📄 Seaduse tekst
Väljaandja: Saarde Vallavalitsus
Akti liik: määrus
Teksti liik: algtekst-terviktekst
Redaktsiooni jõustumise kp: 15.06.2020
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge: RT IV, 02.06.2020, 40
Saarde Vallavalitsuse infoturbepoliitika
Vastu võetud 28.01.2020 nr 4
jõustumine 15.06.2020
Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse § 30 lg 1 punkti 3, avaliku teabe seaduse § 43 lõike 1 ja lõike 2, küberturvalisuse seaduse § 9 lõike 1 ja Vabariigi Valitsuse 20. detsembri 2007 määruse nr 252 „Infosüsteemide turvameetmete süsteemˮ alusel.
§ 1. Reguleerimisala
(1) Infoturbepoliitika määratleb Saarde Vallavalitsuse (edaspidi vallavalitsus) ja tema hallatavate asutuste suunised infovarade turvalisuse tagamisel, et piisavate turvameetmete rakendamisega vältida infovarade ja asutuse maine kahjustumist.
(2) Infoturbe põhimõtteid peavad järgima vallavalitsuse teenistujad ning töötajad, hallavatavate asutuste töötajad, Saarde Vallavolikogu ja Vallavalitsuse liikmed ja vallavalitsuse lepingulised partnerid. Vallavalitsuse infoturbepoliitika järgimine on kohustuslik kõikidele vallavalitsuse struktuuriüksustele kõigis nende füüsilistes asukohtades või kaugtöö vormis töötamise korral.
(3) Infoturbemeetmete valimisel, rakendamisel, haldamisel ja kontrollimisel juhindutakse üldise infoturbe metoodika ja ISO/IEC 27000 infoturbe seerias ära toodud standarditest ning info- ja kommunikatsioonitehnoloogia heast tavast. Turvadokumentide koostamisel kasutatakse ISKE mudeleid ja mõisteid.
(4) Vajadusel võib infoturbe põhimõtete rakendamiseks vajalikke nõudeid ja meetmeid kehtestada vallavalitsuse töökorralduse reeglite, asutuse juhi käskkirja või korraldusega. Nõuded ja meetmed peavad tuginema praegustele infoturbe põhimõtetele ja olema kooskõlas vallavalitsuse õigusaktidega.
§ 2. Infoturbepoliitika eesmärk
(1) Infoturbepoliitika põhimõtete eesmärk on sõnastada ja kehtestada üldised turbe eesmärgid, nende saavutamise viisid, üldise turbekorralduse ja -strateegia, peamiste turvamehhanismide rakendamise poliitika. Nende põhimõtete alusel koostatakse eeskirjad, juhendmaterjalid, korrad ja muud dokumendid, mis reguleerivad asutuse infoturvet.
(2) Infoturbe eesmärgiks on teabe säilimine ja terviklikkus, selle kaitsmine ohtude eest, et tagada talituse jätkuvus, aga samuti konfidentsiaalsus nõutaval tasemel. Valitud turvameetmed peavad tagama õigusaktidest tulenevate turvanõuete täitmise, olema majanduslikult põhjendatud ja mõju asutuse tegevuse efektiivsusele peab olema võimalikult väike.
§ 3. Mõisted
() Infoturbe põhimõtete kirjeldamisel kasutatakse standardseid infoturbetermineid, ISO/IEC 27000 seeria standardites sätestatud termineid ja lisaks mõisteid järgmises tähenduses:
1) Infosüsteem (IS) – vallavalitsuse ja asutuste käsutuses olevate infosüsteemi komponentide kogum, mis peab tagama organisatsiooni tegutsemiseks ja arenguks vajaliku infotehnoloogilise keskkonna;
2) Infosüsteemi komponendid (vahendid) – riistvara (serverid, arvutid, perifeeriaseadmed, andmekandjad jms), tarkvara (operatsioonisüsteemid, rakendused, andmebaasid jm programmid) ja arvutivõrk (võrgukaablid ja võrguseadmed), samuti eelnimetatu osa või osade komplektid;
3) Infovara – informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;
4) Infoturve – turvameetmete loomise, valimise ja rakendamise protsesside kogum;
5) Andmete töötlemine – informatsiooni kirjapanek taasesitamist võimaldaval kujul, andmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, nende kohta päringute teostamine, nendest väljavõtete tegemine, andmete kasutamine, üleandmine, ühendamine, sulgemine, kustutamine või hävitamine või mitu eeltoodud toimingut, sõltumata toimingute teostamise viisist või kasutatavatest vahenditest;
6) Infosüsteemide kolmeastmeline etalonturve (ISKE) − infoturbe metoodika, mida rakendatakse andmekogudele ja mis sisaldab juhised, kuidas korraldada infoturbe haldust, määrata infovarade turbevajadust ning turvameetmete kataloogi;
7) Kasutajatunnus (kasutajanimi) – kasutusõiguse saanud isiku identifikaator, mille abil süsteem on võimeline kasutaja üheselt tuvastama;
8) Kasutusõigus (pääsuõigus) – isikule antav mistahes infosüsteemis konkreetsele kasutajakontole antud kasutusõigus ja õiguste tase;
9) Kaugtöö – mobiilne töö; töö korraldamine ja/või teostamine selliselt, kus infotehnoloogiliste vahendite abil täidetakse tööülesandeid regulaarselt või ajutiselt väljaspool vallavalitsuse poolt määratud töötegemise kohta;
10) Logi – arvuti või infosüsteemi tegevuste ja sündmuste päevik, mida kasutatakse nii statistilistel eesmärkidel kui ka varundamise ja taaste jaoks;
11) Turbeklass – andmete tähtsusest tulenev andmete nõutav turvalisuse tase;
12) Turvaintsident – teenuse katkemine või mõne seadme rike, süsteemi tõrge või ülekoormus, inimlikud vead, mittevastavus infoturbepoliitika või juhenditega, füüsiliste turvameetmete rikkumine, mitte kontrollitud muudatused süsteemides, tarkvara või riistvara tõrge, ligipääsu rikkumised;
13) VPN (Virtual Private Network) – virtuaalne privaatvõrk, ehk internetti rajatud krüpteeritud kanal, mis ühendab omavahel mitu kontorit või ka näiteks koduarvuti vallavalitsuse arvutivõrguga. VPN võimaldab turvalist informatsiooni edastamist läbi avaliku internetti;
14) Wi-Fi – juhtmevaba, IEEE 802.11 standardil põhinev, kohtvõrgu (WLAN) ühendus ning ühtlasi selleks kasutatavad seadmed ja tarkvara.
§ 4. Infoturbe organisatsioon ja vastutus
(1) Infoturbepoliitika rakendamise teostajad määrab vallavanem.
(2) Infoturbe meetmete rakendamist, riskianalüüside läbiviimist, infoturbealast järelevalvet ja infoturbeintsidentide lahendamist ning nõuetekohast raporteerimist Riigi Infosüsteemi Ametile koordineerib ja teostab infoturbe eest vastutav isik koostöös vallavalitsuse või hallatava asutuse infotehnoloogia ja infoturbesüsteemide teenust pakkuva ettevõttega. Iga struktuuriüksuse infoturbe eest vastutab selle üksuse juht, kui ei ole määratud teisiti.
(3) Infoturbe eest vastutav isik esitab asutuste töös tuvastatud puuduste likvideerimise ettepanekud ja suunised vastava struktuuriüksuse või hallatava asutuse vastutavale juhile ja vallavanemale.
(4) Infoturvalise keskkonna loomisel osalevad kõik töötajad või ametnikud, kes vastavalt oma rollile ja tööülesannetele osalevad infoturbe protsessis. Konkreetsete ISKE turvameetmete rakendamise eest vastutajad määratakse vallavanema käskkirjaga või vastava korraga ja/või kajastuvad vastavalt vajadusele teenistujate ametijuhendites.
(5) Kõik teenistujad on kohustatud kasutama infovarasid ainult tööülesannete ja eesmärkide täitmiseks, kui muude regulatsioonidega ei ole sätestatud teisiti, kasutama informatsiooni ainult tööalaseks otstarbeks ning täitma infoturbe korras ja selle lisades sätestatud nõudeid. Töötajatel on õigus teha ettepanekuid infoturbega seotud küsimustes infoturbe eest vastutavale töötajale, struktuuriüksuse juhile ja vallavanemale.
(6) Vastutavate töötajate eemaloleku ajaks määratud asendajatele tagab töö teostamiseks vajalikud ligipääsud asendatava vahetu juht lähtudes kehtivast pääsuõiguste korrast.
(7) Asutuseväline infoturbeaudit tellitakse vastavalt seadusest tulenevatele nõuetele, aga mitte harvem kui kord kolme aasta jooksul.
(8) Seadusandluse või infoturbeolukorra muutumisel tuleb algatada infoturbe alusdokumentide ja ISKE rakenduskava muutmise protsess.
(9) Infovarade spetsifikatsioon koos määratud turvaklassidega koostatakse Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide turvameetmete süsteem“ alusel ja kinnitatakse vallavanema käskkirjaga.
(10) Infovarade spetsifikatsiooni alusel hinnatakse ISKE turvameetmete rakendatust ja koostatakse asjakohane rakendusplaan, mis kinnitatakse vallavanema käskkirjaga. Vallavalitsuse infovarade ja ISKE turvameetmete rakendatus ning riskanalüüs vaadatakse läbi vähemalt üks kord aastas koos valla eelarve koostamisega, samuti suuremate muutuste ja juhtumite korral. Infovarade kaitse tuleb tagada vähemalt ISKE meetme tasemel L.
§ 5. Turvariskide vältimise meetmed
() Riskide minimeerimiseks vastuvõetavale tasemele võetakse asutuses kasutusele järgmised meetmed:
1) füüsilised meetmed ruumidele (näiteks uste, akende, seinte ja lukkudega seotud abinõud);
2) organisatsioonilised meetmed teenistujatele (näiteks protseduurireeglid, korrad ja eeskirjad turvanõuete täitmiseks);
3) infotehnoloogilised meetmed infosüsteemidele ja andmekogudele (näiteks ligipääsuõiguste andmise ja kasutamisega, infoturbetarkvaraga, krüpteerimisega, varukoopiate tegemise ja ID-kaardi kasutamisega seotud abinõud).
§ 6. Füüsiline turve
(1) Tööruumide uksed peavad olema lukustatavad või rakendatud muud meetmed, mis takistavad kõrvaliste isikute juurdepääsu tööruumidele.
(2) Ruumide varuvõtmeid tuleb hoida lukustatud kapis või viisil, mis välistab kõrvaliste isikute juurdepääsu võtmetele.
(3) Töövälisel ajal valvatakse hooneid ja ruume nii füüsiliselt kui ka elektrooniliselt. Vajadusel rakendatakse turvameetmeid ka territooriumi kaitseks. Eraldi lukustatavas tööruumis tuleb igal väljumisel aknad sulgeda ning uks lukustada. Kõik aknad peavad olema turvaliselt suletavad.
(4) Ruumid on väljaspool tööaega tehnilise valve all ning ööpäevaringselt kaitstud automaatse tulekahjusignalisatsioonisüsteemiga. Valvesignalisatsiooni lülitab välja esimesena kontorisse saabuv töötaja.
(5) Tulekahju korral edastab tulekahjusignalisatsioonisüsteem tulekahjuteate automaatselt turvafirmasse ja/või Häirekeskusesse. Tulekahju- ja valvesignalisatsioonisüsteeme hooldatakse õigusaktides sätestatud korras.
(6) Valvesignalisatsiooni süsteemi kontrollitakse regulaarselt vastavalt seadmete hooldusjuhenditele, alarmi korral ning vajadusel pisteliselt.
(7) Eriruumid (arhiivi-, serveri- ja tehnilised ruumid jne) ei tohi märgistada üldarusaadavalt ega kanda avalikele viitadele või avalikku majajuhti. Eriruumid peavad olema pidevalt lukustatud.
(8) Turvariskide minimiseerimiseks (nt sülearvuti sattumisel kõrvaliste isikute valdusse), peab sülearvuti kõvaketas olema kaitstud salasõnaga. Mobiilsete seadmete (mobiiltelefonid, tahvel- ja sülearvutid jt) turbe eest vastutavad nende valdajad.
§ 7. Teenistujad
(1) Enne teenistuja tööle asumist tutvustatakse talle asutuse infoturbe põhimõtteid ja -reegleid. Reeglitega tutvumise ja nendest arusaamise kohta annab teenistuja allkirja.
(2) Teenistuja infoturbega seotud õigused, kohustused ja vastutus määratakse ametijuhendis, infoturbe juhendites ja/või muudes asjakohastes eeskirjades.
(3) Teenistujaid teavitatakse nende töövaldkonda puudutavatest infoturbe meetodite muutustest ja turvaintsidentidest viivitamatult.
(4) Infoturbe tagamiseks organisatsioonis korraldatakse teenistujatele regulaarselt turvateadlikkuse koolitusi. Infoturbe spetsialistidele võimaldatakse erialaseid täienduskoolitusi.
(5) Kui teenistuja lahkub ametist, siis tagastab ta viimasel tööpäeval tööandjale kõik varad ja pääsuvahendid, mis olid tema valduses. Teenistuja ligipääsuõigused infosüsteemidele tühistatakse.
(6) Vähemalt üks kord aastas viiakse läbi kasutajaõiguste inventuur ja vajadusel parandatakse ebakõlad.
§ 8. Infovarade ligipääsu reguleerimine
(1) Ligipääs infovaradele tagatakse vaid volitatud kasutajatele autoriseerimismeetoditega. Kõik õnnestunud ja ebaõnnestunud autoriseerimiskatsed registreeritakse.
(2) Pääsuõiguste jagamisel lähtutakse ametialase teadmisvajaduse põhimõttest. Pääsuõigused kinnitab pädev teenistuja. Kinnitatud ning seadistatud pääsuõigused dokumenteeritakse.
(3) Pääsuõigusi jagavad isikud või osakonnad võtavad kasutusele protseduurid, reeglid või muud mehhanismid, mis tagavad pääsuõiguste tühistamise, kui teenistuja kaotab usalduse või tema töösuhe lõpeb.
(4) Infovarade kasutajad tuvastatakse, kasutades asjakohaseid autentimismehhanisme. Uute infosüsteemide projekteerimisel eelistatakse Eesti ID-kaardi põhist autentimist. Reeglid, mille järgi valitakse salasõna, selle kehtivus ja muud parameetrid, kehtestatakse kas infosüsteemi kasutamise korra või mõne teise kohase juhendmaterjaliga.
(5) Andmete töötlemiseks asutustes kasutatakse vaid vallavalitsuse kinnitatud riistvara- ja tarkvarastandardile vastavaid infotehnoloogilisi vahendeid. Asutuse sisevõrku ei tohi üldjuhul ühendada asutusele mittekuuluvaid seadmeid, vajadusel toimub õigusaktides sätestatud korras.
§ 9. Infotehnoloogiliste meetmete üldised turbenõuded
(1) Vallavalitsuse infoturbe infrastruktuur peab tagama optimaalsed kulutused turvanõuete täitmiseks ja varade kaitseks.
(2) Iga uue infotehnoloogia komponendi soetamise aluseks on selle kasutuskontseptsioon, mille väljatöötamisel arvestatakse ka komponendi integreerimisvõimalusi olemasolevasse infotehnoloogia kooslusesse ning mõju olemasolevatele turvamehhanismidele.
(3) Uusi riistvarakomponente või uut tarkvara ei tohi enne neid testimata kasutusele võtta. Kõikide infotehnoloogia komponentide installeerimise käigus tuleb järgida infoturbe põhimõtteid ning installeerimisprotseduuri reegleid. Kasutatavas arvutustehnikas ei tohi olla liigseid programme ega andmeid.
(4) Seadmete remonti saatmisel ja utiliseerimisel tuleb eelnevalt eemaldada füüsilised andmekandjad, kui need võivad sisaldada asutusesiseseks kasutamiseks mõeldud andmeid või tuleb andmed andmekandjatelt eelnevalt turvaliselt kustutada.
(5) Juurdepääs kõikidele infotehnoloogia süsteemidele peab olema kaitstud (nt salasõnaga).
(6) Infotehnoloogia komponentide funktsioonid, mille kasutamine pole vajalik või on keelatud, võimalusel suletakse.
(7) Kõik vallavalitsuse serverisüsteemid asuvad teenuse pakkuja serverites. Ametiasutuses on kasutusel töötajatele mõeldud sisevõrk ning külalistele internetti ligipääsu võimaldav välisvõrk. Serverite turvalise haldamise tingimused on kirjas teenuse pakkujaga sõlmitud lepingus.
(8) Kõik tarbetud paberdokumendid hävitatakse. Käibelt kõrvaldatud andmekandjad hävitatakse füüsiliselt. Hävitatavad andmed kustutatakse turvaliselt sellisel viisil, mis välistab nende taastamise.
(9) Logid peavad võimaldama tuvastada vähemalt lubatavaid ja lubamatuid ressursside poole pöördumisi või pöörduskatseid, nende täpset aega ja lähtekohta. Rakenduste, süsteemi- ja võrgulogisid peavad rakenduste, süsteemide ja võrkude haldajad ja vajaduse korral need esitatakse vallavalitsusele.
(10) Turvaintsidentide käsitlemisel, samuti oluliste tehniliste, organisatsiooniliste, õiguslike vm sisemiste või väliste muudatuste korral selgitatakse välja võimalike turbemuudatuste vajadus. Infoturbe meetmed vaadatakse üle vähemalt üks kord aastas.
(11) Välisvõrgust sisevõrku pöördumisel ja tundlike andmete edastamisel üldkasutatavas võrgus on lubatud vaid turvatud ja krüpteeritud sidesessioonid (VPN, HTTPS jt). Tundlikud andmed tuleb eelnevalt krüpteerida kasutades selleks ID-kaarti või muud aktsepteeritud krüptolahendust.
(12) Võrgu füüsiline struktuur peab vastama loogilisele kolmetsoonilisele struktuurile: välisosa, tulemüüriga eraldatud sisemine osa ja demilitariseeritud tsoon väliste serverite jaoks.
(13) Tulemüüri haldamisel lähtutakse põhimõttest, et mis ei ole lubatud, on keelatud. Tulemüüri haldamisega tegeleb vastava teenuse pakkuja tingimustel, mis on kokku lepitud.
(14) Kogu kaabeldus (elektri-, andmeside-, telefoni-, signalisatsioonsüsteemi- ja muu kaabeldus) peab olema tähistatud ja dokumenteeritud ning võimalusel paiknema varjatult.
(15) Kõikidele infosüsteemidele ja edastatavatele andmetele rakendatakse viirusetõrjet, mille andmebaase uuendatakse perioodiliselt.
(16) Informatsiooni edastamiseks kasutataval andmekandjal (nt CD/DVD, mälupulk, mälukaart jms) ei tohi olla asjasse mittepuutuvat infot ega peitandmeid.
(17) Kasutatav tarkvara peab vastama kõigile autorikaitse- ja litsentsitingimustele.
(18) Varundatud andmete hoidmisel rakendatakse ISKE turvameetmeid, lähtudes varundatud andmete maksimaalsest turvaklassist.
§ 10. Turvastandardid ja ISKE
(1) Andmekogudega seotud asjakohaste turvameetmete määramisel lähtutakse ISKE rakendusjuhendis toodud metoodikast ning ohtude ja turvameetmete kataloogist. Andmekogudega seotud turvameetmete rakendamisel järgitakse auditeeritavuse printsiipi. Rakendatavad turvameetmed peavad olema põhjendatud ja dokumenteeritud selliselt, et (hiljem) oleks võimalik hinnata nende vajalikkust ning asjakohasust.
(2) Vajadusel rakendatakse lisaks etalonturvameetmetele ka muid turvameetmeid, mis tagavad infovarade käideldavuse, tervikluse ja konfidentsiaalsuse nõutaval tasemel.
(3) ISKE rakendusjuhendi ja teiste juhendmaterjalide tõlgendamisel lähtutakse mõistlikkuse printsiibist ja arvestatakse infoturbe üldist eesmärki.
§ 11. Turvaintsidentide haldus
(1) Teenistujad ja infovaradega seotud teenuste pakkujad on kohustatud turvaintsidentidest teavitama organisatsiooni IT-teenust pakkuvat isikut, infoturbe eest vastutavat isikut ja andmekaitsespetsialisti.
(2) Turvaintsidendiks loetakse:
1) andmeid ja/või isikuandmeid sisaldava riistvara, näiteks mälupulga, välise kõvaketta või sülearvuti vargust või kaotust või volitamata ligipääsu seadmele;
2) infovarade ja/või isikuandmete vargust või kaotust, näiteks pahavara või lunavara rünnaku läbi, häkkimise ohvriks langemist või muud küberpettuse ohvriks langemist;
3) andmetele ja riistvarale ligipääsude ebapiisavat haldamist, mis võimaldab ligipääsu inimestele, kellel selleks pole õigust, aga ka volituseta andmete töötlemist ja näiteks andmete kopeerimist või vargust või salasõnade avaldamist kolmandatele osapooltele;
4) inimlikku eksitust, näiteks isikuandmeid sisaldava e-posti saatmine valele vastuvõtjale või valele aadressile, tundlikku infot sisaldavate dokumentide laokile jätmine avalikku ruumi;
5) infovarade kaotsiminekut ettenägematutel asjaoludel, näiteks tulekahju, tulvavee jms tõttu.
(3) IT-teenuseid pakkuv isik, saades intsidendi teate, määrab selle lahendamise prioriteedi ja edastab lahendamiseks infotube eest vastutavale isikule, kes määrab lahendaja ning jälgib turvaintsidendi lahendamise kulgu, teeb vajadusel ettepanekuid turvaintsidendi paremaks lahendamiseks. Turvaintsidendi põhjuseid analüüsitakse ja vajadusel tehakse ettepanekud muudatusteks turbemeetmetes. Infoturbe eest vastutav isik informeerib vajadusel intsidendist CERT-EE-d.
(4) Kui on tegemist isikuandmetega seotud rikkumisega isikuandmete kaitse üldmääruse artikli 4(12) mõistes, siis andmekaitsespetsialist registreerib rikkumise ja tuvastab, kas isikuandmetega seotud rikkumisega on tekkinud andmesubjektile oht või suur oht ning teatab vastavalt isikuandmete kaitse üldmääruse artiklitele 33 ja 34 Andmekaitse Inspektsiooni ja/või andmesubjekti.
(5) Turvaintsidentide käsitlemise korra tõhusust testitakse pärast igat turvaintsidenti, mille lahendamisel selgus, et turvaintsidentide korras oli puudujäämisi.
§ 12. Infoturbepoliitika muutmine
(1) Infoturbepoliitika regulaarne läbivaatamine tagab selle vastavuse vallavalitsuse infoturbevajadusele.
(2) Infoturbepoliitika läbivaatus toimub kord aastas või peale suuremaid muutusi organisatsioonis, süsteemides või regulatsioonides, või pärast tõsist intsidenti.
(3) Läbivaatust ja värskendamist korraldab infoturbe eest vastutav töötaja koos vallavalitsuse ja struktuuriüksuste juhtidega.
(4) Muudatustest teavitatakse kõiki teenistujaid ja töötajaid ning vajadusel vallavalitsuse lepingulisi partnereid.
§ 13. Määruse jõustumine
() Määrus jõustub 15. juunil 2020. a.
Eiko Tammist
vallavanem
Külliki Kiiver
vallasekretär
Tehisintellekti selgitus ametliku seadusteksti põhjal. Orienteeruv, ei asenda õigusnõustamist.