Language switcher

Korduma kippuvad küsimused

Siinsel lehel on vastused ISKE kohta enimküsitud küsimustele. Alustades sellest, kes peab ISKEt rakendama ning lõpetades käideldavuse turvaosaklassi määramise ja turvameetmete arvestuse pidamisega.

ISKE

ISKE ja kohustus seda rakendada

Mis on ISKE?
ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on tagada infosüsteemides ja andmekogudes töödeldavatele andmetele piisava tasemega turvalisus. ISKE rakendamise ja selle auditeerimise kohustuslikus tuleneb avaliku teabe seaduse § 439 lõikest 3 ».
Mis on etalonturve?
Etalonturve on turvameetmete kogumik, mille rakendamine on vajalik andmete asjakohase turvalisuse taseme saavutamiseks ja säilitamiseks.
Kellele on ISKE kohustuslik?
ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.
 

Avaliku teabe seaduses (AvTS) kasutatakse kohaliku omavalitsuse defineerimisel erinevaid termineid:

  • kohaliku omavalitsuse asutus;
  • kohaliku omavalitsuse üksus;
  • kohalik omavalitsus.
Vabariigi Valitsuse 20.12.2007. aasta määruses nr 252 "Infosüsteemide turvameetmete süsteem" » seda terminit laiendatud ega täpsustatud ei ole. Seetõttu tuleb seda ka tõlgendada kitsalt ehk kui „kohalikku omavalitsust”, mitte kohaliku omavalitsusega seotud hallatavaid asutusi või kohaliku omavalitsuse üksusi.

ISKE ja andmekogud

Mis on andmekogu?
Avaliku teabe seaduse § 431 lg 1 » kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Andmekogus töödeldavate korrastatud andmete kogum võib koosneda ka üksnes teistes andmekogudes sisalduvatest unikaalsetest andmetest.

Admekogud jagunevad riigi infosüsteemi kuuluvateks andmekogudeks (avaliku teabe seaduse § 432 ») ja riigi infosüsteemi mittekuuluvateks andmekogudeks (avaliku teabe seadus § 433 lõige 4 »).
Millistele andmekogudele on ISKE rakendamine ja selle auditeerimise kohustuslik?
ISKE rakendamine on kohustuslik kõigile riigi ja kohaliku omavalituse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks.

Rakendamine toimub vastavalt ISKE rakendusjuhendi kehtivale versioonile.

Riigi andmekogu vastutav töötleja on kohustatud tellima ISKE määrusest tuleneva perioodi tagant ISKE rakendamise auditeerimise.

Kohaliku omavalitsuse andmekogudele tellitakse ISKE rakendamise auditeerimine lähtuvalt vajadusest. Majandus- ja Kommunikatsiooniministeerium tellib eelnimetatud auditi arvestades § 91 lõigetes 4–8 sätestatud tingimusi ja nõudeid.
Kas registri volitatud töötleja peab rakendama oma asutuses sama turvaklassiga ISKEt, mille vastutav töötleja on kirja pannud RIHAsse?
Vastavalt AvTS-le on volitatud töötleja kohustatud täitma vastutava töötleja juhiseid andmete töötlemisel ja andmekogu majutamisel ning tagama andmekogu turvalisuse. See aga ei tähenda, et andmete töötlemise kohtadele rakenduksid automaatselt samad nõuded, mis kogu andmekogule. Seega tuleks andmekogu vastutaval töötlejal nõuete määramisel kindlasti analüüsida andmetöötluse iseloomu igal töökohal eraldi, st kui tundlikke andmeid töödeldakse konkreetses asutuses.

Turvaklassid

Mis on turvaklass ja millele neid määratakse?
Turvaklass on andmete tähtsusest tulenev andmete nõutav turvalisuse tase, väljendatuna neljaastmelisel skaalal ning kolmekomponendilisena, st kolme turvaosaklassi ühendina. Turvaklassid määratakse andmekogus töödeldavatele andmetele. Turvaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete kaitsevajadusest.
 
Turvaklassi määramise korraldab andmekogu vastutav töötleja andmete turvaanalüüsi tulemusena.

Täpsema turvaklasside määramise aluse leiab AvTS § 439 lõike 1 punkti 4 alusel kehtestatud määruse „Infosüsteemide turvameetmete süsteem“ § 7 ».

Mis on turvaosaklass?
Turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase väljendatuna neljaastmelisel skaalal (0–3).
Mis on andmete turvaanalüüs?
Andmete turvaanalüüs on turvaklassi määramiseks sooritatav andmete tähtsuse hindamine ning andmete turvalisuse puudumisest tulenev kahjude hindamine.
Kes vastutab, kui andmekogu suhtes ei ole täidetud seadusest tulenevat nõuet (ISKE rakendamata ja/või ISKE rakendamine tähtaegselt auditeerimata)?
ISKE rakendamata jätmise ja/või ISKE rakendamise tähtaegselt auditeerimata jätmise eest vastutab andmekogu vastutav töötleja.
Mis ajaks peab ISKE olema andmekogudele rakendatud?
Kui on kohustus ISKEt rakendada, peab ISKE olema rakendatud andmekogu kasutusele võtmise ajaks. Kuna sellised andmekogud peavad olema registreeritud riigi infosüsteemi haldussüsteemis (RIHA) », siis näiteks uute andmekogude puhul peab olema ISKE rakendatud andmekogu lõpliku registreerimise ajaks (st kui andmekogu saab RIHAsse märke "kasutusel").
Kuidas edastada ISKEt puudutav info Riigi Infosüsteemi Haldussüsteemi (RIHA)?
RIHAsse sisestab andmekogu turvaosaklassid ja ISKE rakendusstaatuse infosüsteemi ülem koos teiste andmekogu puudutavate andmetega. Igale infosüsteemile määrab RIHAs ülema RIHA asutuse haldur.
Mis ajaks peab olema ISKE rakendamine auditeeritud nende andmekogude puhul, millele on ISKE audit kohustuslik?
ISKE rakendamise auditeerimise periood sõltub andmekogule määratud turbeastmest ja andmekogu kasutusele võtmise ajast.

Näiteks, kui andmekogu võetakse kasutusele 1. jaanuaril 2017. aastal või koostati selleks kuupäevaks eelmine ISKE rakendamise auditeerimise raport, siis järgmine ISKE audit peab olema toimunud:

  • H turbeastmega andmekogu puhul 1. jaanuariks 2019;
  • M turbeastmega andmekogu puhul 1. jaanuariks 2020;
  • L turbeastmega andmekogu puhul 1. jaanuariks 2021.
Mis on tüüpmoodulid?
Tüüpmoodulid on infovarade liigid, millel on teatud eriomadused ja oma turvaspetsiifika.
Moodulid on rühmitatud funktsionaalsete ja turvaspetsiifiliste ühisomaduste alusel.
Kuidas tuleb määrata käideldavuse turvaosaklassi?
ISKEs on käideldavus defineeritud järgmiselt:

Andmete käideldavus on eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus (st vajalikul/nõutaval ajahetkel ja vajaliku/nõutava aja jooksul) selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele).

Seega esmalt peaks konkreetse andmekogu kasutajaid arvestades kokku leppima tööaja, millal on vajalik tagada andmete kasutajatele ligipääs sellele andmekogule.

Näiteks, tööaeg võib olla tööpäeviti kella 9.00–17.00 (ehk 5x8), tööpäeviti ja laupäev 8.00–18.00 (ehk 6x8), iga päev 24 tundi (ehk 7x24). Kui tööaeg on määratud, siis tuleks käideldavuse turvaosaklassi definitsioonidest lähtuvalt määrata käideldavuse turvaosaklass (kas K0, K1, K2 või K3). Käideldavuse klassi määramisel tuleb arvestada, mis on lubatud maksimaalne seisak ja maksimaalne reaktsiooni aja kasv eelnevalt kokku lepitud tööajal.
Kuidas arvutada käideldavust?
Käideldavus arvutatakse teenuse tegeliku töösoleku aja jagamisel kokkulepitud tööajaga.
Valem: Käideldavus = tegelik töösoleku aeg / kokkulepitud tööaeg * 100%
Milline konfidentsiaalsuse turvaosaklass peab olema määratud delikaatsete isikuandmete ja AK info puhul?
Delikaatsete isikuandmete ja AK informatsiooni puhul, mis on asutusesiseselt mõeldud kasutamiseks ainult kindlatele isikutele (gruppidele, osakondadele), peab konfidentsiaalsuse turvaosaklass olema vähemalt S2.

Turvameetmed 

Mis on turvameetmed?
Turvameetmed on organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks
Mis on etalonmeetmed?
Etalonmeetmed on tüüpsed katalogiseeritud ja valimismetoodikaga varustatud turvameetmed, mille hulgast tehtav valik sõltub turvaklassist ja andmeid töötleva infosüsteemi koostisest.
Mitu turbeastet on ISKEs?
ISKEs on kolm turbeastet:

L (Low) – madal turbeaste
M (Medium) – keskmine turbeaste
H (High) – kõrge turbeaste
Mida tähendab, et on saavutatud andmete turvalisus? Mis on turvalisuse osaeesmärk?
Andmete turvalisus kui üldeesmärk on mitmemõõtmeline ja koosneb osaeesmärkidest. ISKE põhineb kolmel osaeesmärgil, andmete kolme omaduse – käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S) tagamisel.
Mis on turbetase?
Turbetase on andmete turvaeesmärkide hindamisskaala neljapalli süsteemis.

Süsteem ISKE põhineb neljapallilisel skaalal ja kolmel turvaeesmärgil – käideldavus (K), terviklus (T) ja konfidentsiaalsus (S). Rakendades kolmele turvaeesmärgile neljapallilist skaalat määratletakse turvaosaklassid (nt K1T3S2). Turvaosaklassi tähis koosneb turvaeesmärgi tähisest ja turvataseme väärtusest.
Kas tuleb rakendada kõik konkreetsesse turbeastmesse kuuluvad turvameetmed?
Konkreetsesse turbeastmesse kuuluvatest turvameetmetest tuleb rakendada nende moodulite turvameetmed, millega konkreetne andmekogu on seotud.

Mõningates moodulites on turvameetmeid, mis on märgistatud "Z" ja "W" tähega. "Z" märgistus tähistab soovituslikkust ja "W" märgistus märgib teadmuslikkust (rakendama ei pea, pakub vajalikku teadmist antud alal).

Turbeastmes „H” jagunevad turvameetmed kohustuslikeks (HG) ja tingimuslikeks (HT, HK, HS) turvameetmeteks. Tingimuslikud turvameetmed on eesmärgispetsiifilised lisameetmed. Neist on kohustuslikud need, mille nõutavast turvatasemest tuleneb kõrgeima turbeastme rakendamise nõue. Näiteks, kui turbeastme (H) rakendamise nõue tuleneb andmete konfidentsiaalsusest (andmekogu x, mille turvaklass on K1T2S3), siis tuleb rakendada kohustuslikud (HG) ja konfidentsiaalsusega seotud (HS) turvameetmed.
Kas on kohustus pidada arvestust rakendatud turvameetmete rakendamise kohta (nt exceli tabelis või mujal)?
Otseselt sellist kohustust ei ole, aga sellist laadi arvestuse pidamine võimaldab saada ülevaate ISKE rakendatuse seisust asutuses ja on igati abiks ISKE rakendamisega tegelevatele inimestele.
Kas nt exceli tabelis turvameetmete kohast arvestust pidades peab märkima, missuguse dokumendi mis punktis on antud organisatoorse turvemeetmega seonduv reguleeritud?
Ei pea märkima, aga võib. Infoturbe juht/spetsialist, IT-juht peaks teadma missuguses dokumendis on konkreetse organisatoorse turvameetmega seonduv asjaolu reguleeritud. Selline märgistamine hoiab mh auditi läbiviimisel auditeeritava aega kokku.
Kas infoturbe poliitika dokumentatsioonis konkreetse punkti järel peab märkima või viitama missugune turvameede nõuab vastavat regulatsiooni/lauset?
Ei pea märkima, kuid võib.
Mis erinevus on BSI IT Grundschutz Handbuch’i ja ISKE vahel?
On mitmeid erinevusi, siinkohal nendest olulisemad:

ISKE rakendusjuhendis on turbeaste H, mis on Eestis väljatöötatud.

BSI juhendis on turbeastmed: A – Entry level, B – Higher level, C – Certificate level, Z – optional, W – know how. Kõik nimetatud tasemete turvameetmed on paigutatud ISKE turbeastmetesse L ja M.

BSI juhendis puudub turvaklasside ideoloogia ja lähtuvalt turvaklassidest turbeastmesse jagamine.
Kas ISKE reguleerib teenustasemetega seonduvat?
ISKE käsitleb ühe turvaeesmärgina käideldavust. ISKEs on määratud käideldavuse turvaosaklassid järgmiselt:

K0 – töökindlus – madal, lubatud summaarne seisak on üle ühe ööpäeva nädalas;
K1 – töökindlus – lubatud summaarne seisak nädalas ööpäev;
K2 – töökindlus – lubatud summaarne seisak nädalas 2 tundi;
K3 – töökindlus – lubatud summaarne seisak nädalas 10 minutit.

ISKE määratleb käideldavuse suhteliselt suurte vahemike tagant. ISKE ei määra ega käsitle enamikke teenustaseme lepingutega seonduvaid asjaolusid ja teenustaset määravaid parameetreid (päringule vastamise aeg, teenindavate kasutajate arv, hooldustööde teostamise aeg jmt).
Viimati muudetud: 13.06.2018

Kas said vastuse oma küsimusele?


Täname tagasiside eest!