Linna ja valla valitsemineAndmekogud ja infoturve

Teksti suurus:

Palamuse vallavalitsuse infoturbe poliitika

Väljaandja:Palamuse Vallavalitsus
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:14.12.2010
Redaktsiooni kehtivuse lõpp:27.09.2019
Avaldamismärge:RT IV, 28.12.2013, 44

Palamuse vallavalitsuse infoturbe poliitika

Vastu võetud 09.12.2010 nr 12

Määrus kehtestatakse «Kohaliku omavalitsuse korralduse seadus» § 30 lg 1 p 3 ja Vabariigi Valitsuse 20.12.2007 määruse nr 252 «Infosüsteemide turvameetmete süsteem»§ 2 alusel.

§ 1.   Infoturbe poliitika mõiste ja rakendusala

  (1) Infoturbe poliitika on juhiste ja meetmete kogum, mis reguleerib infovarade haldust, kaitset ja jaotamist vallavalitsuses ja valla allasutuste hallatavates asutustes (edaspidi Asutused).

  (2) Infoturbe poliitikat rakendatakse koostoimes Asutuste muude infovarade kasutamist, haldamist, kaitset ja jaotamist, töökorraldust ning asjaajamist reguleerivate õigusaktidega.

  (3) Infoturbe poliitika hõlmab Asutuste personali, infrastruktuuri, andmeid ja dokumentatsiooni, IT-riistvara, tarkvara ja sidesüsteeme.

  (4) Infoturbe poliitikas kasutatakse mõisteid infosüsteemide kolmeastmelise etalonturbe süsteemi rakendusjuhendi tähenduses, välja arvatud juhul, kui käesolevas dokumendis on sätestatud teisiti.

§ 2.   Infoturbe eesmärgid

  (1) Infoturbe eesmärgiks on Asutustes töödeldava informatsiooni terviklikkuse, käideldavuse ja konfidentsiaalsuse tagamine.

  (2) Informatsiooni terviklikkus, käideldavus ja konfidentsiaalsus tagatakse andmebaaside turvaklassidele vastavate meetmete rakendamisega, mis võimaldab Asutustel ohtude realiseerumisel häireteta oma ülesandeid täita.

§ 3.   Infoturbe organisatsioon ja vastutus

  (1) Infoturbe poliitika ja turvanõuete rakendamise tagab:
  1) vallavolikogus vallavolikogu esimees;
  2) vallavalitsuses vallavanem;
  3) infoturbealast tööd korraldab ja koordineerib ISKE koordinaator.

  (2) IT-riistvara, tarkvara ja sidesüsteemide osas tagab infoturbe poliitika ja turvanõuete rakendamise vallasekretär koostöös IT hooldusteenuse pakkujaga (edaspidi IT firma).

  (3) Konkreetsete turvameetmete rakendamise eest vastutajad määratakse ametnike ametijuhendites.

  (4) Iga töötaja vastutab tema tegevuse suhtes kehtestatud ja rakendatud turvanõuete rikkumise eest ning talle pandud ülesannete täitmata jätmise eest. Rikkumist või ülesannete täitmata jätmist käsitletakse töötaja töökohustuste rikkumisena, millele antakse hinnang seaduses sätestatud korras.

§ 4.   Andmete turvatasemed ja turbe vastavuse kontroll

  (1) Asutustes töödeldavatel andmetel on sõltuvalt nende turbevajadusest erinevad turvatasemed ehk turvaklassid. Turvaklassi järgi määratakse infovaradele turbeaste. Rakendatavad turvameetmed sõltuvad turbeastmest. Infovarade kaitse tuleb tagada vähemalt ISKE meetme tasemel L.

  (2) Andmete turvaklassid ja turbeastmed kinnitab vallavalitsus.

  (3) Andmete turvaklassid ja turbeastmed ning asutustes rakendatavate turvameetmete loetelu on toodud eraldi dokumendis (ISKE), milles fikseeritakse meetmed ja kuhu sisestatakse info meetmete täitmise kohta.

  (4) Kolmeastmelisest etalonturbe süsteemi ISKE metoodikast lähtuvalt peab olemas olema vallavalitsuse infovarade spetsifikatsioon koos määratud turvaklassidega, mille alusel hinnatakse linnavalitsuse infovaradele asjakohaste ISKE turvameetmete rakendatust ja koostatakse edasine rakendamata meetmete rakendusplaan.

  (5) Kehtivad turvameetmed vaadatakse üle vastavalt vajadusele, kuid mitte harvemini kui kord aastas ja hinnatakse nende otstarbekust ja efektiivsust.

  (6) Turvameetmete täitmise üle teostab pistelist kontrolli ISKE koordinaator koostöös IT teenust pakkuva firmaga.

  (7) Turvameetmete rakendamise süsteemi kohta viiakse läbi sõltumatu audit vastavalt vajadusele, kuid mitte harvemini kui kord kolme aasta jooksul.

  (8) Riistvara ja tarkvara turve:
  1) Asutuste riist- ja tarkvara hanked viib üldjuhul läbi vallavalitsus;
  2) Vallavalitsuse struktuuriüksustes ja hallatavates asutustes tegelevad riist- ja tarkvara paigaldamise, infosüsteemi lülitamise, konfigureerimise ja haldamisega ainult valla poolt lepingulises suhtes olev IT firma töötajad. Asutuste nimekiri, kus nimetatud töödega tegelevad IT firma töötajad, on kirjas IT firma ja vallavalitsuse vahelises lepingus;
  3) Enne uue infotehnoloogilise lahenduse kasutuselevõttu viiakse läbi riskianalüüs ja hinnatakse selle mõju terviksüsteemile;
  4) Tarkvara testitakse enne kasutuselevõtmist;
  5) Testimiseks kasutatakse testsüsteeme, mis on isoleeritud vallavalitsuse infosüsteemist, välja arvatud juhul, kui testimine ei mõjuta infosüsteemi andmete käideldavust, terviklust ega konfidentsiaalsust;
  6) Riistvara või tarkvara pääsuõiguste süsteemis ei kasutata tootja poolt määratud algparoole;
  7) Täpsemad nõuded riistvara ja tarkvara kasutamisele kehtestab vallavalitsus;
  8) Täpsemad nõuded riistvara ja tarkvara soetamisele, haldamisele ning tarkvara arendamisele kehtestab vallavalitsus.

§ 5.   Pääsuhaldus

  (1) Juurdepääs infovaradele antakse ainult tööalasest vajadusest lähtuvalt.

  (2) Kõikidele infosüsteemi kasutajatele määratakse kasutajaprofiil.

  (3) Töötajate pääsuõiguste vastavust tegelikele vajadustele kontrollitakse vähemalt kord aastas.

§ 6.   Kasutajatunnuste ja paroolide haldus

  (1) Kasutajatunnus on isikustatud.

  (2) Tarkvara peab tagama paroolile esitatavate nõuete täitmise.

  (3) Serverite ja võrguseadmete administraatoritasemel pääsuõigust tagavad paroolid deponeeritakse nii, et oleks tagatud nende turvalisus ja piiratud juurdepääs.

  (4) Töösuhte lõppemisel lõpetatakse viivitamatult kasutajatunnusega seotud õigused.

  (5) Nõuded kasutajatunnuse andmisele, kasutajaõiguste lõpetamisele ja nõuded paroolidele kehtestab vallavalitsus.

§ 7.   Logimine

  (1) Logid peavad võimaldama tuvastada lubatavaid ja lubamatuid infosüsteemi poole pöördumisi või pöörduskatseid, nende täpset aega ja lähtekohta.

  (2) Logisid säilitatakse 5 aastat viisil, et vajadusel oleks võimalik tuvastada lubatavaid ja lubamatuid ressursside poole pöördumisi või pöörduskatseid, nende täpset aega ja lähtekohta.

  (3) Logisid kontrollitakse regulaarselt arvutivõrgu ja serverite toimimise tagamiseks IT-firma poolt IT-firma lepingus sätestatud ulatuses. Muudel juhtudel kontrollitakse logisid põhjendatud vajadusel või turvaintsidentide korral vallasekretäri otsusel IT-firma poolt.

§ 8.   Ründetarkvara

  (1) Viirustõrje programmid peavad hõlmama kogu infosüsteemi.

  (2) Viirusetõrje programmid peavad töötama reaalajas.

  (3) Kasutatakse viirusetõrjeprogrammi, mis tagab viirusekirjelduste igapäevase uuendamise.

§ 9.   Töökohaarvutite turve

  (1) Töökohaarvutid peavad olema varustatud personaalse tulemüüriga, mis vaikimisi tõkestab sisenevad ühendused.

  (2) Töökohaarvutid peavad olema seadistatud algkäivitamiseks ainult kõvakettalt või võrgust, välistatud peab olema töökohaarvuti käivitamine eemaldatavalt andmekandjalt.

  (3) Sülearvutid peavad olema kaitstud BIOS-i salasõnaga.

§ 10.   Serverite turve

  (1) Avalikke teenuseid tagavad serverid peavad olema kaitstud tulemüüriga.

  (2) Serverid peavad olema varustatud katkematu vooluallikaga (v.a. testserverid).

  (3) Kui ühe kasutaja poolt serveri salvestusmahu ülemäärane hõivamine võib takistada teiste kasutajate tööd, piiratakse serveris kasutajatele kättesaadavat salvestusmahtu salvestuskvootidega.

§ 11.   Printerite ja multifunktsionaalsete seadmete turve

  (1) Võrguprinterid paigaldatakse võimalusel asukohta, kus nad on kasutajate järelevalve all.

  (2) Kui võrguprinter paigaldatakse üldkäidavasse kohta, peab printer võimaldama väljatrükki kasutaja autentimisega.

  (3) Vallavalitsuse võrguprinteritesse printimine toimub ainult läbi tsentraalse printserveri.

  (4) Kui võrguprinteril kasutatakse tööde salvestamist sisseehitatud kõvakettale, peab kõvaketta sisu olema krüpteeritud.

  (5) Kui multifunktsionaalse seadme faksifunktsiooni ei kasutata, siis faksimoodulit telefoniliiniga ei ühendata.

  (6) Printeri või multifunktsionaalse seadme kasutusest kõrvaldamisel taastatakse seadme vaikekonfiguratsioon ning kustutatakse seadme sisemisele kõvakettale salvestatud andmed.

§ 12.   Võrgu turve

  (1) Võrgunduse infrastruktuur:
  1) Sisevõrgu ja välisvõrgu vaheline liiklus käib läbi turvalüüsi. Keelatud on selliste sisevõrgu ja välisvõrgu vaheliste võrguühenduste loomine, mis võimaldavad sisevõrgu ja välisvõrgu vahelisel liiklusel turvalüüsist mööda minna;
  2) Võrk jagatakse vajaduse järgi väiksemateks alamvõrkudeks ning see peab olema sobiva topograafia ja topoloogiaga;
  3) Olulisemad võrguseadmed varustatakse katkematu vooluallikaga.

  (2) Internet:
  1) Asutuse sisevõrgus olevatest arvutitest võimaldatakse internetiteenuste kasutamist.
  2) Infoturbe huvides võib IT-firma põhjendatud juhul vallasekretäri otsusel vallavalitsuse sisevõrgus olevatest arvutitest internetiteenuste poole pöördumisi jälgida või piirata.

  (3) Elektronpost:
  1) Asutustest välja saadetud elektronkirjad peavad võimaldama saatja tuvastamist ning sisaldama saatja ees- ja perekonnanime;
  2) Sisenevad ja väljuvad kirjad allutatakse viiruse- ja rämpsposti kontrollile;
  3) Elektronposti klient konfigureeritakse nii, et kirja manusfaile ei käivitataks kogemata, käivitus peab nõudma kinnitust;
  4) Infoturbe nõuete või infosüsteemi kasutamise nõuete rikkumise kahtluse korral võib IT-firma põhjendatud vajadusel vallasekretäri otsusel lugeda töötaja elektronposti (sh turvakoopiatelt) töötajat sellest eelnevalt teavitamata.

§ 13.   Krüpteerimine ja digitaalallkirjastamine

  (1) Arvutites tagatakse krüpteerimise ja digitaalallkirjastamise vahendite ja tarkvara olemasolu.

  (2) Asutusesiseseks kasutamiseks mõeldud andmeid tohib elektrooniliselt edastada väljapoole asutuse sisevõrku ainult krüpteeritult või krüpteeritud kanalit kasutades.

  (3) Asutustes ei kasutata rakendusi, mis saadavad parooli üle avaliku võrgu krüpteerimata kujul.

  (4) Asutusesiseseks kasutamiseks mõeldud andmeid võib töökohaarvutites hoida vaid krüpteeritult.

  (5) Asutusesiseseks kasutamiseks mõeldud andmeid võib välistele andmekandjatele (näiteks mälupulk) salvestada ainult krüpteeritult.

§ 14.   Ruumide turve

  (1) Ruumides tuleb rakendada sissepääsupiiranguid ja sissemurdmisvastaseid kaitsesüsteeme.

  (2) Juurdepääs ruumidele antakse tööalasest vajadusest lähtuvalt.

  (3) Hoonete sissepääsud peavad väljaspool tööaega olema lukustatud, välja arvatud mehitatud valve olemasolul.

  (4) Ruumides peavad olema valvesignalisatsioon ja automaatne tuletõrjesignalisatsioon.

  (5) Valvesüsteem peab turvaalarmi automaatselt edastama turvateenuse osutajale.

  (6) Ruumide varuvõtmeid hoitakse viisil, mis tagab nende säilimise ja välistab võtmetele kolmandate isikute juurdepääsu.

  (7) Võtmete ja valvesignalisatsiooni koodide üle kirjaliku arvestuse pidamist korraldab vallavalitsuses vallavanem.

  (8) Töösuhte lõppemisel tagatakse viimase tööpäeva lõpuks kõikide töötaja valduses olevate pääsulubade tühistamine.

  (9) Serveri-, arhiivi- ja tehnoruume ei märgistata üldarusaadavalt ega kanta viitadele või majajuhti.

  (10) Avalikku internetiteenust pakkuvad ruumid peavad asuma peasissepääsu lähedal.

  (11) Eriruumide asukoha valikul tuleb tagada nende ruumide spetsiifikast tulenevate turvanõuete täitmine.

  (12) Serveriruumis peab olema tagatud õhutemperatuuri ja –niiskuse reguleerimine.

  (13) Serveriruumil peab olema tugevdatud ehituslik turve, see peab olema varustatud valve- ja tuletõrjesignalisatsiooniga ning gaaskustutiga. Serveriruum peab olema pidevalt lukustatud.

  (14) Võrgukeskused peavad olema varustatud tuletõrjesignalisatsiooniga ja -kustutitega ning lukustatud.

  (15) Välist hoolde- ja remondipersonali tohib lubada töid teostama pärast lepingute allakirjutamist, kus on määratud hoolde- ja remonditööde teostajate kohustused ja vastutus.

  (16) Välise hoolde- ja remondipersonali kasutamise korral peab olema takistatud nende juurdepääs asutusesiseseks kasutamiseks mõeldud andmetele.

  (17) Täpsemad juhised töötajate tegevusele tööruumides kehtestatakse vallavalitsuse sisekorraeeskirjas.

§ 15.   Personali teavitus ja koolitus

  (1) Uue töötaja töölevõtul tutvustatakse töötajale infoturvet reguleerivaid kordasid.

  (2) Uuele töötajale tagatakse enne tarkvara tegelikku kasutamist esmane tarkvara kasutamise ja infoturbealane koolitus.

  (3) Töötajaid instrueeritakse esmaste tulekustutusvahendite kasutamisel.

§ 16.   Dokumentide ja andmekandjate turve

  (1) Juurdepääs paberdokumentidele ja elektroonilistele dokumentidele võimaldatakse töötajatele tööalasest vajadusest lähtuvalt.

  (2) Elektroonilisi töödokumente tuleb hoida serveris.

  (3) Mittevajalikud paberil töödokumendid tuleb hävitada paberihundis, elektroonilised töödokumendid tuleb kustutada.

  (4) Asutusesiseseks kasutamiseks mõeldud andmeid sisaldavatelt andmekandjatelt tuleb andmed enne kandjate utiliseerimist, remonti (k.a garantiiremont) andmist või renditud riistvara tagastamist täielikult kustutada.

  (5) Infosüsteem peab tehniliselt tagama, et asutusesiseseks kasutamiseks mõeldud andmed ei oleks kättesaadavad avalikus veebis.

  (6) Asutusesiseseks kasutamiseks mõeldud dokumente ja neid andmeid sisaldavaid andmekandjaid hoitakse lukustatud kapis või sahtlis.

§ 17.   Tegevuse katkematus

  (1) Infosüsteemi serverites paiknevatest andmetest tehakse turvakoopiaid.

  (2) Turvakoopiaid ei pea tegema andmetest, mida on võimalik taastada muudest allikatest (näiteks alla laadida internetist, genereerida automaatselt olemasolevate andmete põhjal vms).

  (3) Infosüsteemi andmete varundamist vallavalitsuses korraldab IT-firma.

  (4) Turvakoopiate taastamise usaldatavust testitakse regulaarselt 1kord kolme kuu jooksul.

  (5) Turvakoopiate tegemise sageduse, turvakoopiate säilitamise, varundusseadmete hoolduse, turvakoopiate kontrolli ning turvakoopiatelt andmete taastamise korra kehtestab vallavalitsus.

§ 18.   Kaugtöö

  (1) Kaugtöö tegemine on lubatud ainult krüpteeritud ühenduse kaudu ja järgides muid Asutuses kehtestatud turvanõudeid.

  (2) Kui kaugtöö tegemisel kasutatakse töötaja isiklikku arvutit, peavad olema tagatud järgmiste turvanõuete täitmine:
  1) Windows operatsioonisüsteemiga arvutis peab olema paigaldatud ajakohaste kurivarakirjeldustega kurivaratõrjetarkvara;
  2) Arvuti peab olema varustatud personaal-tulemüüriga, mis vaikimisi tõkestab sisenevad ühendused;
  3) Ühiskasutatava arvuti korral peab olema tagatud, et teised kasutajad ei pääseks ligi arvutisse salvestatud tööalastele andmetele.
  4) Sülearvuti peab olema kaitstud BIOSi salasõnaga.

§ 19.   Turvaintsidentidest teavitamine

  (1) Turvaintsident on sündmus, kus ei ole täidetud andmete käideldavuse ja/või konfidentsiaalsuse ja/või tervikluse nõuded.

  (2) Turvaintsidendi korral tuleb:
  1) koheselt teavitada oma struktuuriüksuse juhti või vallavalitsuse hallatava asutuse juhti, IT-alase turvaintsidendi korral teavitada IT- firma töötajat;
  2) rakendada vastavaid abinõusid edasiste kahjude vähendamiseks;
  3) algatada uurimine ja hinnata turvaintsidendi ulatust ning mõju asutusele;
  4) koostada aruanded turvaintsidentide kohta.

§ 20.   Infoturbe poliitika muutmine

  (1) Infoturbe poliitika vaadatakse üle kord aastas.

  (2) Infoturbe poliitikat muudetakse, kui:
  1) seda nõuavad turvaseire tulemused;
  2) muudatuse vajadus tuleneb etalonturbe kataloogi uue versiooni ilmumisest;
  3) muudatuste vajaduse tingivad olulised tehnilised, organisatsioonilised, õiguslikud muutused või muud sisemised või välised asjaolud.

§ 21.   Määruse jõustumine

  Määrus jõustub kolmandal päeval pärast avalikustamist.

Urmas Astel
Vallavanem

Elvira Osberg
Vallasekretär

/otsingu_soovitused.json