Teksti suurus:

• Väike
• Keskmine
• Suur

Infosüsteemide turvameetmete süsteemi kehtestamine

Vastu võetud 12.08.2004 nr 273

Määrus kehtestatakse « Andmekogude seaduse» (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155; 2000, 50, 317; 57, 373; 92, 597; 2001, 7, 17; 17, 77; 2002, 61, 375; 63, 387; 2003, 18, 107; 26, 158; 2004, 30, 204) § 53 lõike 7 alusel.

1. peatükk
ÜLDSÄTTED

§1. Reguleerimisala

(1) Määrusega kehtestatakse riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem.

(2) Turvameetmete süsteem koosneb turvanõuete spetsifitseerimise korrast ning andmete organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete kirjeldustest.

(3) Määrust ei kohaldata riigisaladust töötlevate infosüsteemide turbeks.

§2. Turvameetmete süsteemi rakendamine

Turvameetmete süsteemi rakendamine seisneb infoturbe eesmärkidele vastavate turvaklasside määramises ja nendele vastavate turvameetmete valimises vastavalt infosüsteemide kolmeastmelise etalonturbe süsteemi (edaspidi ISKE) rakendamisjuhendile ja nende rakendamises.

§3. Mõisted

(1) Määruses kasutatakse mõisteid järgmises tähenduses:
1) andmete turvaanalüüs – turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine;
2) etalonmeetmed – tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest;
3) etalonturve – turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks;
4) infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talituseks vajalike vahendite, ressursside ja protsessidega;
5) infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum;
6) turvameetmed – organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks;
7) turvaklass – andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning neljakomponendilisena, st nelja turvaosaklassi ühendina;
8) turvaosaklass – andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal; neljast infoturbe eesmärgist tuleneb neli turvaosaklassi.

(2) Määruses kasutatakse termineid standarditega EVS/ISO/IEC 2382 (Infotehnoloogia. Sõnastik) ja EVS ISO/IEC 13335 osade 1–5 (Infotehnoloogia. Infoturbe halduse suunised) määratud tähenduses.

2. peatükk
TURVAKLASSID JA TURVAMEETMED

§4. Turvanõuete spetsifitseerimine

(1) Infoturbe eesmärke arvestava turvaklassi määramiseks korraldab andmekogu vastutav töötleja andmekogu andmete turvaanalüüsi.

(2) Andmekogu vastutav töötleja on kohustatud üks kuu enne andmekogu pidamiseks kasutatava infosüsteemi kasutusele võtmist või olemasoleva infosüsteemi vastavate arendustööde käivitamist edastama «Andmekogude riikliku registri «volitatud töötlejale andmete turvaanalüüsi tulemusena kindlaksmääratud turvaklassid.

(3) «Andmekogude riikliku registri» volitatud töötlejal on õigus andmekogu vastutava töötleja poolt määratud turvaklass vajadusel vaidlustada ja teha ettepanekuid selle muutmiseks.

§5. Turvaklassi määramine

(1) Andmekogu vastutav töötleja korraldab andmete turvaanalüüsi tulemusena üksteisest sõltumatute turvaosaklasside määramise infoturbe eesmärkide ja nende saavutamise olulisuse alusel.

(2) Turvaklass määratakse andmekogus töödeldavatele andmetele. Ühe andmekogu erinevatel andmeliikidel võib olla erinev turvaklass. Turvaklassile vastavad turvameetmed rakendatakse neid andmeid töötlevale infosüsteemile või selle osale töödeldava andmestiku alusel.

(3) Turvaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete infoturbe tasemest.

(4) Turvaklassi tähistuses kasutatakse vastava infoturbe eesmärgi nimetusele viitavat tähte ja taseme numbrit.

§6. Turvatasemed

(1) Turbeaste võib olla kõrge (H), keskmine (M) või madal (L).

(2) Nõutav turvatase määratakse vastavalt infoturbe eesmärkidele tervikluse, konfidentsiaalsuse ja käideldavuse parameetrite kaudu.

(3) Teabe terviklus (T) on teabe volitamata muutmise võimatus ja teabe allika tuvastatavus.

(4) Teabe konfidentsiaalsus (S) on töödeldava teabe kättesaadavus ainult selleks volitatud isikutele ja asutustele.

(5) Teabe käideldavus on kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijale. Teabe käideldavuse kriteeriumideks on teabe hilinemise tagajärgede lubatav kaalukus (R), mis on võimaliku hilinemisest tekkida võiva kahju jäämine lubatavasse ulatusse, ja aegkriitilise teabe käideldavus (K), mis on teabe kasutuskõlblikuna kättesaadavus lubatava hilinemise piires oleva ajaga.

§7. Turbetaseme astmed

Infoturbe eesmärgi saavutamise nõutavale tasemele määratakse number järgmisest astmikust:
1) 0 – eesmärgi saavutamata jäämine ei too kaasa mingeid kahjusid;
2) 1 – eesmärgi saavutamata jäämisel tekkida võivad kahjud ei ole olulised;
3) 2 – eesmärgi saavutamata jäämisel võivad tekkida olulised kahjud;
4) 3 – eesmärgi saavutamata jäämisel võib olla võimatu täita andmekogu funktsiooni.

§8. Turvaosaklassid

(1) Teabe tervikluse alusel määratakse turvaosaklass järgmisest astmikust:
1) T0 – andmete terviklus ei ole oluline;
2) T1 – andmete kõik volitamata muudatused peavad olema tuvastatavad;
3) T2 – andmete allikas peab olema tuvastatav;
4) T3 – andmete allikat peab saama tõestada kolmandale osapoolele.

(2) Teabe konfidentsiaalsuse alusel määratakse turvaosaklass järgmisest astmikust:
1) S0 – andmeid tohivad teada kõik soovijad;
2) S1 – andmete avalikustamine võib põhjustada materiaalset või moraalset kahju;
3) S2 – andmete avalikustamine häirib riigi või asutuse funktsioneerimist või rikub inimese privaatsust;
4) S3 – andmete avalikustamine on ohtlik riigi, asutuse või inimese julgeolekule või on vastuolus inimõigustega või andmete avalikustamine võib põhjustada kontrollimatuid muudatusi riigi või asutuse olulistes infosüsteemides.

(3) Teabe hilinemise tagajärgede lubatava kaalukuse alusel määratakse turvaosaklass järgmisest astmikust:
1) R0 – teabe saamata jäämisega ei kaasne olulisi tagajärgi;
2) R1 – andmete saamata jäämine põhjustab häireid riigikorralduses või asutuse tegevuses, ohtu inimeste tervisele või keskkonnasaaste ohtu;
3) R2 – andmete saamata jäämine põhjustab olulist kahju riigi suveräänsusele, ohtu inimelule või keskkonnasaastet;
4) R3 – andmete saamata jäämine põhjustab suveräänsuse kaotamise ohtu, mitmeid hukkunuid või ulatuslikku keskkonnasaastet.

(4) Aegkriitilise teabe käideldavuse alusel määratakse turvaosaklass järgmisest astmikust:
1) K0 – teabe saamisele ei ole seatud tähtaegu;
2) K1 – teabe saamisele on seatud tähtaeg päevades;
3) K2 – oluline on teabe saamine tundide jooksul;
4) K3 – oluline on teabe saamine sekundite jooksul.

§9. Turvaklasside moodustamine

Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses RKTS (näiteks R1K2T3S1).

§10. Teabe konfidentsiaalsuse taseme määramine delikaatsete ja eraeluliste isikuandmete töötlemisel

Isikuandmete töötlemisel määratakse teabe konfidentsiaalsuse turvaosaklassiks S2.

§11. Turvaklassidele vastavate turvameetmete valimine

(1) Andmekogu andmeid töötleva infosüsteemi infoturbe eesmärkide tagamiseks peab rakendama turvameetmeid, mis vastavad selles infosüsteemis peetava andmekogu andmetele määratud turvaklassile.

(2) Turvameetmed valitakse vastavalt turvaklassile ISKE rakendamisjuhendi alusel.

(3) ISKE rakendamisjuhendi töötab välja Riigi Infosüsteemide Arenduskeskus ja see avaldatakse Riigi Infosüsteemide Arenduskeskuse veebilehel.

3. peatükk
RAKENDUSSÄTTED

§12. Määruse rakendamine enne määruse jõustumist kasutusele võetud infosüsteemide suhtes

(1) Enne määruse jõustumist asutatud andmekogu andmetele määrab andmekogu vastutav töötleja turvaklassid ja rakendab andmekogu andmeid töötlevale infosüsteemile etappide kaupa vastavad turvameetmed hiljemalt 1. jaanuaril 2008. a.

(2) Andmekogu andmetele määratud turvaklassid edastab andmekogu vastutav töötleja «Andmekogude riikliku registri» volitatud töötlejale.

§13. ISKE rakendamisjuhendi ajakohasuse tagamine

Etalonmeetmete ajakohasuse tagamiseks viib Riigi Infosüsteemide Arenduskeskus iga aasta 1. jaanuariks läbi ISKE ajakohasuse kontrolli ning teeb selles vajadusel muudatusi.

Peaminister Juhan PARTS

Majandus- ja kommunikatsiooniminister Meelis ATONEN

Riigisekretär Heiki LOOT