Määrus kehtestatakse «Andmekogude
seaduse» (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155; 2000,
50, 317; 57, 373; 92, 597; 2001, 7, 17; 17, 77; 2002, 61, 375; 63, 387;
2003, 18, 107; 26, 158) § 53 lõike 7 alusel.
§ 1. Reguleerimisala
Käesoleva määrusega kehtestatakse ühtsed põhimõtted infosüsteemide
andmevahetuskihi haldamiseks ja toimimiseks.
§ 2. Infosüsteemide andmevahetuskiht
(1) Infosüsteemide andmevahetuskiht (edaspidi X-tee) on
turvalist internetipõhist andmevahetust võimaldav tehniline ja
tehnoloogiline keskkond.
(2) X-tee turvalise keskkonna rakendamisel on järgitud järgmisi
põhimõtteid ja sellega on seotud järgmised kasutajagrupid ja
organisatsioonilised komponendid:
1) Eesti Vabariigi elanikud saavad
kasutada teenusepakkujate poolt osutatavaid teenuseid kodanikuportaali
kaudu, kasutades ID-kaarti või internetipankade autentimissüsteeme;
2)
riigi ja kohaliku omavalitsuse ametnikud saavad kasutada neile
personaalselt avatud teenuseid X-teega liitunud asutuse infosüsteemi
kaudu, kasutades ID-kaarti või muud turvalist autentimissüsteemi;
3)
infosüsteemid saavad neile avatud teise infosüsteemi teenuseid kasutada,
autentides oma infosüsteemi turvaserverite sertifikaatide abil;
4)
eraõiguslike ja avalik-õiguslike juriidiliste isikute ning
valitsusväliste organisatsioonide töötajad saavad kasutada teenuseid
kodanikuportaali kaudu või vastava institutsiooni X-teega liitunud
infosüsteemi kaudu;
5) Euroopa Liidu elanikud ja institutsioonid
saavad kasutada teenuseid Euroopa Liidu ja Eesti andmevahetuskihi
vahelise lüüsi kaudu pärast vastavate komponentide loomist;
6)
teiste maade elanikud ja institutsioonid saavad kasutada X-tee teenuseid
ainult kahepoolsete kokkulepete teel;
7) riigi ja kohaliku
omavalitsuse asutuste ning eraõiguslike ja avalik-õiguslike juriidiliste
isikute ning valitsusväliste organisatsioonide X-teega liitunud
registrid pakuvad oma teenuseid vastavalt liitumiskokkuleppele;
8)
teenustele viitavate linkide paigutamist internetti ja X-tee teenuste
kataloogide koostamist ei kitsendata;
9) X-tee kasutab kasutajate
autentimiseks riigis loodud avaliku võtme infrastruktuuri ja kodanike
autentimiseks lisaks ka internetipankade autentimissüsteeme;
10)
Majandus- ja Kommunikatsiooniministeerium korraldab X-tee arendamise ja
tagab tema järjepideva haldamise.
(3) X-tee tarkvara komponentide ning nende arendamise ja haldamise eest
vastutavad järgmised institutsioonid:
1) dubleeritavate
keskserverite (sealhulgas nime- ja auditeerimisserverid) arendamise ja
haldamise eest vastutab Majandus- ja Kommunikatsiooniministeerium;
2)
turvaserverite sertifitseerimiskeskuse tarkvara arendamise ja haldamise
eest vastutab Majandus- ja Kommunikatsiooniministeerium;
3)
kodanikuportaalide arendamise ja haldamise eest vastutab Majandus- ja
Kommunikatsiooniministeerium;
4) andmekogu dubleeritava turvaserveri
ja andmekogu adapterserveri haldamise eest vastutab X-teega liitunud
andmekogu haldaja. Majandus- ja Kommunikatsiooniministeerium vastutab
turvaserveri tarkvara arendamise eest;
5) institutsiooni dubleeritava
turvaserveri ja MISPi haldamise eest vastutab X-teega liitunud
institutsioon. Majandus- ja Kommunikatsiooniministeerium vastutab
turvaserveri ja MISPi tarkvara arendamise eest. Miniinfosüsteem-portaal
(MISP) käesoleva määruse mõistes on tarkvarapakett, mis tagab asutuse
ametnikele X-tee teenuste kasutamise ja nende õiguste haldamiseks
turvalise keskkonna.
(4) X-tee keskkonnas transporditavad andmed krüpteeritakse ja
signeeritakse turvaserverite sertifikaatides sisalduvate avalikele
võtmetele vastavate privaatvõtmetega. Turvaserverite sertifikaate
väljastab X-tee osalistele (edaspidi osaline) X-tee haldaja.
§ 3. X-tee haldamine
(1) X-tee haldamist ja arendamist koordineerib ning X-tee tegevuse eest
vastutab Majandus- ja Kommunikatsiooniministeerium, kes tagab turvalise
andmevahetuse, juurdepääsu vaid autenditud kasutajale ning kasutaja
poolt teostatavate toimingute jälgimise ja tuvastamise võimaluse.
(2) Autenditud kasutaja käesoleva määruse mõistes tuvastatakse:
1)
kodaniku puhul ID-kaardiga või internetipanga kaudu;
2) ametniku
puhul ID-kaardiga või asutuse infosüsteemi kaudu;
3)
infosüsteemi puhul X-tee turvaserveri sertifikaadi alusel.
(3) Kodanikuportaal käesoleva määruse mõistes on X-tee kasutajaliides,
mille kaudu on Eesti Vabariigi isikukoodi omavatel isikutel võimalik
turvaliselt internetipõhiselt suhelda avalikku võimu teostavate
asutustega.
(4) Majandus- ja Kommunikatsiooniministeerium X-tee haldajana:
1)
tagab X-tee järjepidevuse;
2) haldab X-tee keskservereid;
3)
haldab X-tee kodanikuportaali;
4) tagab MISPi kasutajatoe ja
korraldab MISPi arendustööd;
5) tagab vajadusel avalikku
võimu teostavatele asutustele MISP-keskkonna;
6) jälgib X-tee
funktsioneerimist ja käsitleb koostöös osalistega turvaintsidente;
7)
tagab osalisele võimaluse tuvastada andmekogu kasutaja autentimiskanali;
8)
haldab X-tee dokumentatsiooni;
9) korraldab osalistele turvaserverite
sertifitseerimise ja X-tee kasutamise ainult sertifitseeritud
serveritele;
10) tagab X-tee turvalisuse põhimõtete, sertifikaatide
väljastamise põhimõtete ja turvaauditite tulemuste refereerimise
kättesaadavuse;
11) korraldab osaliste liitumise X-teega;
12)
tagab X-teed puudutava avaliku teabe kättesaadavuse kõigile soovijatele;
13)
tagab kasutajate teostatud toimingute jälitatavuse (v.a päringu sisu) ja
tuvastamise võimaluse, lähtudes «Isikuandmete kaitse seadusest» (RT I
2003, 26, 158; 32, õiend) ja muudest õigusaktidest (näiteks andmete
töötlemise salvestamine, sealhulgas päringute logid);
14)
tagab X-tee käideldavuse, dubleerides vajalikul arvul süsteemi
kriitilisi komponente;
15) tagab andmeedastuseks vajalike X-tee
keskuse keskserverite ressursside katkematu kättesaadavuse;
16)
tagab X-tee keskuses oleva infrastruktuuri piisava võimsuse ja teeb
ettepanekuid osaliste infrastruktuuri täiendamiseks;
17) tagab
andmekogude ja asutuste turvaserverite poolt X-tee auditeerimisserverile
saadetud räsiväärtuste logimise ning krüptograafilise aheldamise ja
sellega turvaserverite tervikluse;
18) tagab lüüsi kaudu infovahetuse
Euroopa Liidu infosüsteemidega;
19) tagab X-tee kasutajatoe;
20)
korraldab X-tee arendamistöid ja tagab ühilduvuse varasemate
versioonidega;
21) täidab muid X-teega seotud ülesandeid.
§ 4. Osalised
(1) Osalised käesoleva määruse mõistes on asutused ja isikud, kelle
infosüsteem on X-teega liidestatud ning kes kasutavad X-teed
andmevahetuskeskkonnana või osutavad X-tee tugiteenuseid
(autentimisteenus, liitumisteenus).
(2) Liitumisteenus käesoleva määruse mõistes on osalise X-teega
liitumise tehniline korraldamine.
(3) Autentimisteenus käesoleva määruse mõistes on kasutaja isiku
tuvastamine kasutaja ja autentimisteenuse osutaja poolt eelnevalt
kokkulepitud viisil.
(4) Osaline on kohustatud:
1) tagama liitumiskokkuleppes teenuse
osutamise kirjelduses esitatud tasemel oma X-teega liidestatud
infosüsteemi turvalise ja häireteta töötamise;
2)
järgima X-tee tegevust reguleerivaid õigusakte.
§ 5. X-teega liitumise tingimused
(1) X-teega liitumisel riigi- ja kohaliku omavalitsuse asutused:
1)
vastutavad teenuste kasutamise volituste olemasolu eest asutuse
registreerimisel andmekogude riiklikus registris mis tahes teenuse
kasutajaks;
2) vastutavad iga kasutatava teenuse puhul teenuse
kirjelduses fikseeritud tingimuste ja piirangute täitmise eest;
3)
esitavad X-tee haldajale tõendi asutuse infosüsteemi turvaklassi kohta
ja vastutavad liitumiskokkuleppes esitatud teenuse osutamise kirjelduse
täitmise eest asutuses;
4) haldavad ametnike pääsuõigusi;
5)
sõlmivad X-tee haldajaga kokkuleppe, milles fikseeritakse poolte
õigused, kohustused ja vastutus;
6) registreerivad kasutatavad
teenused andmekogude riiklikus registris.
(2) Eraõiguslike juriidiliste isikutega sõlmib andmekogu vastutav
töötleja lisaks lõikes 1 sätestatule täiendava andmekasutuslepingu.
(3) X-teega liitumiseks riigi andmekogu vastutav töötleja:
1)
loob vastavalt volitatud kasutajate põhjendatud ettepanekutele X-tee
teenuseid ja avab need viivitamata;
2) registreerib teenuse ja
teenuse osutamise kirjelduse andmekogude riiklikus registris;
3)
deklareerib liitumisel teenuse kvaliteedi ja tagab selle;
4) tagab
tingimusteta juurdepääsu kõigile andmekogude riiklikus registris selle
teenuse kasutajaks registreeritud infosüsteemidele ja asutustele;
5)
arvestab teenuse pakkumisel «Riigisaladuse seaduse» (RT I 1999, 16, 271;
82, 752; 2001, 7, 17; 93, 565; 100, 643; 2002, 53, 336; 57, 354; 63,
387; 2003, 13, 67; 23, 147) § 6 punktist 9 tulenevaid kitsendusi;
6)
sõlmib X-tee haldajaga liitumiskokkuleppe, milles fikseeritakse poolte
õigused, kohustused ja vastutus.
(4) X-tee haldajal on õigus teenuse kvaliteedi mittevastamisel
deklareeritud tasemele teenus lõpetada ja tühistada väljaantud
sertifikaat.
§ 6. Tehnilised ja andmeturbenõuded
(1) Teenuse avamisotsusele eelneb teenuse osutamiseks vajalike
turvanõuete ja X-tee turvapõhimõtete võrdlus. X-tee haldaja on
kohustatud teenuseosutaja õigustatud nõudmisel korrigeerima oma
turvapõhimõtteid.
(2) Turvaklassid ja vastavad turvameetmed määratakse infosüsteemidele
«Andmekogude seaduse» § 53 lõike 7 alusel kehtestatavas määruses, mis
reguleerib infosüsteemide turvameetmete süsteemi.
(3) X-tee kasutamine on võimalik vaid eelnevalt sertifitseeritud
serverite kaudu, andmevahetus krüpteeritakse ja signeeritakse ning
varustatakse krüptograafiliselt aheldatud logiga, et tagada selle
hilisem võltsimatus ja terviklus.
(4) Turvaintsidentide käsitlemise kord sätestatakse X-tee
liitumiskokkuleppes.
(5) Osaline vastutab oma infosüsteemi turvalisuse eest vastavalt neis
töödeldavate andmete turvaklassile.
(6) Nõuded osalise turvaserveritele, infosüsteemile ja MISP-serverile
fikseeritakse liitumiskokkuleppes.
(7) X-tee haldajal on õigus nõuda liituvalt asutuselt vajadusel
turvaauditit.
(8) X-tee haldajal on õigus turvaintsidentide puhul tühistada osaleja
turvaserveri sertifikaat.
§ 7. Juurdepääs andmetele
(1) Andmekogu vastutav töötleja teeb isikutele X-tee kaudu
kättesaadavaks andmed, millele ei ole kehtestatud juurdepääsupiiranguid.
(2) Osaliste ja osalejagruppide juurdepääsuõigus konkreetsetele
andmetele, teenusega seotud turvanõuded, teenust iseloomustavad
kvaliteedinõuded ning seotus riigisaladusega fikseeritakse iga
konkreetse teenuse jaoks selle teenuse osutamise kirjelduses.
(3) Vastutus X-teega liitunud asutuse turvaserveri kaudu X-tee keskkonda
pääsenud kasutajatele juurdepääsuõiguste andmise ja toimepandud
õiguserikkumiste osas lasub asutuse juhil.
§ 8. X-tee finantseerimine
(1) X-tee tegevuseks vajalikud kulutused kaetakse riigieelarvest
Majandus- ja Kommunikatsiooniministeeriumile eraldatud vahenditest.
Osalistelt ega autenditud kasutajatelt X-tee kasutamise eest tasu ei
võeta. Samuti ei võeta tasu eraõiguslikelt juriidilistelt isikutelt, kui
nad osutavad teenuseid avalikes huvides.
(2) Autentimis- ja liitumisteenuse eest tasub teenuseosutajale selle
tarbija.
(3) Andmekogust tehtavate päringute eest võib andmekogu vastutav
töötleja võtta tasu üksnes juhul, kui tasu võtmine tuleneb seadusest.
§ 9. Määruse rakendamine
(1) Avaliku võimu teostamise seisukohalt olulised põhi- ja riiklikke
andmekogusid haldavad asutused, kes seni ei ole X-teega liitunud,
liituvad X-teega hiljemalt 1. märtsil 2004. a, tagades X-tee vahendusel
juurdepääsu vähemalt järgmiste asutuste andmekogudele/infosüsteemidele:
1)
Maanteeamet («Riiklik maanteeregister»);
2) Majandus- ja
Kommunikatsiooniministeerium («Riiklik ehitisregister»);
3)
Maksuamet («Maksukohustuslaste register»);
4)
Piirivalveamet (piiriületuste andmekogu);
5) Siseministeerium
(«Karistusregister», «Riigi kohanimeregister», «Viisaregister»);
6)
Tolliamet (tolli põhitegevuse infosüsteem ASYCUDA);
7)
Tööturuamet («Tööotsijate ja tööturuteenuste riiklik register»);
8)
Justiitsministeerium (kinnistusraamatu päringusüsteem).
(2) Kui lõikes 1 nimetatud andmekogu või infosüsteemi liitumine pole
määratud ajaks võimalik, siis esitab andmekogu vastutav töötleja või
infosüsteemi haldav asutus erikäsitluse vajaduse põhjenduse ja/või
liitumiskava.
(3) Kõik valitsusasutused (v.a lõikes 1 nimetatud asutused), samuti
kohaliku omavalitsuse asutused teatavad Majandus- ja
Kommunikatsiooniministeeriumile hiljemalt 1. märtsiks 2004. a X-teega
liitumise tähtaja. Valitsusasutused liituvad X-teega hiljemalt 1.
jaanuaril 2005. a.
(4) Majandus- ja Kommunikatsiooniministeerium koostöös
Siseministeeriumiga täpsustab 1. juuliks 2004. a riigisaladusega seotud
andmete käsitlemise iseärasused ja teeb vajadusel täiendused
liitumiskokkulepetes. Kui riigisaladust sisaldavaid päringuid teostava
asutuse liitumine hiljemalt 1. jaanuaril 2005. a ei ole võimalik, siis
esitab riigisaladust sisaldavaid päringuid teostav asutus erikäsitluse
vajaduse põhjenduse ja/või liitumiskava.
(5) Majandus- ja Kommunikatsiooniministeerium esitab andmekogude
riikliku registri vastutava töötlejana kahe kuu jooksul, arvates
käesoleva määruse jõustumisest, Vabariigi Valitsusele kinnitamiseks
määruse eelnõu andmekogude riikliku registri põhimääruse kooskõlla
viimiseks käesoleva määrusega.
§ 10. Määruse jõustumine
Määrus jõustub 1. jaanuaril 2004. a.
|
|
Majandus-
ja kommunikatsiooniminister Meelis
ATONEN
|
Kustutatud
Lisatud
Facebook
Twitter