Korduma kippuvad küsimused
Siinsel lehel on vastused ISKE kohta enimküsitud küsimustele. Alustades sellest, kes peab ISKEt rakendama ning lõpetades käideldavuse turvaosaklassi määramise ja turvameetmete arvestuse pidamisega.
ISKE
ISKE ja kohustus seda rakendada
ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on tagada infosüsteemides ja andmekogudes töödeldavatele andmetele piisava tasemega turvalisus. ISKE rakendamise ja selle auditeerimise kohustus tuleneb avaliku teabe seaduse § 439 lõikest 3 ».
Etalonturve on turvameetmete kogumik, mille rakendamine on vajalik andmete asjakohase turvalisuse taseme saavutamiseks ja säilitamiseks.
ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.
Avaliku teabe seaduses (AvTS) kasutatakse kohaliku omavalitsuse defineerimisel erinevaid termineid:
- kohaliku omavalitsuse asutus;
- kohaliku omavalitsuse üksus;
- kohalik omavalitsus.
ISKE ja andmekogud
Avaliku teabe seaduse § 431 lg 1 » kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.
Admekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks (avaliku teabe seaduse § 432 ») ja riigi infosüsteemi mittekuuluvateks andmekogudeks (avaliku teabe seadus § 433 lõige 4 »).
ISKE rakendamine on kohustuslik kõigile riigi ja kohaliku omavalituse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.
Rakendamine toimub vastavalt ISKE rakendusjuhendi kehtivale versioonile.
Riigi andmekogu vastutav töötleja on kohustatud tellima ISKE määrusest tuleneva perioodi tagant ISKE rakendamise auditeerimise.
Kohaliku omavalitsuse andmekogudele tellitakse ISKE rakendamise auditeerimine lähtuvalt vajadusest. Majandus- ja Kommunikatsiooniministeerium tellib eelnimetatud auditi arvestades § 91 lõigetes 4–8 sätestatud tingimusi ja nõudeid.
Vastavalt AvTS-le on volitatud töötleja kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse. See aga ei tähenda, et andmete töötlemise kohtadele rakenduksid automaatselt samad nõuded, mis kogu andmekogule. Seega tuleks andmekogu vastutaval töötlejal nõuete määramisel kindlasti analüüsida andmetöötluse iseloomu igal töökohal eraldi, st kui tundlikke andmeid töödeldakse konkreetses asutuses.
Turvaklassid
Mis on turvaklass ja millele neid määratakse?
Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina. Turvaklassid määratakse andmekogus töödeldavatele andmetele. Turvaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete kaitsevajadusest.
Turvaklassi määramise korraldab andmekogu vastutav töötleja andmete turvaanalüüsi tulemusena.
Täpsema turvaklasside määramise aluse leiab AvTS § 439 lõike 1 punkti 4 alusel kehtestatud määruse „Infosüsteemide turvameetmete süsteem“ § 7 ».
Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal (0–3).
Andmete turvaanalüüs on turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine.
ISKE rakendamata jätmise ja/või ISKE rakendamise tähtaegselt auditeerimata jätmise eest vastutab andmekogu vastutav töötleja.
Kui on kohustus ISKEt rakendada, peab ISKE olema rakendatud andmekogu kasutusele võtmise ajaks. Kuna sellised andmekogud peavad olema registreeritud riigi infosüsteemi haldussüsteemis (RIHA) », siis näiteks uute andmekogude puhul peab olema ISKE rakendatud andmekogu lõpliku registreerimise ajaks (st kui andmekogu saab RIHAsse märke "kasutusel").
RIHAsse sisestab andmekogu turvaosaklassid ja ISKE rakendusstaatuse infosüsteemi ülem koos teiste andmekogu puudutavate andmetega. Igale infosüsteemile määrab RIHAs ülema RIHA asutuse haldur.
ISKE rakendamise auditeerimise periood sõltub andmekogule määratud turbeastmest ja andmekogu kasutusele võtmise ajast.
Näiteks, kui andmekogu võetakse kasutusele 1. jaanuaril 2017. aastal või koostati selleks kuupäevaks eelmine ISKE rakendamise auditeerimise raport, siis järgmine ISKE audit peab olema toimunud:
- H turbeastmega andmekogu puhul 1. jaanuariks 2019;
- M turbeastmega andmekogu puhul 1. jaanuariks 2020;
- L turbeastmega andmekogu puhul 1. jaanuariks 2021.
Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika.
Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel.
ISKEs on käideldavus defineeritud järgmiselt:
Andmete käideldavus on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul/nõutaval ajahetkel ja vajaliku/nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).
Seega esmalt peaks konkreetse andmekogu kasutajaid arvestades kokku leppima tööaja, millal on vajalik tagada andmete kasutajatele ligipääs sellele andmekogule.
Näiteks, tööaeg võib olla tööpäeviti kella 9.00–17.00 (ehk 5x8), tööpäeviti ja laupäev 8.00–18.00 (ehk 6x8), iga päev 24 tundi (ehk 7x24). Kui tööaeg on määratud, siis tuleks käideldavuse turvaosaklassi definitsioonidest lähtuvalt määrata käideldavuse turvaosaklass (kas K0, K1, K2 või K3). Käideldavuse klassi määramisel tuleb arvestada, mis on lubatud maksimaalne seisak ja maksimaalne reaktsiooni aja kasv eelnevalt kokku lepitud tööajal.
Käideldavus arvutatakse teenuse tegeliku töösoleku aja jagamisel kokkulepitud tööajaga.

Delikaatsete isikuandmete ja AK informatsiooni puhul, mis on asutusesiseselt mõeldud kasutamiseks ainult kindlatele isikutele (gruppidele, osakondadele), peab konfidentsiaalsuse turvaosaklass olema vähemalt S2.
Turvameetmed
Turvameetmed on organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks
Etalonmeetmed on tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest.
ISKEs on kolm turbeastet:
L (Low) – madal turbeaste
M (Medium) – keskmine turbeaste
H (High) – kõrge turbeaste
Andmete turvalisus kui üldeesmärk on mitmemõõtmeline ja koosneb osaeesmärkidest. ISKE põhineb kolmel osaeesmärgil, andmete kolme omaduse – käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S) tagamisel.
Turbetase on andmete turvaeesmärkide hindamisskaala neljapalli süsteemis.
Süsteem ISKE põhineb neljapallilisel skaalal ja kolmel turvaeesmärgil – käideldavus (K), terviklus (T) ja konfidentsiaalsus (S). Rakendades kolmele turvaeesmärgile neljapallilist skaalat määratletakse turvaosaklassid (nt K1T3S2). Turvaosaklassi tähis koosneb turvaeesmärgi tähisest ja turvataseme väärtusest.
Konkreetsesse turbeastmesse kuuluvatest turvameetmetest tuleb rakendada nende moodulite turvameetmed, millega konkreetne andmekogu on seotud.
Mõningates moodulites on turvameetmeid, mis on märgistatud "Z" ja "W" tähega. "Z" märgistus tähistab soovituslikkust ja "W" märgistus märgib teadmuslikkust (rakendama ei pea, pakub vajalikku teadmist antud alal).
Turbeastmes „H” jagunevad turvameetmed kohustuslikeks (HG) ja tingimuslikeks (HT, HK, HS) turvameetmeteks. Tingimuslikud turvameetmed on eesmärgispetsiifilised lisameetmed. Neist on kohustuslikud need, mille nõutavast turvatasemest tuleneb kõrgeima turbeastme rakendamise nõue. Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu x, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.
Otseselt sellist kohustust ei ole, aga sellist laadi arvestuse pidamine võimaldab saada ülevaate ISKE rakendatuse seisust asutuses ja on igati abiks ISKE rakendamisega tegelevatele inimestele.
Ei pea märkima, aga võib. Infoturbe juht/spetsialist, IT-juht peaks teadma missuguses dokumendis on konkreetse organisatoorse turvameetmega seonduv asjaolu reguleeritud. Selline märgistamine hoiab mh auditi läbiviimisel auditeeritava aega kokku.
Ei pea märkima, kuid võib.
On mitmeid erinevusi, siinkohal nendest olulisemad:
ISKE rakendusjuhendis on turbeaste H, mis on Eestis väljatöötatud.
BSI juhendis on turbeastmed: A – Entry level, B – Higher level, C – Certificate level, Z – optional, W – know how. Kõik nimetatud tasemete turvameetmed on paigutatud ISKE turbeastmetesse L ja M.
BSI juhendis puudub turvaklasside ideoloogia ja lähtuvalt turvaklassidest turbeastmesse jagamine.
ISKE käsitleb ühe turvaeesmärgina käideldavust. ISKEs on määratud käideldavuse turvaosaklassid järgmiselt:
K0 – töökindlus – madal, lubatud summaarne seisak on üle ühe ööpäeva nädalas;
K1 – töökindlus – lubatud summaarne seisak nädalas ööpäev;
K2 – töökindlus – lubatud summaarne seisak nädalas 2 tundi;
K3 – töökindlus – lubatud summaarne seisak nädalas 10 minutit.
ISKE määratleb käideldavuse suhteliselt suurte vahemike tagant. ISKE ei määra ega käsitle enamikke teenustaseme lepingutega seonduvaid asjaolusid ja teenustaset määravaid parameetreid (päringule vastamise aeg, teenindavate kasutajate arv, hooldustööde teostamise aeg jmt).