Infoturbe põhimõtted
INFOTURBE EESMÄRK
Infoturbe põhimõtted määratlevad Hiiumaa Vallavalitsuse (edaspidi vallavalitsus) suunised oma infovarade turvalisuse tagamisel. Vallavalitsus püüab piisavate turvameetmete rakendamisega kõige tõenäolisemate ohtude tingimustes vältida oma infovarade ja maine kahjustamist ning tagada katkestusteta tegevuse oma ülesannete saavutamiseks. Valitud turvameetmed (organisatsioonilised, füüsilised ja infotehnilised) peavad aitama täita õigusaktidest tulenevaid turvanõudeid ning olema majanduslikult õigustatud ning nende häiriv toime Hiiumaa valla ametiasutuste ja nende teenistujate tegevusele peab olema võimalikult väike.
RAKENDUSALA
Infoturbe põhimõtted kehtivad Hiiumaa Vallavalitsuses ja osavallavalitsustes (edaspidi ametiasutus), nende füüsilistes asukohtades ning muus kohas kaugtöö korral.
Infoturbe põhimõtteid on kohustatud järgima Hiiumaa Vallavalitsuse ja Hiiumaa Vallavolikogu liikmed, vallavalitsuse ja osavallavalitsuste teenistujad, praktikandid ning Hiiumaa Vallavalitsuse ja osavallavalitsuste lepingulised partnerid, kes on volitatud töötleja rollis.
INFOTURBE TAGAMISE PÕHIMÕTTED
Infoturbe põhimõtted sõnastavad turbe eesmärgid, nende saavutamise suunised, üldise turbekorralduse ja -strateegia ning peamiste turvamehhanismide rakendamise poliitikad. Vallavalitsus lähtub oma infoturbe korraldamisel IT halduse headest tavadest,
kolmeastmelisest etalonturbe standardi ISKE juhistest, mis on leitavad aadressilt https://www.ria.ee/et/kuberturvalisus/iske/juhendid-ja-materjalid.html.
Turvadokumentide koostamisel kasutatakse ISKE mudeleid ja mõisteid.
Infoturbe põhieesmärgid on kaitsta andmeid ohtude eest, tagada andmete väärtuste ja omaduste säilimine, tagada talituse jätkuvus, minimeerida talitusriski, tagada õigusaktidele vastavus ja säilitada asutuse kuvand.
Infoturbe valdkonda reguleeriv sisemine regulatsioon on kirjeldatud ametiasutuse infosüsteemi kasutamise eeskirjas.
INFOTURBE KORRALDAMINE
Infoturbealast tööd korraldab ja koordineerib infoturbe eest vastutav isik. Iga ametiasutuse ja osakonna infoturbe eest vastutab juht.
Infovara kasutaja vastutab infoturbe meetmete rakendamise eest, täidab infoturbe nõudeid ja rakendab asjakohaseid turvameetmeid.
Infoturbe rakendamise eest vastutab ametiasutuse juht kehtestades infoturvet reguleerivad juhised.
INFOTURVE JA RISKIANALÜÜS NING RISKIHALDUS
Kolmeastmelisest etalonturbe standardi ISKE metoodikast lähtuvalt on esmaseks tulemiks infovarade spetsifikatsioon koos määratud turvaklassidega. Selle alusel hinnatakse ametiasutuse infovaradele asjakohaste ISKE turvameetmete rakendatust ja koostatakse edasine rakendamata meetmete rakendusplaan. Rakendusplaan vaadatakse läbi iga aasta valla eelarve koostamisel.
Ametiasutuse infovarade ja neile rakenduvate ISKE turvameetmete rakendatus vaadatakse läbi vähemalt kord aastas või suuremate muutuste ja turvaintsidentide korral. Läbivaatust koordineerib infoturbe eest vastutav isik. Läbivaatusel analüüsib infoturbe eest vastutav isik koostöös IT- spetsialisti ja vastava vastutusvaldkonna spetsialistiga ISKE rakendatuse tulemusi lähtudes ISKE ohtude kataloogist (riskianalüüs). Sellest tulenevalt teeb ettepanekud juhtkonnale infoturbealaste otsuste tarbeks (ISKE rakendamise plaani täiendamiseks).
INFOVARAD
Varade üle peab arvestust IT-spetsialist.
Infovarade kaitse tuleb tagada vähemalt ISKE meetme tasemel L.
Vallavalitsuse infovarad ja nende turbeklassid on kirjeldatud tabelis ametiasutuse infovarad ja andmekogud.
TURVARISK
Turvariski hindamisel rakendatakse ISKE metoodikat. Ohuallikaks infosüsteemile võib olla:
- puudus infrastruktuuris – ebapiisav kaitse füüsilise ohu eest (nt elektrikatkestus, kuum, külm, vesi,) või turbe füüsilise meetme osaline rakendamine;
- puudus infotehnoloogias – süsteemi või seadme tõrge (nt serveririke või võrguühenduse katkestus); seadme paigutus; süsteemi jõudlus; ülepingutatud turvameede;
- puudus töös −viga, mida töötaja teeb turvanõuete järgimisel (nt annab edasi ligipääsuõiguse või taotleb tarbetu ligipääsuõiguse, ei järgi töö- ja eraasjade lahususe põhimõtet);
- puudus töökorralduses – juhtum, kus järgitakse turvanõuete täitmise reegleid puudulikult või ei täideta neid; kasutusjuhend või süsteemikirjeldus on ebaselged või puudub; süsteemile juurdepääsu reguleerimise vahend ehk parool on nõrk või ebapiisav; arvutisse on paigaldatud volitamata tarkvara;
- turvaründed;
- vääramatu jõud.
TURVARISKIDE VÄHENDAMINE
Riskide vähendamiseks võetakse kasutusele:
- füüsilised meetmed ruumidele (näiteks uste, akende ja lukkudega seotud abinõud);
- organisatsioonilised meetmed töötajatele (näiteks protseduurireeglid, korrad ja eeskirjad turvanõuete täitmiseks);
- infotehnoloogilised meetmed infosüsteemidele ja andmekogudele (näiteks ligipääsuõiguste andmise ja kasutamisega, viirusetõrjega, krüpteerimisega, varukoopiate tegemise ja ID-kaardi kasutamisega seotud abinõud).
PERSONALITURVE
Personali turbe eesmärk on tagada lojaalsed ja turvateadlikud teenistujad. Inimeste turvateadlikkuse tõstmiseks rakendatakse erinevaid koolitusprogramme.
Uue teenistuja turvateadlikkuse saavutamiseks ning oma igapäeva töös lähtub teenistuja töökorraldusereeglitest, ametijuhendist, asjaajamiskorrast ja infosüsteemi kasutamise korrast.
Teenistuja lahkumisega seotud protseduurid on kirjeldatud infosüsteemi kasutamise korras, mis kajastab ka juurdepääsu andmise ja äravõtmise põhimõtteid.
IT TURVE
Riist- ja tarkvara peab tagama ametiasutuse tööprotsessis vajaliku info käideldavuse, tervikluse ja konfidentsiaalsuse. Nõuded on fikseeritud infovarade spetsifitseerimise tabelites turvaklassi või turbeastmena.
Riistvara ja tarkvara haldab või seda korraldab IT-spetsialist, kelle ülesanne on tagada süsteemide kvaliteetne toimimine, kasutajatoe pakkumine ja jätkusuutlikkus.
Teenustaseme lepingute sõlmimisel fikseeritakse lepingusse teenuse kvaliteedi tagamiseks ISKE põhine turvaklass või täpsed teenustaseme käideldavus, terviklus ja konfidentsiaalsus nõuded, mille turvavajaduse rahuldamist teenuse pakkujalt nõutakse.
Arvutivõrgu kasutamist reguleerib infosüsteemi kasutamise kord.
ÜLDTURVE
Üldturbe eesmärk on luua tehnilised võimalused ja keskkond infoturbe korraldamiseks, et tagada ametiasutuste funktsioonide täidetus. Üldturvet korraldab haldusjuht või tema ülesandeid täitev isik. Üldturvet reguleerivad töökorralduse reeglid ja tuleohutus eeskiri.
Ligipääs ruumidele tuleb tagada korraldatud tööalase vajaduse ja vastuse alusel. Võtmete jagamise üle tuleb pidada kirjalikku arvestust.
Olulistes ruumides peab olema paigaldatud valvesignalisatsioon.
Eraldi lukustatavas tööruumis tuleb viimasel väljujal aknad sulgeda ja uks lukustada.
Väline hoolde- ja remondipersonal lubada ruumidesse ainult koos saatjaga.
ANDMED
Andmekaitse eesmärk on tagada andmete töötlemise turvalisuse vastavus kehtivatele õigusaktidele. Kõigile andmetele on määratud omanik. Andmete omanik on isik, kes vastutab andmete loomise, klassifitseerimise, kasutamise, ligipääsude reguleerimise ja administreerimise eest terve elutsükli jooksul. IT-spetsialist korraldab andmete haldamise ja administreerimise andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele infotehniliste vahenditega. Andmete töötlemisel järgitakse andmekaitse reegleid.
Vajadusel kaasatakse andmetöötluse turvalisuse tagamiseks ja turbemeetmete ülevaatuseks andmekaitse- ja küberturvalisuse asutusi.
Andmetöötluse mõjuhinnangu läbiviimist koordineerib ametiasutuse andmekaitsespetsialist.
Andmete töötlemise põhimõtted on sätestatud andmekaitse tingimustes, mis on avaldatud valla kodulehel.
TURVAINTSIDENT
Turvaintsidentide käsitlemise poliitika eesmärk on tagada turvaintsidentidest tuleneva kahju minimeerimine. Turvaintsident on mistahes kõrvalekalle süsteemide normaalse talitluse reeglitest. Turvaintsidendist tuleb koheselt teatada infoturbe eest vastutavale isikule. Infoturbe eest vastutav isik peab tagama turvaintsidendile reageerimise, registreerimise ja hilisema analüüsimise.
MUUTMINE
Infoturbe põhimõtete muutmine tagab selle vastavuse organisatsiooni infoturbevajadusele. Infoturbe põhimõtted vaadatakse üle kord kahe aasta jooksul ja seda muudetakse auditi tulemuste tõttu, pärast tõsist turvaintsidenti, muutmise vajadus tuleneb ISKE uue versiooni ilmumisest, muudatuste vajaduse tingivad olulised tehnilised, organisatsioonilised või õiguslikud muutused või muud sisemised või välised asjaolud. Läbivaatust ja muutmist korraldab infoturbe eest vastutav isik koos juhtkonnaga. Muudatustest teavitatakse teenistujaid.
JÄRELVALVE
Infoturbe põhimõtete elluviimise aluseks on kõik ülalviidatud eeskirjad ja juhendid. Eeskirjad ja juhendid peavad realiseerima infoturbe põhimõtete järgimist. Järelevalvet infoturbe põhimõtete järgimise üle korraldab infoturbe eest vastutav isik. Vastavust infoturbe põhimõtetele kontrollitakse välisauditiga.