Määrus kehtestatakse küberturvalisuse seaduse § 3 lõike 4 punkti 13 ja § 7 lõike 2 punkti 2 alusel.
§ 1. Üldsätted
(1) Infoturve keskendub teabe ja sellest sõltuvate äriprotsesside kaitsmisele ning sellest tulenevalt infotöötluse või infotehnoloogia kaitsmisele.
(2) Infoturbepoliitika eesmärk on reguleerida infoturbe valdkonda ning kirjeldada Märjamaa Vallavalitsuse (edaspidi ametiasutuse) üldist lähenemisviisi infoturbe tagamisel.
(3) Infoturbepoliitika määrab infoturbe üldise korralduse, põhimõtted ja vastutuse ning loob raami infoturbe eesmärkide püstitamiseks.
(4) Infoturbepoliitikaga on kohustatud tutvuma kõik ametiasutuse teenistujad ning isikud, kellele on loodud juurdepääs ametiasutuse varale.
(5) Infoturbepoliitika kujundamise ja rakendamise aluseks on Eesti infoturbestandard ning küberturvalisuse valdkonda reguleerivad seadused ja nende alusel kehtestatud õigusaktid.
(6) Infoturbepoliitikast lähtuvad või sellega oluliselt haakuvad infoturbedokumendid, mis hõlmavad üksikasjalikke kirjeldusi infoturbe eesmärkide saavutamise võtetest, kehtestatakse vallavanema käskkirjaga.
§ 2. Mõisted
(1) Käesolevas määruses kasutatakse mõisteid järgmises tähenduses:
1) infoturve – teabe käideldavuse, tervikluse ja konfidentsiaalsuse säilitamine;
2) teenistuja – isik, kes täidab ametiasutuses ametikohustusi või tööülesandeid;
3) andmed – informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks;
4) IT-süsteem – süsteemid ja seadmed, mis on seotud andmete töötlemisega (sh riistvara, tarkvara);
5) kontrolljälg logi - sündmuse toimumist tõendav andmeelement .
§ 3. Infoturbe eesmärk
(1) Infoturbe eesmärk on ametiasutuse valduses või kontrolli all oleva teabe tervikluse, käideldavuse ja konfidentsiaalsuse säilitamine ulatuses, mis võimaldab ametiasutuse ülesannete täitmist kooskõlas kohaliku omavalitsuse korralduse seadusega.
(2) Konkreetsed infoturbe eesmärgid sõnastatakse kooskõlas ametiasutuse strateegiliste eesmärkidega.
(3) Infoturbe eesmärgid lähtuvad infoturbe tähtsusest ametiasutusele, on realistlikud, praktilised (seotud toimingutega), põhjendatud, arusaadavad ja võimaluse korral mõõdetavad. Infoturbe eesmärkidele on määratud eesmärgi saavutamise tähtaeg.
(4) Ametiasutus vaatab infoturbe eesmärgid regulaarselt läbi ja vajadusel ajakohastab.
§ 4. Üldised infoturbe põhimõtted
(1) Üldine infoturbe vastutus on igal ametiasutuse teenistujal ja isikul, kellele on loodud juurdepääs ametiasutuse varale.
(2) Kõik teenistujad on kohustatud järgima asjakohaseid õigusakte, ametiasutuse poliitikaid ja sise-eeskirju.
(3) Kõik teenistujad on kohustatud ametiasutuse varasid ja andmeid kaitsma ka pärast tööaega ja väljaspool ametiasutuse territooriumi.
(4) Teenistusülesannete täitmisel tohib kasutada ainult selleks ette nähtud tarkvara ja IT-süsteeme.
(5) Turvasündmuse kahtluse korral on igaüks kohustatud teavitatama sellest koheselt kas:
1) telefonil 53027625;
2) ametiasutuse üldtelefonil;
3) e-posti aadressil it@marjamaa.ee või
4) pöördudes ametiasutuse kantseleisse aadressil Tehnika tn 11, Märjamaa, tuba 3.
(6) Irdandmekandjate kasutamine on keelatud.
§ 5. Infoturbe korraldus
(1) Märjamaa vallavalitsus (edaspidi vallavalitsus), kui täitevorgan, vastutab äriprotsesse ohustavate sündmuste käsitlemise, sh infoturbe halduse eest.
(2) Vallavalitsus vastutab infoturbe elluviimise, käigushoidmise ja täiendamise eest. Selleks määrab ta turbealased õigused ja kohustused ning eraldab ressursid.
(3) Vallavalitsus kinnitab infoturbepoliitika, turvaeesmärgid ja infoturbele ressursside eraldamise.
(4) Vallavalitsus aktsepteerib teenistujate tööga kaasnevaid infoturbekohustusi.
(5) Vallavalitsus täidab infoturbejuhi nimetamiseni või infoturbe juhtimise teenuslepingu sõlmimiseni infoturbejuhi rolli.
(6) Vallavalitsus tagab rollitäitjate pädevuse ja vajalike pädevustõendite säilitamise.
(7) Valdkonna infoturbe meetmete rakendamist korraldab valdkonna juht.
(8) Infoturbeprotsessi peavad olema kaasatud kõik teenistujad.
§ 6. Infoturbe rakendamine
(1) Infoturbepoliitika alusel kehtestab vallavanem käskkirjaga protsessikirjeldusi.
(2) Infoturbejuht plaanib ja koordineerib organisatsiooni infoturbealaseid tegevusi sh juhib infoturbepoliitika ning selle alusel loodavate juhendite koostamist ja rakendamist.
(3) Turvameetmete rakendamisel arvestatakse ametiaususe teenistujaid, nende tausta, teadmisi ning IT-süsteemide kasutamise kogemusi. Turvalisust parandatakse, analüüsides teenistujate turvakäitumist.
(4) Ametiasutuses rakendatav infoturve on normaalse tööprotsessi osa ning kooskõlas töö eesmärkidega.
(5) Ametiasutus turvameetmete rakendamisel mõjutab töötajate igapäevatööd võimalikult vähesel määral.
(6) Määratud turvameetmed tulenevad turvaeesmärkidest ja kaitsetarbest.
(7) Ametiasutuse turvameetmete valik võtab arvesse toimivust, tõhusust ja majanduslikku otstarbekust.
(8) Ametiasutus määrab infoturbe meetmete rakendusplaaniga minimaalsed turvameetmed lähtudes õigusaktidest tulenevatest nõuetest, standarditest, teenuslepetest ja muudest aktidest.
(9) Ametiasutus rakendab turvameetmeid tähtaegselt infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
(10) Vallavalitsusele esitatakse infoturbe kohta regulaarselt, õigeaegselt ja sobivas ulatuses järgmist teavet:
1) ametiasutuse ja selle teabe turvariskid ning nendega seotud toimed ja kulud;
2) turvaintsidentide toime äriprotsessidele;
3) regulatsioonidest (nt õigusaktid, eeskirjad, standardid) ja lepingutest tulenevad turvanõuded;
4) tegevusalale tüüpilised infoturbe protseduurid;
5) infoturbe hetkeseis ja sellest tulenevad tegevussoovitused (infoturbe meetmete rakendusplaan);
6) infoturbeprotsessi täiendusettepanekud (sh sõltumatu läbivaatuse ja auditeerimise tulemid);
7) huvipooltega seotud kohustused ja tagasiside.
(11) Ametiasutuse tegevust kahjulikult mõjutada võivate toimingute ja sündmuste regulaarseks hindamiseks viiakse vähemalt igal aastal läbi riskianalüüs.
(12) Ametiasutuse riskihaldus põhineb EITS riskihaldusjuhendil ja ISO 27005 standardil.
(13) Ametiasutuse riskijuhtimisele esitatavad nõuded kehtestatakse riskihalduse juhendiga.
(14) Ametiasutuse riskide vähendamiseks rakendatakse turvameetmeid vastavalt infoturbepoliitikale ja infovaradele määratud kaitsetarbele.
(15) Vallavalitsus teadvustab ja aktsepteerib regulaarselt jääkriskid ning kinnitab nende alusel rakendusplaani.
§ 7. Lõppsätted
(1) Kõik erisused käesolevast infoturbepoliitikast kinnitab vallavanem käskkirjaga.
(2) Käesolevat infoturbepoliitikat ja selle alusel koostatud juhendite sisu ajakohasust hinnatakse vähemalt üks kord aastas või infoturbe olukorra oluliste muutuste aset leidmisel.
(3) Määrus jõustub kolmandal päeval pärast Riigi Teatajas avaldamist
vallavanem
Triin Matsalu
vallasekretär
Maigi Linna