Märjamaa Vallavalitsuse infoturvapoliitika

Määrus kehtestatakse küberturvalisuse seaduse § 3 lõike 2 punkti 4 ja § 7 lõigete 1-3 alusel.

§ 1. Üldsätted

(1) Märjamaa Vallavalitsuse infoturvapoliitika (edaspidi infoturvapoliitika) määratleb Märjamaa Vallavalitsuse kui ametiasutuse (edaspidi Vallavalitsus) peamised infoturbe korralduse põhimõtted.

(2) Infoturvapoliitikat arvestatakse ja selle rakendamiseks vajalikke tegevusi nähakse ette valla õigusaktide eelnõude väljatöötamisel. Kõik erisused käesolevast infoturbepoliitikast kinnitatakse vallavanema käskkirjaga.

(3) Vallavalitsuse infoturbehalduse süsteemi rakendamise ja infoturbealase kaitse toimimise eest vastutab asutuse juhina vallavanem.

§ 2. Mõisted

(1) Määruses ja vallavanema käskkirjaga kehtestatud infoturvapoliitikaga seotud dokumentides kasutatakse mõisteid järgmises tähenduses:

1) infoturbe halduse süsteem (ISMS) - organisatsiooni poliitikad, protseduurid, juhised ning nendega seotud ressursid ja tegevused, mida organisatsioon kollektiivselt haldab, et kaitsta oma infovarasid;

2) infoturbeintsidendid- juhtumid, mille läbi on sündinud või võib sündida kahju andmete põhiomadustele ja andmesubjektidele, samuti toimingud, mis ei ole kooskõlas infoturbe valdkonda reguleerivate õigusaktidega;

3) infoturvapoliitika - organisatsiooni keskne infoturbealane dokument, mis sätestab arengusuunad ning taotletavad sihid ja määratleb lubatu ning lubamatu;

4) infoturve - turvameetmete loomise, valimise ja rakendamise protsesside kogum, andmete tervikluse, käideldavuse ja konfidentsiaalsuse tagamiseks;

5) infovara - mis tahes viisil kogutud, jäädvustatud ja töödeldud andmete kogum mistahes andmekandjal, sh paberkandjal;

6) infovara kasutaja - teenistuja, praktikant või muu Vallavalitsusega seotud isik, kellele infovara peakasutaja on andnud infovara kasutamise õigused;

7) infovara peakasutaja - isik, kes on vastutusala juhi poolt määratud ja vastutab infovara eest;

8) kaitseala - kirjeldus, millega piiritletakse asutuse infoturbe ulatus, arvestades, et kaitseala on Eesti infoturbestandardis (E-ITS) kaitstav äriprotsess ja selle toimimiseks vajalikud infotehnoloogia (IT) varad;

9) kaitsetarve - andmete ja teabe omadus, mis väljendab vajadust kaitsta teda kahju eest, mille võib tekitada konfidentsiaalsuse, tervikluse ja/või käideldavuse rikkumine;

10) konfidentsiaalsus - teabe kaitse volitamatu juurdepääsu eest;

11) käideldavus - andmete, teabe ja infosüsteemide kättesaadavus vajalikel hetkedel;

12) sihtobjekt - igasugune infosüsteemi kuuluv, kaitsetarbega grupeeritud vara (äriprotsess, rakendus, IT-lahenduse komponent, komponendirühm, hoone, kinnistu, allüksus), millele vastendatakse etalonmoodul(id);

13) terviklus – andmete ja teabe korrektsus ja muutumatus;

14) teenus - Vallavalitsuse tegevuse element, mingi eesmärgi saavutamisele suunatud tegevuste, toimingute või protseduuride kogum;

15) turbeviis - meetod E-ITS standardil põhineva infoturbe halduse süsteemi rajamiseks, mille valikul lähtutakse regulatsioonidest ja kaitsetarbest, aga ka organisatsiooni infoturbe küpsusest;

16) turvameetmed - organisatsioonilised toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide andmete turvalisuse saavutamiseks ja säilitamiseks;

17) vara - informatsiooni ja andmete töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid;

18) vara omanik - isik, kes on vara peakasutaja poolt määratud ja tegeleb vara majandamisega, tagades infoturbe põhimõtete rakendamise.

§ 3. Infoturbe eesmärk ja rakendusala

(1) Vallavalitsuse infoturbe eesmärkideks on:

1) igapäevaste ülesannete täitmise, teenuste osutamise, infovahetuse ja asjaajamise tagamine vastavalt kohaliku omavalitsuse korralduse seadusele;

2) kogutavate, töötlemiseks või hoidmiseks antud andmete konfidentsiaalsuse, tervikluse ja käideldavuse tagamine;

3) infosüsteemide ja andmekogude nõuetekohane pidamine lähtudes Eesti Vabariigis kehtivatest õigusaktidest.

(2) Infoturbe eesmärkide täitmine tagatakse infotehnoloogia, teabe ja infovarade käideldavuse, tervikluse ja konfidentsiaalsuse kaudu.

(3) Rakendatavad turvameetmed peavad olema majanduslikult õigustatud ja proportsioonis võimaliku kahjuga, mis võib tekkida meetmete puudulikkuse tõttu, ning nende häiriv toime asutuste tegevusele ja töötajate tööle peab olema võimalikult väike.

(4) Infoturvapoliitikast lähtuvad või sellega oluliselt haakuvad infoturbedokumendid, mis hõlmavad üksikasjalikke kirjeldusi infoturvaeesmärkide saavutamise võtetest, kehtestatakse vallavanema käskkirjaga.

(5) Infoturbe põhimõtted kehtivad Vallavalitsuse füüsilisele ja virtuaalsele perimeetrile. Infoturvet rakendatakse Vallavalitsuse kõikides füüsilistes asukohtades, IT varadele (arvutid, serverid, printerid jms) ning info ja sidesüsteemides ühtsetel alustel.

(6) Infoturbepoliitikat ja selle alusel koostatud juhendite sisu ajakohasust hinnatakse vähemalt üks kord aastas või infoturbe olukorra oluliste muutuste aset leidmisel.

§ 4. Infoturbe põhimõtted

(1) Kõikidele varadele ja protsessidele kehtestatakse juhtkonna otsusega E-ITS kaitsetarve „suur” ning valitud turbeviisiks “standardturve” tagamaks esmase ja elementaarse infoturbe taseme Vallavalitsuse protsesside ja varade kaitseks.

(2) Vallavalitsus valib infovarade omanikuna nende kaitsmiseks piisavad ja asjakohased meetmed. Infovarade kasutamine on lubatud ainult Vallavalitsuse tegevusega seotud eesmärkidel.

(3) Infoturbe põhimõtteid on kohustatud järgima Vallavalitsuse teenistujad, praktikandid, partnerid ja lepingulised partnerid, kes on volitatud teenistuja rollis.

(4) Konfidentsiaalsuskohustuse nõue kehtib konfidentsiaalse informatsiooni kohta ja seda kohaldatakse Vallavalitsuse infovara kasutavatele isikutele tulenevalt õigusaktidest ja sõlmitavatest lepingutest.

(5) Infovara kasutamist ning turvet reguleerivate eeskirjade tundmine ja järgimine on kohustuslik kõikidele infovara kasutajatele.

(6) Infoturbeintsidendi korral võib infovara kaitseks piirata selle kasutamist infovara omaniku või juhi ettepanekul.

(7) Andmete turvaliseks töötlemiseks kindlustatakse nõuetele vastav keskkond ja infoturbe kohustuste täitmine, sh andmete käideldavus, terviklus ja konfidentsiaalsus õigusaktis sätestatud kujul.

(8) Turvateadlikkuse kindlustamiseks viiakse läbi infoturbekoolitusi ja täiendusteavitusi vähemalt kord aastas.

§ 5. Infoturbe organisatsioon ja vastutusalad

(1) Infoturbealane kaitse tagatakse asutuse juhtkonna tasemel asutuse tegevusprotsesside ja IT-varade kaardistamise, nende dokumenteerimise ja ajakohasena hoidmise kaudu, rahaliste ja mitterahaliste ressursside (sealhulgas koolituste korraldamiseks vajalike ressursside) ettenägemisega infoturbemeetmete rakendamiseks ning asutuse töötajate põhitööga kaasnevate infoturbekohustuste aktsepteerimisega.

(2) Kõik teenistujad peavad andma oma panuse Vallavalitsuse infoturbe tagamisse, järgides eeskirju ning kokkulepitud protseduuri- ja käitumistavasid.

(3) Vallavalitsus kollegiaalorganina saab regulaarselt infot organisatsiooni turvariskide, turvaintsidentide mõju, regulatsioonide ja lepinguliste turvanõuete, infoturbe hetkeseisu ning tegevussoovituste kohta, kasutades seda teavet infoturbe eesmärkide täitmise tagamiseks ja otsuste tegemiseks.

(4) Vallavanema ülesanded infoturbe halduses on:

1) kinnitada ametisse spetsialist, kelle vastutusalas on Vallavalitsuse infoturbe korraldamine või korraldada selle teenuse hankimise vastavalt teenuse osutajalt;

2) määratleda valdkonna tähtsamad eesmärgid, hinnata peamisi riske, kinnitada infovaradele määratud turvaklassid;

3) kooskõlastada ja kehtestada infovarade käideldavuse, tervikluse ja konfidentsiaalsuse ning infovarade kaitset korraldavad ja tagavad õigusaktid;

4) osaleda infoturbe olulisusest teavitamises;

5) moodustada infoturbeprotsessi rakendamiseks ja edendamiseks infoturbe töörühm.

(5) Infoturbe töörühma ülesanded infoturbe halduses on:

1) töötada välja valla infoturbe ja riskijuhtimise põhimõtted ja korraldada nende elluviimist;

2) tagada infoturvet reguleerivate juhiste ja muude asjakohaste dokumentide ajakohasus;

3) koostada ja esitada valitsusele infoturbe aruanded ja iga-aastane infoturbe meetmete rakendamise tööplaan;

4) menetleda infoturbeintsidente, kooskõlastada erandid.

(6) Infoturbejuhi ülesanded infoturbe halduses on:

1) hallata infoturbe tegevusi ja korraldada turvameetmete rakendamine;

2) nõustada asutuse töötajaid infoturbe ohtude ja riskide hindamisel, uute turvameetmete kasutuselevõtul või olemasolevate parendamisel ning muudes infoturvet puudutavates küsimustes;

3) teavitada Riigi Infosüsteemi Ameti turvaintsidentide käsitlemise osakonda (CERT-EE) olulistest turvaintsidentidest.

(7) Infovara kasutaja ülesanded infoturbe halduses on:

1) tagada oma töövaldkonnas infoturbe nõuete ja kordade täitmine;

2) teatada turvaintsidentidest vastavalt kehtestatud korrale;

3) pidevalt täiendada oma teadmisi infoturbe valdkonnas;

4) vastutada tema kasutusse antud IT-varade säilimise eest.

(8) IT- ja haldusspetsialisti ülesanded infoturbe halduses on:

1) infotehnoloogiliste haldusetegevuste teostamine, turvameetmete rakendamine, riskide haldamine ja IT meetmete rakendamise koordineerimine vastavalt E-ITS infoturbe meetmete rakendusplaanile;

2) esmastele turvaintsidentidele reageerimine ja vajadusel infoturbejuhiga ühendust võtmine.

(9) Andmekaitsespetsialisti ülesanded infoturbe halduses on:

1) hallata ja kontrollida juurdepääsude andmist andmekogudesse;

2) tagada, et andmete töötlemine vastab isikuandmete kaitse seadusele ja GDPR-ile;

3) koordineerida ja dokumenteerida IT-süsteemidega seotuid muudatusi;

4) auditeerimisprotsesside toetamine projektide ja muudatuste haldamise kaudu.

5) koordineerida Vallavalitsuse strateegilisi otsuseid infoturbejuhtimise vajaduste ja teadlikkuse edastamiseks.

§ 6. Infoturbe halduse protsess

(1) Infoturbe halduse protsessi eesmärk on Vallavalitsuse põhiprotsessi ja selle tugiprotsesside teabe konfidentsiaalsuse, tervikluse ja käideldavuse tagamine nõutud tasemel, rakendades organisatsioonilisi, infotehnoloogilisi ja füüsilisi turvameetmeid.

(2) Vallavalitsuse infoturbe dokumentatsiooni kuuluvad lisaks infoturvapoliitikale vallavanema käskkirjaga kehtestatud korrad järgmiselt:

1) Arvuti ja IT süsteemide kasutamise kord;

2) Teabe ja andmehalduse kord;

3) Identiteedi ja pääsuhalduse kord;

4) Turvaintsidentide halduse kord;

5) Krüptograafiliste turvameetmete kasutamise kord;

6) Infoturbekontseptsioon.;

7) Infoturbe auditeerimise kord.

(3) Muud juhised ja hea tava reeglid kehtestatakse kooskõlas kehtivate õigusaktidega ning rakendatakse vastavalt vajadusele.

(4) Lõigetes 2-3 loetletud dokumentatsiooni ülevaatus toimub vastavalt vajadusele kuid vähemalt üks kord aastas.

(5) Infoturvapoliitikat muudetakse, kui:

1) seda nõuavad turvaauditi tulemused;

2) muudatuse vajadus tuleneb E-ITS uue versiooni ilmumisest;

3) muudatuste vajaduse tingivad olulised tehnilised, organisatsioonilised või õiguslikud muutused või muud sisemised või välised asjaolud.

§ 7. Infoturbeintsidentide haldus ja kontrolljäljed

(1) E-ITS standardist ja riskihaldusest tulenevate meetmete rakendamist kontrollitakse vähemalt kord aastas.

(2) Infoturbe riske hallatakse regulaarselt kuid mitte harvem kui kord aastas.

(3) Sõltumatu läbivaatus - IT ja infoturbe tagamise läbivaatuse korraldab siseaudit kord aastas vahetult enne E-ITS põhi- või vaheauditit. Auditit tutvustatakse vallavalitsusele ja infoturbe töörühmale.

(4) Infoturbeintsidentide lahendamine toimub IT- ja haldusspetsialisti poolt koostöös infoturbejuhi või Riigi Infosüsteemi Ameti (RIA) suunistega.

§ 8. Lõppsätted

(1) Tunnistatakse kehtetuks Märjamaa vallavalitsuse 10.09.2025 määrus nr 6 „Märjamaa Vallavalitsuse infoturbepoliitika“.

(2) Määrus jõustub kolmandal päeval pärast Riigi Teatajas avaldamist.

abivallavanem vallavanema ülesannetes

Villu Karu

vallasekretär

Maigi Linna