Teksti suurus:

• Väike
• Keskmine
• Suur

Infosüsteemide andmevahetuskihi rakendamine

Vastu võetud 19.12.2003 nr 331

Määrus kehtestatakse «Andmekogude seaduse» (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155; 2000, 50, 317; 57, 373; 92, 597; 2001, 7, 17; 17, 77; 2002, 61, 375; 63, 387; 2003, 18, 107; 26, 158) § 53 lõike 7 alusel.

§ 1. Reguleerimisala

Käesoleva määrusega kehtestatakse ühtsed põhimõtted infosüsteemide andmevahetuskihi haldamiseks ja toimimiseks.

§ 2. Infosüsteemide andmevahetuskiht

(1) Infosüsteemide andmevahetuskiht (edaspidi X-tee) on turvalist internetipõhist andmevahetust võimaldav tehniline ja tehnoloogiline keskkond.

(2) X-tee turvalise keskkonna rakendamisel on järgitud järgmisi põhimõtteid ja sellega on seotud järgmised kasutajagrupid ja organisatsioonilised komponendid:
1) Eesti Vabariigi elanikud saavad kasutada teenusepakkujate poolt osutatavaid teenuseid kodanikuportaali kaudu, kasutades ID-kaarti või internetipankade autentimissüsteeme;
2) riigi ja kohaliku omavalitsuse ametnikud saavad kasutada neile personaalselt avatud teenuseid X-teega liitunud asutuse infosüsteemi kaudu, kasutades ID-kaarti või muud turvalist autentimissüsteemi;
3) infosüsteemid saavad neile avatud teise infosüsteemi teenuseid kasutada, autentides oma infosüsteemi turvaserverite sertifikaatide abil;
4) eraõiguslike ja avalik-õiguslike juriidiliste isikute ning valitsusväliste organisatsioonide töötajad saavad kasutada teenuseid kodanikuportaali kaudu või vastava institutsiooni X-teega liitunud infosüsteemi kaudu;
5) Euroopa Liidu elanikud ja institutsioonid saavad kasutada teenuseid Euroopa Liidu ja Eesti andmevahetuskihi vahelise lüüsi kaudu pärast vastavate komponentide loomist;
6) teiste maade elanikud ja institutsioonid saavad kasutada X-tee teenuseid ainult kahepoolsete kokkulepete teel;
7) riigi ja kohaliku omavalitsuse asutuste ning eraõiguslike ja avalik-õiguslike juriidiliste isikute ning valitsusväliste organisatsioonide X-teega liitunud registrid pakuvad oma teenuseid vastavalt liitumiskokkuleppele;
8) teenustele viitavate linkide paigutamist internetti ja X-tee teenuste kataloogide koostamist ei kitsendata;
9) X-tee kasutab kasutajate autentimiseks riigis loodud avaliku võtme infrastruktuuri ja kodanike autentimiseks lisaks ka internetipankade autentimissüsteeme;
10) Majandus- ja Kommunikatsiooniministeerium korraldab X-tee arendamise ja tagab tema järjepideva haldamise.

(3) X-tee tarkvara komponentide ning nende arendamise ja haldamise eest vastutavad järgmised institutsioonid:
1) dubleeritavate keskserverite (sealhulgas nime- ja auditeerimisserverid) arendamise ja haldamise eest vastutab Majandus- ja Kommunikatsiooniministeerium;
2) turvaserverite sertifitseerimiskeskuse tarkvara arendamise ja haldamise eest vastutab Majandus- ja Kommunikatsiooniministeerium;
3) kodanikuportaalide arendamise ja haldamise eest vastutab Majandus- ja Kommunikatsiooniministeerium;
4) andmekogu dubleeritava turvaserveri ja andmekogu adapterserveri haldamise eest vastutab X-teega liitunud andmekogu haldaja. Majandus- ja Kommunikatsiooniministeerium vastutab turvaserveri tarkvara arendamise eest;
5) institutsiooni dubleeritava turvaserveri ja MISPi haldamise eest vastutab X-teega liitunud institutsioon. Majandus- ja Kommunikatsiooniministeerium vastutab turvaserveri ja MISPi tarkvara arendamise eest. Miniinfosüsteem-portaal (MISP) käesoleva määruse mõistes on tarkvarapakett, mis tagab asutuse ametnikele X-tee teenuste kasutamise ja nende õiguste haldamiseks turvalise keskkonna.

(4) X-tee keskkonnas transporditavad andmed krüpteeritakse ja signeeritakse turvaserverite sertifikaatides sisalduvate avalikele võtmetele vastavate privaatvõtmetega. Turvaserverite sertifikaate väljastab X-tee osalistele (edaspidi osaline) X-tee haldaja.

§ 3. X-tee haldamine

(1) X-tee haldamist ja arendamist koordineerib ning X-tee tegevuse eest vastutab Majandus- ja Kommunikatsiooniministeerium, kes tagab turvalise andmevahetuse, juurdepääsu vaid autenditud kasutajale ning kasutaja poolt teostatavate toimingute jälgimise ja tuvastamise võimaluse.

(2) Autenditud kasutaja käesoleva määruse mõistes tuvastatakse:
1) kodaniku puhul ID-kaardiga või internetipanga kaudu;
2) ametniku puhul ID-kaardiga või asutuse infosüsteemi kaudu;
3) infosüsteemi puhul X-tee turvaserveri sertifikaadi alusel.

(3) Kodanikuportaal käesoleva määruse mõistes on X-tee kasutajaliides, mille kaudu on Eesti Vabariigi isikukoodi omavatel isikutel võimalik turvaliselt internetipõhiselt suhelda avalikku võimu teostavate asutustega.

(4) Majandus- ja Kommunikatsiooniministeerium X-tee haldajana:
1) tagab X-tee järjepidevuse;
2) haldab X-tee keskservereid;
3) haldab X-tee kodanikuportaali;
4) tagab MISPi kasutajatoe ja korraldab MISPi arendustööd;
5) tagab vajadusel avalikku võimu teostavatele asutustele MISP-keskkonna;
6) jälgib X-tee funktsioneerimist ja käsitleb koostöös osalistega turvaintsidente;
7) tagab osalisele võimaluse tuvastada andmekogu kasutaja autentimiskanali;
8) haldab X-tee dokumentatsiooni;
9) korraldab osalistele turvaserverite sertifitseerimise ja X-tee kasutamise ainult sertifitseeritud serveritele;
10) tagab X-tee turvalisuse põhimõtete, sertifikaatide väljastamise põhimõtete ja turvaauditite tulemuste refereerimise kättesaadavuse;
11) korraldab osaliste liitumise X-teega;
12) tagab X-teed puudutava avaliku teabe kättesaadavuse kõigile soovijatele;
13) tagab kasutajate teostatud toimingute jälitatavuse (v.a päringu sisu) ja tuvastamise võimaluse, lähtudes «Isikuandmete kaitse seadusest» (RT I 2003, 26, 158; 32, õiend) ja muudest õigusaktidest (näiteks andmete töötlemise salvestamine, sealhulgas päringute logid);
14) tagab X-tee käideldavuse, dubleerides vajalikul arvul süsteemi kriitilisi komponente;
15) tagab andmeedastuseks vajalike X-tee keskuse keskserverite ressursside katkematu kättesaadavuse;
16) tagab X-tee keskuses oleva infrastruktuuri piisava võimsuse ja teeb ettepanekuid osaliste infrastruktuuri täiendamiseks;
17) tagab andmekogude ja asutuste turvaserverite poolt X-tee auditeerimisserverile saadetud räsiväärtuste logimise ning krüptograafilise aheldamise ja sellega turvaserverite tervikluse;
18) tagab lüüsi kaudu infovahetuse Euroopa Liidu infosüsteemidega;
19) tagab X-tee kasutajatoe;
20) korraldab X-tee arendamistöid ja tagab ühilduvuse varasemate versioonidega;
21) täidab muid X-teega seotud ülesandeid.

§ 4. Osalised

(1) Osalised käesoleva määruse mõistes on asutused ja isikud, kelle infosüsteem on X-teega liidestatud ning kes kasutavad X-teed andmevahetuskeskkonnana või osutavad X-tee tugiteenuseid (autentimisteenus, liitumisteenus).

(2) Liitumisteenus käesoleva määruse mõistes on osalise X-teega liitumise tehniline korraldamine.

(3) Autentimisteenus käesoleva määruse mõistes on kasutaja isiku tuvastamine kasutaja ja autentimisteenuse osutaja poolt eelnevalt kokkulepitud viisil.

(4) Osaline on kohustatud:
1) tagama liitumiskokkuleppes teenuse osutamise kirjelduses esitatud tasemel oma X-teega liidestatud infosüsteemi turvalise ja häireteta töötamise;
2) järgima X-tee tegevust reguleerivaid õigusakte.

§ 5. X-teega liitumise tingimused

(1) X-teega liitumisel riigi- ja kohaliku omavalitsuse asutused:
1) vastutavad teenuste kasutamise volituste olemasolu eest asutuse registreerimisel andmekogude riiklikus registris mis tahes teenuse kasutajaks;
2) vastutavad iga kasutatava teenuse puhul teenuse kirjelduses fikseeritud tingimuste ja piirangute täitmise eest;
3) esitavad X-tee haldajale tõendi asutuse infosüsteemi turvaklassi kohta ja vastutavad liitumiskokkuleppes esitatud teenuse osutamise kirjelduse täitmise eest asutuses;
4) haldavad ametnike pääsuõigusi;
5) sõlmivad X-tee haldajaga kokkuleppe, milles fikseeritakse poolte õigused, kohustused ja vastutus;
6) registreerivad kasutatavad teenused andmekogude riiklikus registris.

(2) Eraõiguslike juriidiliste isikutega sõlmib andmekogu vastutav töötleja lisaks lõikes 1 sätestatule täiendava andmekasutuslepingu.

(3) X-teega liitumiseks riigi andmekogu vastutav töötleja:
1) loob vastavalt volitatud kasutajate põhjendatud ettepanekutele X-tee teenuseid ja avab need viivitamata;
2) registreerib teenuse ja teenuse osutamise kirjelduse andmekogude riiklikus registris;
3) deklareerib liitumisel teenuse kvaliteedi ja tagab selle;
4) tagab tingimusteta juurdepääsu kõigile andmekogude riiklikus registris selle teenuse kasutajaks registreeritud infosüsteemidele ja asutustele;
5) arvestab teenuse pakkumisel «Riigisaladuse seaduse» (RT I 1999, 16, 271; 82, 752; 2001, 7, 17; 93, 565; 100, 643; 2002, 53, 336; 57, 354; 63, 387; 2003, 13, 67; 23, 147) § 6 punktist 9 tulenevaid kitsendusi;
6) sõlmib X-tee haldajaga liitumiskokkuleppe, milles fikseeritakse poolte õigused, kohustused ja vastutus.

(4) X-tee haldajal on õigus teenuse kvaliteedi mittevastamisel deklareeritud tasemele teenus lõpetada ja tühistada väljaantud sertifikaat.

§ 6. Tehnilised ja andmeturbenõuded

(1) Teenuse avamisotsusele eelneb teenuse osutamiseks vajalike turvanõuete ja X-tee turvapõhimõtete võrdlus. X-tee haldaja on kohustatud teenuseosutaja õigustatud nõudmisel korrigeerima oma turvapõhimõtteid.

(2) Turvaklassid ja vastavad turvameetmed määratakse infosüsteemidele «Andmekogude seaduse» § 53 lõike 7 alusel kehtestatavas määruses, mis reguleerib infosüsteemide turvameetmete süsteemi.

(3) X-tee kasutamine on võimalik vaid eelnevalt sertifitseeritud serverite kaudu, andmevahetus krüpteeritakse ja signeeritakse ning varustatakse krüptograafiliselt aheldatud logiga, et tagada selle hilisem võltsimatus ja terviklus.

(4) Turvaintsidentide käsitlemise kord sätestatakse X-tee liitumiskokkuleppes.

(5) Osaline vastutab oma infosüsteemi turvalisuse eest vastavalt neis töödeldavate andmete turvaklassile.

(6) Nõuded osalise turvaserveritele, infosüsteemile ja MISP-serverile fikseeritakse liitumiskokkuleppes.

(7) X-tee haldajal on õigus nõuda liituvalt asutuselt vajadusel turvaauditit.

(8) X-tee haldajal on õigus turvaintsidentide puhul tühistada osaleja turvaserveri sertifikaat.

§ 7. Juurdepääs andmetele

(1) Andmekogu vastutav töötleja teeb isikutele X-tee kaudu kättesaadavaks andmed, millele ei ole kehtestatud juurdepääsupiiranguid.

(2) Osaliste ja osalejagruppide juurdepääsuõigus konkreetsetele andmetele, teenusega seotud turvanõuded, teenust iseloomustavad kvaliteedinõuded ning seotus riigisaladusega fikseeritakse iga konkreetse teenuse jaoks selle teenuse osutamise kirjelduses.

(3) Vastutus X-teega liitunud asutuse turvaserveri kaudu X-tee keskkonda pääsenud kasutajatele juurdepääsuõiguste andmise ja toimepandud õiguserikkumiste osas lasub asutuse juhil.

§ 8. X-tee finantseerimine

(1) X-tee tegevuseks vajalikud kulutused kaetakse riigieelarvest Majandus- ja Kommunikatsiooniministeeriumile eraldatud vahenditest. Osalistelt ega autenditud kasutajatelt  X-tee kasutamise eest tasu ei võeta. Samuti ei võeta tasu eraõiguslikelt juriidilistelt isikutelt, kui nad osutavad teenuseid avalikes huvides.

(2) Autentimis- ja liitumisteenuse eest tasub teenuseosutajale selle tarbija.

(3) Andmekogust tehtavate päringute eest võib andmekogu vastutav töötleja võtta tasu üksnes juhul, kui tasu võtmine tuleneb seadusest.

§ 9. Määruse rakendamine

(1) Avaliku võimu teostamise seisukohalt olulised põhi- ja riiklikke andmekogusid haldavad asutused, kes seni ei ole X-teega liitunud, liituvad X-teega hiljemalt 1. märtsil 2004. a, tagades X-tee vahendusel juurdepääsu vähemalt järgmiste asutuste andmekogudele/infosüsteemidele:
1) Maanteeamet («Riiklik maanteeregister»);
2) Majandus- ja Kommunikatsiooniministeerium («Riiklik ehitisregister»);
3) Maksuamet («Maksukohustuslaste register»);
4) Piirivalveamet (piiriületuste andmekogu);
5) Siseministeerium («Karistusregister», «Riigi kohanimeregister», «Viisaregister»);
6) Tolliamet (tolli põhitegevuse infosüsteem ASYCUDA);
7) Tööturuamet («Tööotsijate ja tööturuteenuste riiklik register»);
8) Justiitsministeerium (kinnistusraamatu päringusüsteem).

(2) Kui lõikes 1 nimetatud andmekogu või infosüsteemi liitumine pole määratud ajaks võimalik, siis esitab andmekogu vastutav töötleja või infosüsteemi haldav asutus erikäsitluse vajaduse põhjenduse ja/või liitumiskava.

(3) Kõik valitsusasutused (v.a lõikes 1 nimetatud asutused), samuti kohaliku omavalitsuse asutused teatavad Majandus- ja Kommunikatsiooniministeeriumile hiljemalt 1. märtsiks 2004. a X-teega liitumise tähtaja. Valitsusasutused liituvad X-teega hiljemalt 1. jaanuaril 2005. a.

(4) Majandus- ja Kommunikatsiooniministeerium koostöös Siseministeeriumiga täpsustab 1. juuliks 2004. a riigisaladusega seotud andmete käsitlemise iseärasused ja teeb vajadusel täiendused liitumiskokkulepetes. Kui riigisaladust sisaldavaid päringuid teostava asutuse liitumine hiljemalt 1. jaanuaril 2005. a ei ole võimalik, siis esitab riigisaladust sisaldavaid päringuid teostav asutus erikäsitluse vajaduse põhjenduse ja/või liitumiskava.

(5) Majandus- ja Kommunikatsiooniministeerium esitab andmekogude riikliku registri vastutava töötlejana kahe kuu jooksul, arvates käesoleva määruse jõustumisest, Vabariigi Valitsusele kinnitamiseks määruse eelnõu andmekogude riikliku registri põhimääruse kooskõlla viimiseks käesoleva määrusega.

§ 10. Määruse jõustumine

Määrus jõustub 1. jaanuaril 2004. a.

Peaminister Juhan PARTS

Majandus- ja kommunikatsiooniminister Meelis ATONEN

Riigisekretär Heiki LOOT