega tutvumise ja nendest arusaamise kohta annab teenistuja allkirja.
(3) Teenistujaid teavitatakse nende töövaldkonda puudutavatest infoturbe meetodite muutustest ja turvaintsidentidest viivitamatult.
(4) Infoturbe tagamiseks organisatsioonis korraldatakse teenistujatele regulaarselt turvateadlikkuse koolitusi. Infoturbe eest vastutava(te)le isiku(te)le võimaldatakse erialaseid täienduskoolitusi.
(5) Teenistussuhte lõppemisel tagastab teenistuja viimasel tööpäeval tööandjale kõik varad ja pääsuvahendid, mis olid tema valduses. Teenistuja ligipääsuõigused infosüsteemidele tühistatakse.
§ 21. Andmete ja dokumentide turve
(1) Andmeid töödeldakse kehtivate õigusaktide kohaselt.
(2) Kõigile andmetele määratakse omanik (ISKE auditis).
(3) Andmete tehnohaldamist ja administreerimist infotehnoloogiliste vahenditega korraldab andmete omaniku volitatud isik (teenuse pakkuja) turvanõuete kohaselt.
(4) Asutustevaheline dokumentide ja andmekandjate üleandmine ja vastuvõtmine dokumenteeritakse.
§ 22. Infoturbe põhimõtetele tuginevate õigusaktide kehtestamise õigus
Vajadusel võib infoturbe põhimõtete rakendamiseks vajalikke nõudeid ja meetmeid kehtestada asutuse töökorralduse reeglite või asutuse juhi käskkirjaga. Nõuded ja meetmed peavad tuginema praegustele infoturbe põhimõtetele ja olema kooskõlas vallavalitsuse õigusaktidega.
§ 23. Infoturbepoliitika muutmine
(1) Infoturbe põhimõtted vaadatakse üle vajaduse korral, kuid vähemalt kord kahe aasta jooksul.
(2) Infoturbepoliitikat muudetakse kui:
1) seda nõuavad auditi tulemused;
2) muudatuse vajadus tuleneb ISKE uue versiooni ilmumisest;
3) muudatuste vajaduse tingivad olulised tehnilised, organisatsioonilised või õiguslikud muutused või muud sisemised või välised asjaolud.
§ 24. Rakendussätted
(1) Tunnistada kehtetuks Kohtla Vallavalitsuse 05.02.2009.a. määrus nr 2 „Kohtla vallavalitsuse infosüsteemi kasutamise kodukord”.
(2) Määrus jõustub kolmandal päeval pärast avalikustamist Riigi Teatajas.
Eve East
Vallavanem
Jana Kangur
Vallasekretär
Facebook
Twitter