Sisukaart EST ENG
RIA   Valdkonnad   Programmid   Riigihanked   Struktuuritoetused   Kasutajatugi  
Valdkonnad
Andmevahetuskiht X-tee
Dokumendivahetuskeskus
Riigi infosüsteemi haldussüsteem
Riigiportaal eesti.ee
ISKE
• Kontakt
• Dokumendid
• KKK
• Koolitused
• Töövahend
• Audit
• Infoturbe juhend
• Näidismaterjalid
• Lingid
CERT Eesti
Kriitilise informatsiooni infrastruktuuri kaitse
ASOnet
Avaliku võtme infrastruktuur
Kindlustavad süsteemid

   > Valdkonnad > ISKE > KKK

Korduma Kippuvad Küsimused


 
 
 
Mis on ISKE?
ISKE on infosüsteemide kolmeastmeline etalonturve.
 
Mis on etalonturve?
Etalonturve on turvameetmestik, mille rakendamine on vajalik andmete turvalisuse saavutamiseks ja säilitamiseks.
 
Millal ilmus ISKE esimene versioon?
ISKE ametlik esimene versioon ilmus 2003. aasta oktoobris.
 
Millal ilmus ISKE viimane versioon?
ISKE versioon 6.00 ilmus detsembris 2011. aastal.
 
Mis on aluseks ISKE väljatöötamisel?
ISKE väljatöötamisel on aluseks Saksamaa Infoturbeameti (saksa k. Bundesamt für Sicherheit in der Informationstechnik, BSI) IT etalonturbe käsiraamat (saksa k. IT Grundschutz Handbuch).
 
Mis reguleerib ISKE rakendamist?
ISKE rakendamist reguleerib Vabariigi Valitsuse 20. detsembri 2007. a  määrus nr 252 „Infosüsteemide turvameetmete süsteem”.
 
Kellele on ISKE kohustuslik?
ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.
 
Kas kohalike omavalitsuste hallatavatele asutustele on ISKE rakendamine kohustuslik? Keda mõeldakse määruses definitsiooni "kohalik omavalitsus" all?
Avaliku teabe seaduses kasutatakse erinevaid termineid:
1)       kohaliku omavalitsuse asutus;
2)       kohaliku omavalitsuse üksus ;
3)       kohalik omavalitsus.
 
AvTS-i peatükk 5.1 räägib üksnes „kohalikust omavalitsusest”, samuti räägib üksnes „kohalikust omavalitsusest” ka VV 20.12.2007. aasta määrus nr 252. Siin seda terminit laiendatud ega täpsustatud ei ole, mistõttu tuleb seda ka tõlgendada kitsalt ehk kui „kohalikku omavalitsust”, mitte kohaliku omavalitsusega seotud hallatavaid asutusi või kohaliku omavalitsuse üksusi.
 
Mis on andmekogu?
24. juulil 2009 jõustunud „Avaliku teabe seaduse” § 431 lg 1 kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks.
 
Mis on riigi andmekogu?
Riigi andmekogu on riigi kui avalik-õigusliku juriidilise isiku poolt tema organite kaudu „Avaliku teabe seadusega” kooskõlas vastavalt seadusega või seaduse alusel antud õigusaktiga pandud avalike ülesannete täitmiseks asutatud andmekogu. Riigi andmekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks ning riigi infosüsteemi mittekuuluvateks andmekogudeks.
 
Mis on kohaliku omavalitsuse andmekogu?
Kohaliku omavalitsuse andmekogu on kohaliku omavalitsuse asutuse poolt „Avaliku teabe seadusega” kooskõlas vastavalt seadusega või seaduse alusel antud õigusaktiga pandud avalike ülesannete täitmiseks asutatud andmekogu. Kohaliku omavalitsuse andmekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks ning riigi infosüsteemi mittekuuluvateks andmekogudeks.
 
Kas registri volitatud töötleja peab rakendama sama turvaklassiga ISKE-t oma asutuses, mis on kirja pandud RIHA-sse vastutava töötleja poolt?
Vastavalt AvTS-le on volitatud töötleja kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse. See aga ei tähenda, et andmete töötlemise kohtadele rakenduksid automaatselt samad nõuded, mis kogu andmekogule. Seega tuleks andmekogu vastutaval töötlejal nõuete määramisel kindlasti analüüsida andmetöötluse iseloomu igal töökohal eraldi st. kui tundlikke andmeid töödeldakse konkreetses asutuses.
 
Mis ajaks peab ISKE olema rakendatud andmekogudele, mis ei ole andmekogude seaduse mõttes andmekogud, aga mis on uue avaliku teabe seaduse mõttes andmekogud?
Kuue kuu jooksul alates avaliku teabe seaduse uue redaktsiooni jõustumisest st. 1. juuliks 2008.
 
Mis on andmete turvaanalüüs?
Andmete turvaanalüüs on turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine.
 
Mis on turvaklass?
Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina.
 
Mis on turvaosaklass?
Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal (0-3).
 
Kes on andmete omanik?
Andmete omanik ISKE kontekstis on isik, kes vastutab andmete eest terve elutsükli jooksul (s.t. vastutab muuhulgas andmete loomise, klassifitseerimise, kasutamise, ligipääsude reguleerimise ja administreerimise eest). Andmete omanik omakorda delegeerib andmete ja süsteemide, milles andmed paiknevad, tehnilise administreerimise IT osakonnale. IT osakond tavaliselt haldab ja administreerib infovarasid andmete omaniku eest ja vastavalt andmete omaniku poolt esitatud nõuetele. Andmete omanikuks on enamasti isik põhitegevuse (äritegevuse) poolelt. Andmete "omanik" ei tähenda, et isikul on tegelikud omandiõigused nende varade suhtes. "Omaniku" mõiste asemel kasutatakse sageli ka mõisteid "valdaja" või "peakasutaja". Nt. asutuse raamatupidamise andmete "omanik" on pearaamatupidaja.
 
ISKE rakendamise määruses ja ISKE rakendusjuhendis on turvaosaklassid erinevalt defineeritud. Millest tuleks lähtuda?
Turvaosaklasside määramisel tuleks lähtuda ISKE rakendusjuhendi versioonist 6.00.

Kuidas edastada ISKEt puudutav info Riigi Infosüsteemi Haldussüsteemi (RIHA)?
RIHA-sse sisestab andmekogu turvaosaklassid ja ISKE rakendusstaatuse infosüsteemi ülem koos muude andmekogu puudutavate andmetega. Igale infosüsteemile määrab RIHA-s ülema RIHA asutuse haldur. 
 
Mis on tüüpmoodulid?
Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika.
Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel.
 
Kuidas tuleb määrata käideldavuse turvaosaklassi?
ISKEs on käideldavus defineeritud järgmiselt:
Andmete käideldavus on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul/nõutaval ajahetkel ja vajaliku/nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).
Seega esmalt peaks konkreetse andmekogu kasutajaid arvestades kokku leppima tööaja, millal on vajalik kasutajatel selle andmekogu andmete ligipääs tagada.
Näiteks, tööaeg võib olla tööpäeviti kella 09.00-17.00 (ehk 5*8), tööpäeviti ja laupäev 08.00 – 18.00 (ehk 6*8), iga päev 24 tundi (ehk 7*24). Kui tööaeg on määratud, siis tuleks käideldavuse turvaosaklassi definitsioonidest lähtuvalt määrata käideldavuse turvaosaklass (kas K0, K1, K2 või K3). Käideldavuse klassi määramisel tuleb arvestada, mis on lubatud maksimaalne seisak ja maksimaalne reaktsiooni aja kasv eelnevalt kokku lepitud tööajal.
 
Kuidas arvutada käideldavust?
Käideldavus arvutatakse teenuse tegeliku töösoleku aja jagamisel kokkulepitud tööajaga.
 
 
 
Mis on turvameetmed?
Turvameetmed on organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks;
 
Mis on etalonmeetmed?
Etalonmeetmed on tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest.

Mitu turbeastet on ISKEs?
ISKEs on kolm turbeastet:
·        L (Low) – madal turbeaste
·        M (Medium) - keskmine turbeaste
·        H (High) – kõrge turbeaste
 
Mida tähendab, et on saavutatud andmete turvalisus? Mis on turvalisuse osaeesmärk?
Andmete turvalisus kui üldeesmärk on mitmemõõtmeline ja koosneb osaeesmärkidest. ISKE põhineb kolmel osaeesmärgil, andmete kolme omaduse – käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S) tagamisel.
 
Mis on turbetase?
Turbetase on andmete turvaeesmärkide hindamisskaala neljapalli süsteemis.
Süsteem ISKE põhineb neljapallilisel skaalal ja kolmel turvaeesmärgil - käideldavus (K), terviklus (T) ja konfidentsiaalsus (S). Rakendades kolmele turvaeesmärgile neljapallilist skaalat määratletakse turvaosaklassid (nt.K1T3S2) Turvaosaklassi tähis koosneb turvaeesmärgi tähisest ja turvataseme väärtusest.
 
Mitu turvameedet on L, M ja H turbeastmetes?
Turbeastmetes L ja M on kokku 1148 turvameedet ja mis on jagatud 7 rühma:
M1 – infrastruktuur,
M2 – organisatsioon,
M3 – personal,
M4 – riistvara ja tarkvara,
M5 – side,
M6 – hädaolukorraks valmisolek.
 
 
Turbeastmes H on kokku 154 turvameedet ja mis jagatakse 4 rühma:
HG: Kohustuslikud üldmeetmed
HK: Teabe käideldavuse turvameetmed
HT: Teabe tervikluse turvameetmed
HS: Teabe konfidentsiaalsuse turvameetmed
 
 
Kas tuleb rakendada kõik konkreetsesse turbeastmesse kuuluvad turvameetmed?
1. Konkreetsesse turbeastmesse kuuluvatest turvameetmetest tuleb rakendada nende moodulite turvameetmed, millega konkreetne andmekogu on seotud.
2. Mõningates moodulites on turvameetmeid mis on märgistatud "Z" ja "W" tähega. "Z" märgistus tähistab soovituslikkust ja "W" märgistus märgib teadmuslikkust (rakendama ei pea, pakub vajalikku teadmist antud alal)
3. Turbeastmes „H” turvameetmed jagunevad kohustuslikeks (HG) ja tingimuslikeks (HT, HK, HS) turvameetmeteks. Tingimuslikest turvameetmed on eesmärgispetsiifilised lisameetmed, millest on kohustuslikud need, mille nõutavast turvatasemest tuleneb kõrgeima turbeastme rakendamise nõue. Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu x, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.
  
 
 
 
Missugune infoturbealane dokumentatsioon tuleb ISKE rakendamise käigus luua?
ISKE kataloogi turvameede „M2.192 Infoturbe poliitika koostamine“ kirjeldab infoturbe poliitika koostamisega seonduvaid asjaolusid. Infoturbe poliitika koostamisel võib juhinduda ka standardi lisas A toodud sisukorra näidisest.
 
 
Kas on kohustus pidada arvestust rakendatud turvameetmete rakendamise kohta (nt. exceli tabelis või mujal)?
Otseselt sellist kohustust ei ole, aga sellist laadi arvestuse pidamine võimaldab saada ülevaate ISKE rakendatuse seisust asutuses ja on igati abiks ISKE rakendamisega tegelevatele inimestele.
 
 
Kas nt. exceli tabelis turvameetmete kohast arvestust pidades peab märkima, missuguse dokumendi mis punktis on antud organisatoorse turvemeetmega seonduv reguleeritud?
Ei pea märkima, aga võib. Infoturbe juht/spetsialist, IT juht peaks teadma missuguses dokumendis on konkreetse organisatoorse turvameetmega seonduv asjaolu reguleeritud.
 
 
Kas infoturbe poliitika dokumentatsioonis konkreetse punkti järel peab märkima või viitama missugune turvameede nõuab vastavat regulatsiooni/lauset?
Ei pea märkima kuid võib.
 
Kuidas on seotud ISO27001 ja ISKE?
ISKE aluseks oleva BSI IT etalonturbe käsiraamatu väljatöötamisel arvestatakse ISO 27001 soovitustega ja käsiraamatu väljatöötamisel järgitakse standardi struktuuri. Standardi ISO27001 ning BSI IT etalonturbe käsiraamatu vaheliste kaardistuse leiab BSI koduleheküljelt www.bsi.bund.de/cae/servlet/contentblob/471430/publicationFile/27994/standard_100-2_e_pdf.pdf.
 
Mis erinevus on BSI IT Grundschutz Handbuch’i ja ISKE vahel?
On mitmeid erinevusi, siinkohal nendest olulisemad:
·        ISKE rakendusjuhendis on turbeaste H, mis on Eestis väljatöötatud.
·        BSI juhendis on turbeastmed: A – Entry level, B – Higher level ,C – Certificate level, Z – optional, W - know how . Kõik nimetatud tasemete turvameetmed on paigutatud ISKE turbeastmetesse L ja M.
·        BSI juhendis puudub turvaklasside ideoloogia ja lähtuvalt turvaklassidest turbeastmesse jagamine.
 
Kas ISKE reguleerib teenustasemetega seonduvat?
ISKE käsitleb ühe turvaeesmärgina käideldavust. ISKEs on määratud käideldavuse turvaosaklassid järgmiselt:
K0 – töökindlus – madal, lubatud summaarne seisak on üle ühe ööpäeva nädalas;
K1 – töökindlus – lubatud summaarne seisak nädalas ööpäev;
K2 – töökindlus – lubatud summaarne seisak nädalas 2 tundi;
K3 – töökindlus - lubatud summaarne seisak nädalas 10 minutit.
 
ISKE määratleb käideldavuse suhteliselt suurte vahemike tagant. ISKE ei määra ja ei käsitle enamikke teenustaseme lepingutega seonduvaid asjaolusid ja teenustaset määravaid parameetreid (päringule vastamise aeg, teenindavate kasutajate arv, hooldustööde teostamise aeg jmt).
 
 
Kus reguleeritakse ISKE auditeerimisega seonduvad asjaolud?
ISKE auditeerimisega seonduvad asjaolud reguleeritakse määruses nr 252 „Infosüsteemide turvameetmete süsteem“.  
 
Kui tihti tuleb auditeid tellida/teostada?
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „H”, on kohustatud üks kord kahe aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „M” on kohustatud üks kord kolme aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „L” on kohustatud üks kord nelja aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.

Mis nõudeid esitatakse audiitoritele?
Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati.

Kas kõik auditeerimisel osalevad audiitorid peavad omama CISA sertifikaati?
Ei pea. Auditeerimisel võib kasutada mitte CISA sertifikaati omavaid audiitoreid. Auditi raporti kvaliteedi, asjakohasuse, õigsuse, korrektsuse, sõltumatuse jmt. osas aga vastutab CISA sertifitseeritud audiitor, kes ka allkirjastab lõppraporti.

Mis ajaks peavad auditid olema teostatud?
Ettevalmistatavas „Infosüsteemide turvameetmete süsteemi“ määruse muudatuses on hetkel kirjas kuupäevad, mis saavad tõenäoliselt olema järgmised:
Turbeastmele „H” on esmakordne auditeerimise kohustuslik hiljemalt 2010. aasta 1. märtsiks
Turbeastmele „M”on esmakordne auditeerimine kohustuslik hiljemalt 2010. aasta 1. detsembriks
Turbeastmele „L” on esmakordne auditeerimine kohustuslik hiljemalt  2011. aasta 1. märtsiks.

 

Rävala 5, Tallinn 15169 | Tel: 663 0200 | Fax: 663 0201 | E-post: