Infosüsteemide andmevahetuskihi rakendamine
Vastu võetud 19.12.2003 nr 331
Määrus kehtestatakse «Andmekogude seaduse» (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155; 2000, 50, 317; 57, 373; 92, 597; 2001, 7, 17; 17, 77; 2002, 61, 375; 63, 387; 2003, 18, 107; 26, 158) § 53 lõike 7 alusel.
§ 1. Reguleerimisala
Käesoleva määrusega kehtestatakse ühtsed põhimõtted infosüsteemide andmevahetuskihi haldamiseks ja toimimiseks.
§ 2. Infosüsteemide andmevahetuskiht
(1) Infosüsteemide andmevahetuskiht (edaspidi X-tee) on turvalist internetipõhist andmevahetust võimaldav tehniline ja tehnoloogiline keskkond.
(2) X-tee turvalise keskkonna rakendamisel on järgitud järgmisi
põhimõtteid ja sellega on seotud järgmised kasutajagrupid ja
organisatsioonilised komponendid:
1) Eesti Vabariigi elanikud saavad
kasutada teenusepakkujate poolt osutatavaid teenuseid kodanikuportaali
kaudu, kasutades ID-kaarti või internetipankade autentimissüsteeme;
2)
riigi ja kohaliku omavalitsuse ametnikud saavad kasutada neile
personaalselt avatud teenuseid X-teega liitunud asutuse infosüsteemi
kaudu, kasutades ID-kaarti või muud turvalist autentimissüsteemi;
3)
infosüsteemid saavad neile avatud teise infosüsteemi teenuseid kasutada,
autentides oma infosüsteemi turvaserverite sertifikaatide abil;
4)
eraõiguslike ja avalik-õiguslike juriidiliste isikute ning
valitsusväliste organisatsioonide töötajad saavad kasutada teenuseid
kodanikuportaali kaudu või vastava institutsiooni X-teega liitunud
infosüsteemi kaudu;
5) Euroopa Liidu elanikud ja institutsioonid
saavad kasutada teenuseid Euroopa Liidu ja Eesti andmevahetuskihi
vahelise lüüsi kaudu pärast vastavate komponentide loomist;
6)
teiste maade elanikud ja institutsioonid saavad kasutada X-tee teenuseid
ainult kahepoolsete kokkulepete teel;
7) riigi ja kohaliku
omavalitsuse asutuste ning eraõiguslike ja avalik-õiguslike juriidiliste
isikute ning valitsusväliste organisatsioonide X-teega liitunud
registrid pakuvad oma teenuseid vastavalt liitumiskokkuleppele;
8)
teenustele viitavate linkide paigutamist internetti ja X-tee teenuste
kataloogide koostamist ei kitsendata;
9) X-tee kasutab kasutajate
autentimiseks riigis loodud avaliku võtme infrastruktuuri ja kodanike
autentimiseks lisaks ka internetipankade autentimissüsteeme;
10)
Majandus- ja Kommunikatsiooniministeerium korraldab X-tee arendamise ja
tagab tema järjepideva haldamise.
(3) X-tee tarkvara komponentide ning nende arendamise ja haldamise eest
vastutavad järgmised institutsioonid:
1) dubleeritavate
keskserverite (sealhulgas nime- ja auditeerimisserverid) arendamise ja
haldamise eest vastutab Majandus- ja Kommunikatsiooniministeerium;
2)
turvaserverite sertifitseerimiskeskuse tarkvara arendamise ja haldamise
eest vastutab Majandus- ja Kommunikatsiooniministeerium;
3)
kodanikuportaalide arendamise ja haldamise eest vastutab Majandus- ja
Kommunikatsiooniministeerium;
4) andmekogu dubleeritava turvaserveri
ja andmekogu adapterserveri haldamise eest vastutab X-teega liitunud
andmekogu haldaja. Majandus- ja Kommunikatsiooniministeerium vastutab
turvaserveri tarkvara arendamise eest;
5) institutsiooni dubleeritava
turvaserveri ja MISPi haldamise eest vastutab X-teega liitunud
institutsioon. Majandus- ja Kommunikatsiooniministeerium vastutab
turvaserveri ja MISPi tarkvara arendamise eest. Miniinfosüsteem-portaal
(MISP) käesoleva määruse mõistes on tarkvarapakett, mis tagab asutuse
ametnikele X-tee teenuste kasutamise ja nende õiguste haldamiseks
turvalise keskkonna.
(4) X-tee keskkonnas transporditavad andmed krüpteeritakse ja signeeritakse turvaserverite sertifikaatides sisalduvate avalikele võtmetele vastavate privaatvõtmetega. Turvaserverite sertifikaate väljastab X-tee osalistele (edaspidi osaline) X-tee haldaja.
§ 3. X-tee haldamine
(1) X-tee haldamist ja arendamist koordineerib ning X-tee tegevuse eest vastutab Majandus- ja Kommunikatsiooniministeerium, kes tagab turvalise andmevahetuse, juurdepääsu vaid autenditud kasutajale ning kasutaja poolt teostatavate toimingute jälgimise ja tuvastamise võimaluse.
(2) Autenditud kasutaja käesoleva määruse mõistes tuvastatakse:
1)
kodaniku puhul ID-kaardiga või internetipanga kaudu;
2) ametniku
puhul ID-kaardiga või asutuse infosüsteemi kaudu;
3)
infosüsteemi puhul X-tee turvaserveri sertifikaadi alusel.
(3) Kodanikuportaal käesoleva määruse mõistes on X-tee kasutajaliides, mille kaudu on Eesti Vabariigi isikukoodi omavatel isikutel võimalik turvaliselt internetipõhiselt suhelda avalikku võimu teostavate asutustega.
(4) Majandus- ja Kommunikatsiooniministeerium X-tee haldajana:
1)
tagab X-tee järjepidevuse;
2) haldab X-tee keskservereid;
3)
haldab X-tee kodanikuportaali;
4) tagab MISPi kasutajatoe ja
korraldab MISPi arendustööd;
5) tagab vajadusel avalikku
võimu teostavatele asutustele MISP-keskkonna;
6) jälgib X-tee
funktsioneerimist ja käsitleb koostöös osalistega turvaintsidente;
7)
tagab osalisele võimaluse tuvastada andmekogu kasutaja autentimiskanali;
8)
haldab X-tee dokumentatsiooni;
9) korraldab osalistele turvaserverite
sertifitseerimise ja X-tee kasutamise ainult sertifitseeritud
serveritele;
10) tagab X-tee turvalisuse põhimõtete, sertifikaatide
väljastamise põhimõtete ja turvaauditite tulemuste refereerimise
kättesaadavuse;
11) korraldab osaliste liitumise X-teega;
12)
tagab X-teed puudutava avaliku teabe kättesaadavuse kõigile soovijatele;
13)
tagab kasutajate teostatud toimingute jälitatavuse (v.a päringu sisu) ja
tuvastamise võimaluse, lähtudes «Isikuandmete kaitse seadusest» (RT I
2003, 26, 158; 32, õiend) ja muudest õigusaktidest (näiteks andmete
töötlemise salvestamine, sealhulgas päringute logid);
14)
tagab X-tee käideldavuse, dubleerides vajalikul arvul süsteemi
kriitilisi komponente;
15) tagab andmeedastuseks vajalike X-tee
keskuse keskserverite ressursside katkematu kättesaadavuse;
16)
tagab X-tee keskuses oleva infrastruktuuri piisava võimsuse ja teeb
ettepanekuid osaliste infrastruktuuri täiendamiseks;
17) tagab
andmekogude ja asutuste turvaserverite poolt X-tee auditeerimisserverile
saadetud räsiväärtuste logimise ning krüptograafilise aheldamise ja
sellega turvaserverite tervikluse;
18) tagab lüüsi kaudu infovahetuse
Euroopa Liidu infosüsteemidega;
19) tagab X-tee kasutajatoe;
20)
korraldab X-tee arendamistöid ja tagab ühilduvuse varasemate
versioonidega;
21) täidab muid X-teega seotud ülesandeid.
§ 4. Osalised
(1) Osalised käesoleva määruse mõistes on asutused ja isikud, kelle infosüsteem on X-teega liidestatud ning kes kasutavad X-teed andmevahetuskeskkonnana või osutavad X-tee tugiteenuseid (autentimisteenus, liitumisteenus).
(2) Liitumisteenus käesoleva määruse mõistes on osalise X-teega liitumise tehniline korraldamine.
(3) Autentimisteenus käesoleva määruse mõistes on kasutaja isiku tuvastamine kasutaja ja autentimisteenuse osutaja poolt eelnevalt kokkulepitud viisil.
(4) Osaline on kohustatud:
1) tagama liitumiskokkuleppes teenuse
osutamise kirjelduses esitatud tasemel oma X-teega liidestatud
infosüsteemi turvalise ja häireteta töötamise;
2)
järgima X-tee tegevust reguleerivaid õigusakte.
§ 5. X-teega liitumise tingimused
(1) X-teega liitumisel riigi- ja kohaliku omavalitsuse asutused:
1)
vastutavad teenuste kasutamise volituste olemasolu eest asutuse
registreerimisel andmekogude riiklikus registris mis tahes teenuse
kasutajaks;
2) vastutavad iga kasutatava teenuse puhul teenuse
kirjelduses fikseeritud tingimuste ja piirangute täitmise eest;
3)
esitavad X-tee haldajale tõendi asutuse infosüsteemi turvaklassi kohta
ja vastutavad liitumiskokkuleppes esitatud teenuse osutamise kirjelduse
täitmise eest asutuses;
4) haldavad ametnike pääsuõigusi;
5)
sõlmivad X-tee haldajaga kokkuleppe, milles fikseeritakse poolte
õigused, kohustused ja vastutus;
6) registreerivad kasutatavad
teenused andmekogude riiklikus registris.
(2) Eraõiguslike juriidiliste isikutega sõlmib andmekogu vastutav töötleja lisaks lõikes 1 sätestatule täiendava andmekasutuslepingu.
(3) X-teega liitumiseks riigi andmekogu vastutav töötleja:
1)
loob vastavalt volitatud kasutajate põhjendatud ettepanekutele X-tee
teenuseid ja avab need viivitamata;
2) registreerib teenuse ja
teenuse osutamise kirjelduse andmekogude riiklikus registris;
3)
deklareerib liitumisel teenuse kvaliteedi ja tagab selle;
4) tagab
tingimusteta juurdepääsu kõigile andmekogude riiklikus registris selle
teenuse kasutajaks registreeritud infosüsteemidele ja asutustele;
5)
arvestab teenuse pakkumisel «Riigisaladuse seaduse» (RT I 1999, 16, 271;
82, 752; 2001, 7, 17; 93, 565; 100, 643; 2002, 53, 336; 57, 354; 63,
387; 2003, 13, 67; 23, 147) § 6 punktist 9 tulenevaid kitsendusi;
6)
sõlmib X-tee haldajaga liitumiskokkuleppe, milles fikseeritakse poolte
õigused, kohustused ja vastutus.
(4) X-tee haldajal on õigus teenuse kvaliteedi mittevastamisel deklareeritud tasemele teenus lõpetada ja tühistada väljaantud sertifikaat.
§ 6. Tehnilised ja andmeturbenõuded
(1) Teenuse avamisotsusele eelneb teenuse osutamiseks vajalike turvanõuete ja X-tee turvapõhimõtete võrdlus. X-tee haldaja on kohustatud teenuseosutaja õigustatud nõudmisel korrigeerima oma turvapõhimõtteid.
(2) Turvaklassid ja vastavad turvameetmed määratakse infosüsteemidele «Andmekogude seaduse» § 53 lõike 7 alusel kehtestatavas määruses, mis reguleerib infosüsteemide turvameetmete süsteemi.
(3) X-tee kasutamine on võimalik vaid eelnevalt sertifitseeritud serverite kaudu, andmevahetus krüpteeritakse ja signeeritakse ning varustatakse krüptograafiliselt aheldatud logiga, et tagada selle hilisem võltsimatus ja terviklus.
(4) Turvaintsidentide käsitlemise kord sätestatakse X-tee liitumiskokkuleppes.
(5) Osaline vastutab oma infosüsteemi turvalisuse eest vastavalt neis töödeldavate andmete turvaklassile.
(6) Nõuded osalise turvaserveritele, infosüsteemile ja MISP-serverile fikseeritakse liitumiskokkuleppes.
(7) X-tee haldajal on õigus nõuda liituvalt asutuselt vajadusel turvaauditit.
(8) X-tee haldajal on õigus turvaintsidentide puhul tühistada osaleja turvaserveri sertifikaat.
§ 7. Juurdepääs andmetele
(1) Andmekogu vastutav töötleja teeb isikutele X-tee kaudu kättesaadavaks andmed, millele ei ole kehtestatud juurdepääsupiiranguid.
(2) Osaliste ja osalejagruppide juurdepääsuõigus konkreetsetele andmetele, teenusega seotud turvanõuded, teenust iseloomustavad kvaliteedinõuded ning seotus riigisaladusega fikseeritakse iga konkreetse teenuse jaoks selle teenuse osutamise kirjelduses.
(3) Vastutus X-teega liitunud asutuse turvaserveri kaudu X-tee keskkonda pääsenud kasutajatele juurdepääsuõiguste andmise ja toimepandud õiguserikkumiste osas lasub asutuse juhil.
§ 8. X-tee finantseerimine
(1) X-tee tegevuseks vajalikud kulutused kaetakse riigieelarvest Majandus- ja Kommunikatsiooniministeeriumile eraldatud vahenditest. Osalistelt ega autenditud kasutajatelt X-tee kasutamise eest tasu ei võeta. Samuti ei võeta tasu eraõiguslikelt juriidilistelt isikutelt, kui nad osutavad teenuseid avalikes huvides.
(2) Autentimis- ja liitumisteenuse eest tasub teenuseosutajale selle tarbija.
(3) Andmekogust tehtavate päringute eest võib andmekogu vastutav töötleja võtta tasu üksnes juhul, kui tasu võtmine tuleneb seadusest.
§ 9. Määruse rakendamine
(1) Avaliku võimu teostamise seisukohalt olulised põhi- ja riiklikke
andmekogusid haldavad asutused, kes seni ei ole X-teega liitunud,
liituvad X-teega hiljemalt 1. märtsil 2004. a, tagades X-tee vahendusel
juurdepääsu vähemalt järgmiste asutuste andmekogudele/infosüsteemidele:
1)
Maanteeamet («Riiklik maanteeregister»);
2) Majandus- ja
Kommunikatsiooniministeerium («Riiklik ehitisregister»);
3)
Maksuamet («Maksukohustuslaste register»);
4)
Piirivalveamet (piiriületuste andmekogu);
5) Siseministeerium
(«Karistusregister», «Riigi kohanimeregister», «Viisaregister»);
6)
Tolliamet (tolli põhitegevuse infosüsteem ASYCUDA);
7)
Tööturuamet («Tööotsijate ja tööturuteenuste riiklik register»);
8)
Justiitsministeerium (kinnistusraamatu päringusüsteem).
(2) Kui lõikes 1 nimetatud andmekogu või infosüsteemi liitumine pole määratud ajaks võimalik, siis esitab andmekogu vastutav töötleja või infosüsteemi haldav asutus erikäsitluse vajaduse põhjenduse ja/või liitumiskava.
(3) Kõik valitsusasutused (v.a lõikes 1 nimetatud asutused), samuti kohaliku omavalitsuse asutused teatavad Majandus- ja Kommunikatsiooniministeeriumile hiljemalt 1. märtsiks 2004. a X-teega liitumise tähtaja. Valitsusasutused liituvad X-teega hiljemalt 1. jaanuaril 2005. a.
(4) Majandus- ja Kommunikatsiooniministeerium koostöös Siseministeeriumiga täpsustab 1. juuliks 2004. a riigisaladusega seotud andmete käsitlemise iseärasused ja teeb vajadusel täiendused liitumiskokkulepetes. Kui riigisaladust sisaldavaid päringuid teostava asutuse liitumine hiljemalt 1. jaanuaril 2005. a ei ole võimalik, siis esitab riigisaladust sisaldavaid päringuid teostav asutus erikäsitluse vajaduse põhjenduse ja/või liitumiskava.
(5) Majandus- ja Kommunikatsiooniministeerium esitab andmekogude riikliku registri vastutava töötlejana kahe kuu jooksul, arvates käesoleva määruse jõustumisest, Vabariigi Valitsusele kinnitamiseks määruse eelnõu andmekogude riikliku registri põhimääruse kooskõlla viimiseks käesoleva määrusega.
§ 10. Määruse jõustumine
Määrus jõustub 1. jaanuaril 2004. a.
Peaminister Juhan PARTS |
Majandus- ja kommunikatsiooniminister Meelis ATONEN |
Riigisekretär Heiki LOOT |