Kinnitatud
Kohtla-Järve Lasteaia Punamütsike
direktori käskkirjaga
nr 08/2-2
23. mai 2019.a.
Infoturbe juhend
1. EESMÄRK ja üldpõhimõtted
1.1. Infoturbe juhendi eesmärgiks on reguleerida Kohtla-Järve Lasteaia Punamütsike infotehnoloogia (edaspidi „asutus“) ala üldist korraldust, tagada infosüsteemide terviklus, konfidentsiaalsus ja käideldavus ning nende infosüsteemide organisatsiooni kooskõla kehtivate õigusaktide, tegevuskavade, standardite, protseduuride ja juhenditega.
1.2. Infotehnoloogia ala üldine korraldus asutuses peab tagama sobiva toe asutuse eesmärkide täitmisele.
1.3. Infoturve tuleb tagada ulatuses, mis võimaldaks asutuses kõige tõenäolisemate ohtude realiseerumisel häireteta oma ülesandeid täita. Turbemeetmed peavad olema majanduslikult õigustatud ning nende rakendamisest tulenev häiriv toime asutuse tegevusele ja töötajatele peab olema võimalikult väike.
1.4. Asutuses tuleb tagada järgmiste varade turvalisus, käideldavus ja terviklus:
1.4.1. kõik ELIIS, EKIS, EHIS kirjeldatakse ülevaatuse dokumendis, mida uuendatakse kord aastas. Infovaradeks on:
(a) isikuandmed sh laste, külastajate ja töötajate isikuandmed.
(b) taristu: ruumid ja tehnovõrgud;
(c) riistvara ehk riistvaravahendid (serverid, lauaarvutid, sülearvutid, arvutite välisseadmed nagu printerid, skännerid, koopiamasinad jms ning arvutivõrgu taristu seadmed), nende tehnilised kirjeldused, infovarade dokumentatsioon;
(d) sideaparatuur (telefonikaabeldus, telefonid, sh mobiiltelefonid, tulemüürid, ruuterid, modemid jm andmesideaparatuur, andmeside kaabeldus);
(e) süsteem- ja rakendustarkvara.
1.5. Turvalisust puudutavate õigusaktide (sh isikuandmete, töötervishoiu, tööohutuse ja tuleohutuse regulatsioonide) täitmiseks tuleb vajadusel vastavate objektide ja protsesside puhul rakendada turvalisuse erimeetmeid.
1.6. Turbemeetmete üldise metoodilise valimise, levitamise ja halduse aluseks on Eesti avalikus sektoris kaustatav infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE, https://www.riigiteataja.ee/akt/13125331). Lisaks kasutatakse rahvusvahelist standardit ISO/IEC 27001 INFOTEHNOLOOGIA Turbemeetodid Infoturbe halduse süsteemid. Nõuded ning Center for Internet Security infoturbe raamistikku (CIS Controls, www.cisecurity.org).
2. IT organisatsioon
2.1. Vastutus IT ala üldise korralduse ja infoturbe tagamise eest on asutuse juhtkonnal. Juhtkond kasutab Kohtla-Järve Linnavalitsuse poolt teenust.
2.2. Infoturbe juhendi kujundamisel ja rakendamisel lähtutakse põhimõttest, et IT arenduse, hooldamise, kasutamise ja kontrolli funktsioonid oleksid lahus. Juhul, kui töökohustustele lahususe sisse viimine ei ole võimalik, tuleb rakendada riskide maandamiseks muid täiendavaid kontrolle. Tulenevalt asutuse organisatsiooni väiksusest võib sisuliselt võimatuks osutuda IT arenduse ja halduse lahutamine. Hooldusteenus ostetakse asjakohaselt teenusepakkujalt.
2.3. Kui infotehnoloogia-alane oskusteave ostetakse asutusse väljastpoolt, määrab juhtkond valdkonnad, kus võib kasutada edasi andmist ning kelle poolt ja kuidas edasiantud teenuseid hallatakse.
2.4. Asutus lähtub IT teenuste ostmisel järgnevatest põhinõuetest:
2.4.1. infotehnoloogia-alaste teenuste osutamise kogemus ja
2.4.2. teenuste maht viimastel aastatel;
2.4.3. väga head teadmised infosüsteemide, arvuti riistvara, standardtarkvara, kontoritarkvara, viirustõrje vahendite ja arvutivõrgu toimimise, ülesehituse ning turvalisuse tagamise põhimõtete kohta;
2.4.4. muud nõuded, mis tulenevad eelpooltoodutest ning vastavad asutuse spetsiifikale.
2.5. Juhtkond korraldab kõigile töötajatele kord aastas infoturbe koolitused.
3. IT investeeringute juhtimine
3.1. IT halduskulude maht määratakse asutuse eelarves juhtkond.
3.2. Eelarve sisaldab riistvarainvesteeringuid, jooksvaid kulusid haldusele ja hooldamisele ning tarkvaralitsentside soetamist.
4. Riskianalüüs ja -haldus
4.1. Infotehnoloogiaga seotud riskide haldamise eest vastutab juhtkond.
4.2. Asutuse tegevuse seisukohalt on oluline eeskätt alljärgnevate infovarade turvalisus, samuti andmebaaside tehnilised kirjeldused ja dokumentatsioon:
4.2.1. keskmise konfidentsiaalsusnõudega infovarad, sh kõik isikuandmed, lepingud jms andmed, mille avalikustamine võib mõõdukalt kahjustada asutuse tegevust, usaldusväärsust, mainet ja konkurentsivõimet;
4.2.2. olulise konfidentsiaalsusega infovarad, sh konfidentsiaalsuslepinguga seotud isikuanded;
4.2.3. personaliandmeid sisaldavad infovarad, mille puhul on oluline konfidentsiaalsus, sh õpitulemused, toimikud, töölepingud, palgaandmed, terviseandmed;
4.2.4. konfidentsiaalsust nõudvad töökorraldusandmeid sisaldavad infovarad, sh ärisaladust sisaldavate tööde korraldus ja täitjad, turbemehhanismide haldusandmed;
4.2.5. abiandmed, mille puhul on oluline käideldavus ja terviklus, sh taristu haldusandmed, töövahendite ja taristu dokumentatsioon.
4.3. Asutuse infotehnoloogia riskihalduses juhindutakse järgmistest põhimõtetest:
4.3.1. kulutused IT turvalisusele ja IT teenustele peavad olema põhjendatud riski- ja tasuvuse hinnangutega;
4.3.2. riskide hindamine kaasneb iga olulise muudatusega infosüsteemides või protsessides.
4.4. Riskianalüüsi käigus selgitatakse välja võimalikud ohud ja nõrkused, hinnatakse ohtude realiseerumise tõenäosust ja nendega kaasnevaid kahjusid, valitakse sobivad meetmed ohtude realiseerumise mõju vähendamiseks, hinnatakse nende tasuvust ja otsustatakse aktsepteeritava jääkriski suurus.
4.5. Infotehnoloogilise süsteemi muutuste planeerimisel tehakse kindlaks, kas ja kuidas muutus mõjutab süsteemi ja protsessi turvalisust ning vähendatakse igakülgselt muudatustega kaasnevate riskide mõju.
5. Projektide haldus
5.1. Infotehnoloogiaga seotud projektide haldamisel lähtutakse põhimõttest, et iga olulisim arendustegevuse projekt infotehnoloogia valdkonnas peab:
5.1.1. omama täpselt määratud ja mõõdetavat eesmärki;
5.1.2. omama täpset alguse ja lõpu tähtpäeva;
5.1.3. lähtuma asutuse vajadustest.
5.2. Otsuse projektide käivitamise kohta teeb juhtkond.
5.3. Iga projekti elluviimiseks moodustatakse projektiorganisatsioon.
5.4. Projektiorganisatsioon raporteerib projekti käigust, eelarvest ja ajakavast juhtkonnale.
6. Süsteemiarendus
6.1. Põhitegevuse nõuete täitmiseks sobivate lahenduste loomiseks viiakse läbi eelnev kasutajanõuete väljaselgitamine, alternatiivsete lahenduste hindamine ja andmekaitse mõjuanalüüs.
6.2. Lahenduse väljatöötamisel spetsifitseeritakse lahenduse funktsionaalsed ja toimimise nõuded, sealhulgas hooldatavus, jõudlus, töökindlus, seire, turvalisus ja ühilduvus olemasolevate süsteemidega.
6.3. Juhtkonna otsus arendusprojekti alustamise ja alternatiivse lahenduse valiku osas tehakse tuginedes teostatavusanalüüsile, milles näidatakse ära projekti tehniline, operatsiooniline ning majanduslik põhjendatus.
7. Protseduuride haldus
7.1. Infosüsteemi haldamine ja kasutamine viiakse läbi IT juhtimise parimaid praktikaid järgides.
7.2. Infosüsteemis muudatuste tegemisel muudetakse ka vastavaid protseduure ning teavitatakse kasutajaid tehtud muudatustest, kui see kasutajate andmeid puudutab.
8. Väliste teenusepakkujate kasutamine
8.1. Tegevuse edasiandmise põhimõtted
8.1.1. Asutus võib anda edasi tegevusi, mille täitmiseks kohapeal puudub ressurss või mille osutamine selleks spetsialiseerunud teenuse osutajate poolt on efektiivsem. Tegevused, mida asutus võib IT valdkonna osas anda edasi kolmandatele isikutele täielikult või osaliselt on järgmised:
(a) infosüsteemide majutus ja haldus;
(b) serverite majutus;
(c) serverite riist- ja tarkvara hooldus ning administreerimine;
(d) töökohaarvutite hooldus ja kasutajatugi;
(e) võrguseadmiste ja –ühenduste hooldus;
(f) tarkvara arendamine ja haldus;
(g) muud tegevused asutuse juhtkonna otsuse alusel.
8.1.2. Iga konkreetse tegevuse edasiandmise ning teenuse osutaja valiku otsustab juhtkond. Juhtkond korraldab ka järelevalve üleantud tegevuste ja teenuse osutaja üle.
8.1.3. Tegevuse edasiandmise vajaduse määratlemiseks analüüsib juhtkond teenuse üleandmise vajadust ja võimalikke teenuse osutajaid, võttes arvesse punktis 8.2 sätestatut.
8.1.4. Analüüsi käigus tuleb keskenduda tegevuse edasiandmisega kaasnevate riskide väljaselgitamisele, leides vastused järgmistele küsimustele:
(a) millised konkreetsed riskid kaasnevad tegevuse edasiandmisega?
(b) milline on planeeritav tulu tegevuse edasiandmisest ja millised on tegevuse edasiandmisega seonduvad kulud?
8.1.5. Kui analüüsi tulemusena selgub, et tegevuse edasiandmine ei takista asutuse igapäevast tegevust ega kohustuste täitmist lepingupartnerite, kolmandate isikute ja pädevate ametiasutuste ees ehk tegevuse edasiandmisel ei teki olukorda, kus lepingupartnerite huvid, eriti isikuandmete osas, oleks konkreetse teenuse raames kahjustatud võrreldes olukorraga, kus vastavaid ülesandeid täidaks asutus ise, võib juhtkond otsustada tegevuse edasiandmise.
8.2. Nõuded teenuse osutajale
8.2.1. Juhtkond korraldab teenuse osutaja suhtes põhjaliku taustauuringu, mille käigus hindab konkreetse teenuse osutaja sobivust ülesannete täitmiseks ning temaga seonduvaid riske, võttes arvesse muuhulgas teenuse osutaja ja temaga samasse konsolideerimisgruppi kuuluvate isikute kvalifikatsiooni ja tegevust, finantsseisundit, mainet ja kogemust, struktuuri ning muid sisemise töökorraldusega seonduvaid asjaolusid.
8.2.2. Teenuse osutaja valikul peab arvesse võtma järgnevat:
(a) teenuse osutajal on vajalik kvalifikatsioon ning kõik õigusaktidega nõutavad load ja litsentsid ning ta on võimeline võetud kohustusi täitma ning asutusel on õigus kontrollida teenuse osutaja teenuse osutamisega seotud tegevust;
(b) teenuse osutaja peab olema suuteline täitma asutusele omaseid tegevusnõudeid ja hoolsuskohustust ja tagama teenuse parima kvaliteedi;
(c) teenuse osutaja reputatsioon peab olema laitmatu – teenuse osutaja ei tohi olla kriminaal- või halduskorras karistatud, arvesse tuleb võtta ka saadud trahvid, litsentsinõuete rikkumised, käimasolevate kohtuprotsesside arv ja olulisus;
(d) teenuse osutaja peab olema võimeline oma kohustusi jätkusuutlikult täitma;
(e) teenuse osutaja peab teostama talle edasiantud teenuse osutamise üle piisavat kontrolli ja juhtima adekvaatselt tegevusega seotud riske;
(f) teenuse osutaja peab tagama konfidentsiaalse info sh isikuandmete turvalisuse, välistama huvide konfliktid ja tagama läbipaistva juhtimise;
(g) teenuse osutaja tegevuse üle peab asutusel olema võimalik teostada kontrolli ja järelevalvet;
(h) piiriülese teenuse pakkujaga ei tohi kaasneda riikide erinevast õigusruumist tekkivaid riske, või peavad need olema maandatud omavahelises lepingus.
8.3. Nõuded tegevuse edasiandmise lepingule
8.3.1. Tegevuse edasiandmise leping peab olema kirjalik, määratledes täpselt edasiantava tegevuse ja selle ulatuse ning sisaldama järgnevat:
(a) nõuded osutavale teenusele ja teenuse osutajale ning kirjalik informeerimiskohustus tegevuse edasiandmisega seotud oluliste asjaolude muutumisest teavitamiseks;
(b) asutuse juurdepääsuõigus teabele ja andmetele, mis on edasi antud ülesannete täitmisega seotud;
(c) teenuse osutaja kohustus teavitada asutust viivitamatult asjaolust, mis võib oluliselt mõjutada tema võimet täita edasiantud ülesandeid nõuetekohaselt ja tulemuslikult;
(d) vastutus teenuse osutaja poolsel kohustuste rikkumisel;
(e) teenuse osutaja poolt kohustuste mittekohasel täitmisel rakendatavad meetmed – leppetrahvid, lepingu ennetähtaegse lõpetamise õigus asutuse poolt ilma tegevust oluliselt häirimata;
(f) edasiantud tegevusega seotud ülesannete täitmiseks vajaliku ja/või ülesannete täitmisega omandatava materiaalse ja mittemateriaalse vara kuuluvus, selle kasutamise, üleandmise ja tagastamise kord ning tingimused;
(g) nõuded infosüsteemidele;
(h) konfidentsiaalsuskohustus ja range keeld kasutada teenuse osutamisel teatavaks saanud konfidentsiaalset teavet eesmärgipäratult (muuks otstarbeks, kui oma lepingust tulenevate kohustuste täitmiseks);
(i) tagatised ja garantiid;
(j) tegevuse täiendava edasiandmise nõusolek või keeld. Juhul kui tegevuse täiendav edasiandmine teenuse osutaja poolt on lubatud, siis peab asutusel säilima võimalus teostada samaväärset kontrolli edasiantud tegevuse osutamise üle;
(k) lepingu muutmise, lõppemise ja lõpetamise (sealhulgas nii korralise kui ka erakorralise lõpetamise) alused, tingimused ja kord, sealhulgas õigus vajaduse korral leping lõpetada mõistliku etteteatamise tähtajaga;
(l) kohustused, mida tuleb täita pärast lepingulise suhte lõppemist;
(m) kohaldatav õigus ja vaidluste lahendamise kord, sh kohtualluvus;
(n) tasu osutatavate teenuste eest.
8.4. Perioodiline kontroll ja järelevalve edasiantud tegevuse ja teenuse osutaja üle
8.4.1. Juhtkond teeb edasiantud tegevuse ja teenuse osutaja üle regulaarset kontrolli ja järelevalvet. Kontrolli tehakse vähemalt kord aastas. Kontrolli tulemused säilitatakse vähemalt 3 aastat.
8.4.2. Juhtkond vaatab vähemalt kord aastas üle osutatavate teenuste vastavuse lepingute tingimustele ja asutuse vajadustele.
9. Infovarade haldus
9.1. Juhtkond vastutab infovarade (s.h. andmed, riistavara, tarkvara, litsentsid jm) üle arvestuse pidamise eest. Infovarad peavad olema dokumenteeritud, arvuliselt või kvalitatiivselt hinnatud ja kantud infovarade kaardistuse tabelisse ning isikuandmed töödeldavate isikuandmete ülevaatesse.
9.2. Infovarade hindamisel tuleb arvestada lisaks vara otsesele rahalisele väärtusele selle võimalikust turberikkest (hävimisest, kahjustusest, andmelekkest) tulenevat kaudset kahju tööprotsesside pidurdumise, asutuse mainekahjustuste jms näol.
9.3. Infovarade kasutusele võtmisel lähtutakse järgmistest põhimõtetest:
9.3.1. infovara peab olema hangitud legaalselt;
9.3.2. kõik infovarade kasutusviisid peavad olema legaalsed;
9.4. Juhtkond kontrollib kord aastas infovarade nimekirja ning töökohaarvutitesse paigutatud tarkvara ja litsentsilepingute kehtivust.
10. infoturbe kavandamine
10.1. Turbe kavandamisel, rakendamisel ja haldamisel loetakse tüüpiliste ohtude hulgas peamisteks alljärgnevad, võttes need aluseks turbemeetmete valimisel:
10.1.1. stiihilised ohud:
(a) tulekahju,
(b) vee- ja kustutuskahjustused, sh sadevee, torustike avarii jms tõttu;
(c) inimeksitus, nagu vilumatus, väsimus, tervisehäiretest tulenevad eksimused;
(d) elektrikatkestus ja elektritoite kvaliteedi kõikumine;
(e) riistvara tõrge;
(f) välise sideteenuse katkestus;
(g) tehnilised rikked;
(h) vääramatu jõud;
(i) töötajate haigestumine, lahkumine;
(j) elektromagnetilised häired;
(k) andmekandjate defektid,
(l) vead programmides;
(m) ressursinappus;
10.1.2. rünne:
(a) vargus;
(b) viirus või muu pahavara;
(c) sissetung sisevõrku avalikust võrgust;
(d) hajus teenusetõkestus (DDoS) võrgust;
(e) sisemise arvutivõrgu pealtkuulamine;
(f) suulise suhtluse pealtkuulamine;
(g) töötajate sihilikult turvalisust kahjustav käitumine;
(h) ründed sisevõrgust;
(i) andmete sihilik muutmine;
(j) seadmete hävitamine;
(k) paroolide üleandmine teistele isikutele;
(l) paroolide üleskirjutamine ja vale hoidmine;
(m) volitamata sissepääs;
(n) tarkvara hävitamine;
(o) vandalism.
11. infovarade kasutamine ja pääsuõigused
11.1. Infovarade kasutamisel lähtutakse põhimõttest, et infovarade kasutajad tuleb identifitseerida ja autoriseerida. Vastavalt infovarade tundlikkusele kehtestab juhtkond kasutajate identifitseerimise ja autoriseerimise tasemed.
11.2. Infovarade kasutajateks on: õpetajad, lapsed, juhtkond.
11.3. Kõiki õpetajaid, juhtkonna liikmeid teavitatakse neile esitatavatest konfidentsiaalsusnõuetest, turvarollidest ja vastutusest. Eeldatakse, et nad on teadlikud oma kohustustest ja vastutusest infovarade infoturbe tagamisel. Juhtkond koordineerib kõiki tegevusi turvalisuse tagamiseks.
11.4. Infovarade kasutajatele, kes suhtlevad asutuse töötajatega asutuses kasutatavate infosüsteemide kaudu luuakse konto, mille kasutamise ja edastatavate andmete kasutamise kohta antakse teave asutuse andmetöötlus põhimõtteid käsitlevates dokumentides.
11.5. Õppeinfosüsteemide kasutajatele luuakse konto, mille andmeid kasutatakse vaid õppetööks ja sellega seonduvaks infovahetuseks.
11.6. Igale asutuse töötajale antakse asutuse informatsioonile juurdepääs vastavalt tema tööülesannetele.
11.7. Juurdepääsuõiguste andmisel asutuse infosüsteemis lähtutakse konkreetse töötaja tööülesannetest ning vastavale töötajale esitatavatest konfidentsiaalsusnõuetest, turvarollidest ja vastutusest, mis võivad olla täpsemalt reguleeritud:
11.7.1. juhtkonna liikme lepingus või töölepingus;
11.7.2. ametijuhendis;
11.7.3. asutuse sisekorraeeskirjades ning seda täiendavates infoturbe reeglites ja eeskirjades;
11.7.4. asutuse infoturbe koolituse materjalides.
11.8. Kasutajakontosid kaitstakse pääsuõigustega. Iga kasutaja on kohustatud oma pääsuõigusi hoidma saladuses. Pääsuõiguste kasutamisel selleks mitteautoriseeritud isiku poolt säilib kasutajakonto omaniku vastutus kõigi tema kasutajakonto abil tehtud tegevuste eest infosüsteemides.
11.9. Pääsuõigusi kohaldatakse järgmistel juhtudel:
11.9.1. asutuse infosüsteemidele ja õpi-infosüsteemidele ligipääs;
11.9.2. töökoha, klassi või üldkasutatavale arvutile ligipääs;
11.9.3. andmesidevõrku ligipääs;
11.9.4. operatsioonisüsteemidele ligipääs;
11.9.5. rakendustele ja andmebaasidele ligipääs;
11.9.6. mobiilne- ja kaugjuurdepääs infovaradele;
11.9.7. ajutiste töötajate ja väliste kasutajate ligipääs infosüsteemile;
11.9.8. muud eelpool loetletud juhtudest tulenevad või neile sarnanevad ligipääsud.
11.10. Pääsuõiguste andmisel ja sellega seonduvas töökorralduses lähtutakse põhimõttest, et infovara kasutaja peab olema asutuse poolt piisava kindlusega tuvastatav.
11.11. Asutuse infosüsteemides kasutatavatele paroolidele kehtivad järgmised miinimumnõuded:
11.11.1. parool ei tohi olla kergesti äraarvatav (näiteks enda või asutuse nimi, auto number, sünnikuupäev, lapse nimi või muu kasutajaga seotud info või juba kasutatud paroolile sarnane parool);
11.11.2. paroolis peab olema vähemalt üks suur täht, üks väike täht ja üks number;
11.11.3. parooli pikkus peab olema vähemalt 8 märki;
11.11.4. paroole vahetatakse regulaarselt vähemalt kord aastas;
11.11.5. paroolide vahetamise käigus ei tohi uuesti kasutusele võtta juba kasutusel olnud paroole;
11.11.6. parooli turvataseme jälgimiseks peab võimalusel olema rakendatud tarkvaraline kontrollmehhanism, mis ei luba kasutajal valida nõuetele mittevastavat parooli;
11.11.7. tarkvara, seadmete jmt. tootja poolt seatud paroolid tuleb välja vahetada.
11.12. Kasutajal on paroolide kasutamisel järgnevad kohustused:
11.12.1. parooli sisestamine peab toimuma nii, et teistel isikutel ei ole võimalik sisestamise käigus tuvastada sisestatud parooli;
11.12.2. parooli ei tohi üle anda ega teatavaks teha teistele isikutele;
11.12.3. kui on teatavaks saanud paroolide sattumine teiste isikute kätte, tuleb viivitamatult vana parool välja vahetada uue vastu ja informeerida juhtunust juhtkonda;
11.12.4. paroole ja kasutajatunnuseid ei tohi edastada ebaturvaliste kanalite kaudu (elektrooniline kiri, paberile kirjutatud lahtised märkmed jne.).
11.13. Süsteemi-, võrgu- ja muude halduse paroolidest (administraatori paroolid) peavad olema kirjalikud avariieksemplarid ja neid tuleb säilitada pitseeritud ümbrikes, mis on omakorda paigutatud tulekindlasse seifi.
11.14. Juhtkond kontrollib kasutajate pääsuõiguste vastavust tegelikele vajadustele vähemalt üks kord aasta jooksul.
11.15. Juhtkond võib ette näha kasutajakontode halduse täpsema korra.
12. Füüsiline turve
12.1. Olulistes ruumides peab olema paigaldatud valvesignalisatsioon ja sõlmitud valveleping turvafirmaga.
12.2. Töötajad kasutavad töös tühja laua poliitikast st töökohalt lahkudes ei ole laual liigseid dokumente. Lühiajalise lahkumise korral on arvuti kaitstud vähemalt ekraanisäästja parooliga. Tööpäeva lõpus lülitatakse arvuti välja.
12.3. Piiratud juurdepääsuga alade kaitseks kasutatakse füüsilisi (nt ruum lukustatakse) ja loogilisi juurdepääsukontrolle selliselt, et ainult volitatud isikud saavad piirkonda sissepääsu ning sellised sissepääsud fikseeritakse.
12.4. Piiratud juurdepääsuga alade puhul välditakse nende tähistamist üldarusaadavalt ja kandmist viidetele. Kogu kaabeldus (elektri-, andmeside-, telefoni-, signalisatsioonsüsteemi- jm kaabeldus) peab olema tähistatud ja dokumenteeritud ning paiknema varjatult. Kaabelduse dokumentatsioon peab sisaldama kaablite täpset asukohta hoone põhiplaanil, kaablite tehnilisi andmeid (mark, läbilaskevõime), kaablite markeeringut (värvus, jaotusseadmetes asuvad tähised jms.), jaotusseadmete asukohta ja tüüpi ning kaablite ja jaotusseadmete paigaldus- ja parandusaegu. Turvaliste piirkondade planeerimisel välditakse nende rajamist akendega ruumi.
12.5. Teenusepakkujate kasutamisel (nt ruumide koristus ja hooldus) rakendatakse punktis 8 toodud üldiseid ja selle teenuse jaoks asjakohaseid põhimõtteid, mis tagavad teenuseosutaja vastutuse ja asutuse varade turvalisuse.
13. Side ja operatsioonide turve
13.1. Piiratud juurdepääsuga alasid jälgitakse võimalike kahjustuste ennetamiseks ja kahjustuste korral nende kiireks avastamiseks.
13.2. Originaalandmete hävimise või riknemise vältimiseks tehakse andmetest varukoopiad.
13.3. Varukoopiaid tehakse vähemalt kord kuus. Juhtkond võib määrata, millistest andmetest tuleb varukoopiaid teha tihemini. Varundamise protsessi juhib hooldusteenuse või majutuse pakkuja. Kui varukoopia tehakse asutuse ruumides asuvasse seadmesse, siis tehakse lisaks varukoopiast koopia füüsiliselt muus asukohas olevale, kuid sarnase turvalisuse astmega kohta.
13.4. Varukoopiaid säilitatakse vähemalt kolm kuud. Kõikidele dokumentidele ja andmetele määratakse säilitustähtajad asjaajamise korras sõltumata, kas need on kehtestatud asjakohase seadusandlusega või on need asutuse enda kehtestada.
13.5. Varukoopiate kasutuskõlblikkust ning täielikkust kontrollitakse regulaarselt, vähemalt kord kvartalis. Varukoopia testtaastamise kohta vormistab testtaastamise läbiviija protokolli, kus on ära toodud testtaastamise aeg, taastatud andmete koosseis, testtaastamiseks kulunud aeg jt. ressursid ning testtaastamise tulemused. Testtaastamise protokollid säilitatakse ja arhiveeritakse.
13.6. Iga kriitilise infosüsteemi või andmekogu jaoks peab eksisteerima taasteplaan õnnetusjuhtumi tagajärgede kõrvaldamiseks.
13.7. Varukoopialt peab olema võimalik taastada kõikide infosüsteemide algandmed eelneva tööpäeva lõpu seisuga mistahes rikke toimumise päeval.
13.8. Juhtkond võib ette näha varundamise protsessi ja selle tehnilise toimimise täpsema korra, sealhulgas ligipääsu varukoopiatele ning andmekandjate hoidmise, säilimise ja vastutusega seonduvad küsimused.
13.9. Sülearvuti kasutajatele võimaldatakse vajaduse korral kaugligipääs asutuse infosüsteemi avalikust internetist. Kaugligipääsu võimaldamiseks kasutatakse https- ühendust ja/või samaväärseid või kõrgemaid turvameetmeid pakkuvat VPN lahendust. VPN ühendus peab olema krüpteeritud.
13.10. Sülearvutite kasutamisel väljapool asutuse ruume peab:
- olema nendesse installeeritud operatsioonisüsteemist sõltumatu tulemüür;
- tohib kasutada Wifi võrke, milles kasutatakse WPA või samalaadse turvalisusega juurdepääsu protokolle.
13.11. Administreerimiseks vajalik ligipääs serveritele lubatakse administreerimiseks vajalik ligipääs ka teenuse osutaja võrgust.
13.12. Asutuses kasutatakse viirusetõrjeks kõikidele arvutitele installeeritud residentses režiimis töötavat viirusetõrjetarkvara. Seadmete külge ühendatud väliseid andmekandjad tuleb enne kasutuselevõtu lubamist automaatselt kontrollida viirustõrje süsteemi poolt. Hooldusteenuse pakkuja korraldab, et viirusetõrje tarkvara oleks kaasaegne ning õigesti konfigureeritud ja võimaldaks automaatsete uuenduste paigaldamist.
13.13. Elektroonilises kirjavahetuses lähtutakse järgmistest põhimõtetest:
13.13.1. sisemine elektrooniline kirjavahetus ei tohi sattuda välisabonendile (ka tsiteerituna);
13.13.2. välisvõrku saadetud elektroonilised kirjad peavad sisaldama saatja pärisnime;
13.13.3. sisenevad ja väljuvad elektroonilised kirjad tuleb allutada automaatsele viirusekontrollile.
13.14. Sisenevates elektroonilistes kirjades on aktiivsisu (.exe, .vbs jmt) ei ole lubatud.
13.15. Võimaluse korral tuleb vältida makrosid võimaldavate vormingutega dokumentide saatmist elektroonilise kirja teel ning eelistada dokumentide saatmist .pdf formaadis.
13.16. Välise osapoolega info vahetamisel lähtutakse järgmistest põhimõtetest:
13.16.1. välisele osapoolele materjalide üleandmiseks kasutataval andmekandjal ei tohi olla mingeid asjassepuutumatuid materjale ega peitandmeid;
13.16.2. välisele osapoolele üleantavas arvutustehnikas ja andmekandjatel ei tohi olla liigseid programme ega andmeid ning üleantav tarkvara peab vastama kõigile autorikaitse- ja litsentsitingimustele;
13.16.3. väliselt osapoolelt materjalide vastuvõtmisel kasutataval andmekandjal tuleb vastuvõtja poolt sooritada andmete viiruse- ja nuhkvarakontroll;
13.16.4. Suhtlustarkvara kasutamisel on rangelt keelatud tundmatu kontakti poolt saadetud failide vastu võtmine ja veebiviidete avamine. Enne igasuguse kontakti (ka tuntud ja usaldatud) poolt saadetud faili vastu võtmist või veebiviite avamist tuleb alati küsida saatjalt kinnitust faili või veebiviite sisu ja ohutuse kohta.
13.17. Ühegi laua- ega sülearvuti kõvakettal ei või hoida pikaajaliselt asutuse jaoks säilitamist vajavaid andmeid. Kõik tööga seotud dokumendid tuleb üldjuhul hoida välisel meedial (v.a. mälupulgad) või välistel võrguketastel.
13.18. Vajadusel rakendatakse informatsiooni kaitseks krüpteerimist. Juhtkond võib ette näha krüpteerimise rakendamise täpsema korra, näidates ära, millistel juhtudel on andmete krüpteerimine kohustuslik ning määrates kasutatava krüptograafilise algoritmi, minimaalsed krüptovõtme pikkused ja selle kuidas krüptograafilisi võtmeid hallatakse.
13.19. Välisele andmekandjale (mälupulk, laserketas) võib andmeid salvestada tagades andmete turvalisuse, kusjuures tundlikku informatsiooni sisaldavad andmeid on lubatud salvestada välisele andmekandjale ainult krüpteerituna. Kõik välised andmekandjad peavad olema märgistatud.
13.20. Kasutajate arvutite ja mobiilsete seadmete Wifi, Bluetooth ja infrapunaliidesed peavad olema välja lülitatud kui neid parasjagu ei kasutata. Tõkestatud peab olema mikrofoni ja kaamera volitamata kasutamine.
13.21. Kõigisse mobiilsetesse seadmetesse (arvutid, tahvelarvutid, e-lugerid, mobiiltelefonid jms), mis on töötajate käes ja võivad sisaldada asutuse jaoks konfidentsiaalseid andmeid (e‑kirjad, dokumendid, sissepääsu paroolid vms), tuleb enne seadme kasutamist ainult kasutajale teadaoleva parooli sisestamine muuta kohustuslikuks peale seadme 5 minutilist mitte aktiivset kasutamist. Kasutajate arvutite BIOS-i seadistustele ligipääs peab olema parooliga kaitstud, sealjuures operatsioonisüsteemi alglaadimise järjekord BIOS-is peab olema selline, et esmalt üritatakse sooritada alglaadimine kõvakettalt ning alles seejärel välistelt andmekandjatelt (CD/DVD, USB liidesega seade jne.).
13.22. Mobiiltelefoni on lubatud salvestada e-kirju (sünkroniseerida elektronkirja serveriga) ja muid tundlikku informatsiooni sisaldavaid andmeid ainult juhul, kui mobiiltelefoni sisu on kaitstud krüpteerimist võimaldava tarkvaraga. Kalendrikandeid on erandina lubatud salvestada (sünkroniseerida serveriga) ka mobiiltelefoni, millel krüpteerimist võimaldav tarkvara puudub.
14. krüptokontseptsioon
14.1. Vastuvõtlikkus ohtudele ja motivatsioon.
14.1.1. Tüüpiliste ohtudeks loetakse käesolevas juhendis:
(a) krüpteerimata ühenduse loomine asutuse süsteemidega ja seetõttu võimalus andmesidet pealt kuulata;
(b) seadmete vargus ja sellest tulenevalt info teatavaks saamine kolmandatele osapooltele;
14.1.2. asutust puudutavate kahjude põhjused on:
14.1.3. konfidentsiaalne info, mille avalikuks tulek võib endaga kaasa tuua kahjunõude,
14.1.4. andmed, mille avalikustamine võib kaasa tuua kellegi maine kahjustumise.
14.2. Välisvõrgust sisevõrku pöördumisel ja tundlike andmete edastamisel üldkasutatavas võrgus on kasutatakse vaid turvatud sidesessioone: VPN, SSL/HTTPS, krüpteerimine.
14.3. Sülearvutite kõvaketastel säilitatavad tundlikud andmed peavad olema krüpteeritud.
15. arhiveerimine ja kõrvaldamispoliitika
15.1. Arhiiviväärtuslike dokumentide nimekirja määrab juhtkond.
15.2. Kõik tarbetud ja säilitustähtaja ületanud konfidentsiaalandmetega paberdokumendid tuleb hävitada paberihundis asutuse vastutava töötaja poolt või usaldusväärse teenusepakkuja poolt.
15.3. Käibelt kõrvaldatud ja/või arhiivist säilitusaja möödumisel kõrvaldatud andmekandjad tuleb füüsiliselt hävitada asutuse vastutava töötaja poolt või usaldusväärse teenusepakkuja poolt.
16. Muudatuste haldus
16.1. Asutuse infosüsteemide arendamisel ja täiendamisel ning muutmisel tuleb tagada, et infosüsteemid töötlevad infot etteantud korras. Andmekvaliteeti tagatakse kontrollidega nii andmete sisestamisel kui väljundi kasutamisel.
16.2. Infosüsteemi muudatuste tagajärjel tekkida võivate õigusaktide nõuete rikkumise tõenäosuse vähendamiseks tellitakse vajadusel kavandatava muudatuse eesmärki arvestades õiguslikud analüüsid.
16.3. Kõik infosüsteemi muudatused ja arendused tuleb enne juurutamist testida.
16.4. Testimine viiakse läbi arendaja poolt selleks ettenähtud testserveris või arenduskeskkonnas. Testserveris ja arenduskeskkonnas ei kasutata tegelikke andmeid, kuid andmemahud ja nende struktuur peavad olema võrreldavad tegelikult kasutatavate andmemahtudega.
16.5. Peale kiireloomuliste muudatuste sisseviimist peab muudatuste teostaja muudatust testkeskkonnas testima ning vajadusel koostama testimisprotokolli tagantjärele.
17. intsidentide haldus
17.1. Infoturbe rikkumiste ilmnemisel tuleb turvaintsidentidest ning probleemintsidentidest teavitada, intsidendid tuleb registreerida ning intsidendile reageerida.
17.2. Turvaintsidentideks peetakse muuhulgas järgnevaid olukordi:
17.2.1. asutuse infosüsteemidele on ligipääs isikutel, kes ei ole selleks autoriseeritud;
17.2.2. infovarade või infokandjate vargus või kadumine;
17.2.3. isikuandmete leke või tervikluse kadu;
17.2.4. tarkvara loata installeerimine või kasutamine asutuse infosüsteemides, arvutivõrgus, serverites, töökohaarvutites ja telefonides;
17.2.5. viiruse või pahavara avastamine arvutivõrgus;
17.2.6. viirusetõrje tarkvara vananemine või valesti seadistatud viirusetõrje tarkvara;
17.2.7. varukoopiate hävinemine või koopia tegemise ebaõnnestumine;
17.2.8. serverite ja töökohaarvutite turvaseadete lubamata muutmine.
17.3. Probleemintsidentideks peetakse muuhulgas järgnevaid olukordi:
17.3.1. ilmneb tarkvara viga, mis põhjustas süsteemi vigase toimimise;
17.3.2. ilmneb riistvara viga, mis põhjustas süsteemi vigase toimimise;
17.3.3. serveri seisukord põhjustab teenuse seiskumise;
17.3.4. välistest põhjustest, näiteks elektri või võrgukatkestus, tingitud teenuse seiskumine.
17.4. Töötajatel on kohustus koheselt pärast intsidendi avastamist võtta tarvitusele meetmed ohu likvideerimiseks või vähendamiseks.
17.5. Turvaintsidentidest ja probleemintsidentidest tuleb viivitamatult informeerida juhtkonda, õpetajaid, lapsevanemaid, ning vajadusel asutuse partnereid ja pädevaid ametiasutusi.
17.6. Turvaintsidendid ja probleemintsidendid dokumenteeritakse ning infoturbejuht korraldab neile reageerimise. Intsidentide logis salvestatakse:
17.6.1. intsidendi toimumise aeg;
17.6.2. intsidendi iseloom ja mõju;
17.6.3. intsidendist teataja või avastaja;
17.6.4. tarvitusele võetud meetmed ja abinõud.
17.7. Intsidentide logikandeid säilitatakse vähemalt kolm aastat ning neid haldab juhtkond.
17.8. Juhul, kui turvaintsidendi käigus on läinud kaduma infokandja või on põhjust arvata, et asutuse konfidentsiaalne info võib olla sattunud mitteautoriseeritud isiku kätte, peab sellest koheselt teavitama juhtkonda.
17.9. Juhul, kui asutuse serverist või töökohaarvutist avastatakse turvaintsidendina käsitletavat tarkvara või viiruseid, korraldab juhtkond koos teenusepakkujatega seadme kõvaketta või mälukandja formaatimise enne seadme uuesti kasutamist.
17.10. Aegkriitiliste protsesside puudumise tõttu otsustatakse riistvara varuseadmete hankimise vajadus iga kord eraldi lähtuvalt olukorrast. Tööajal on lubatav riistvara seisak mitte üle 16 tunni asutuse töökohtadel ja 8 tundi serveritele, välja arvatud stiihilistest ohtudest tekkinud seisakud.
17.11. Toimunud intsidente analüüsitakse vähemalt kord kvartalis, et välja selgitada nende põhjused, tuvastada puudused ja välja töötada meetmed nende puuduste likvideerimiseks ning seeläbi vältida sarnaste intsidentide kordumist tulevikus.
18. aruandlus juhtkonnale, vastavus välisnõuetele, Infoturbe auditite vajaduse hindamine ja auditite planeerimine
18.1. Juhtkond analüüsib infoturbe seisukorda kord aastas ja ootamatult tekkivate infoturbeprobleemide korral või riskide tõttu, mis tulenevad uutest tehnilistest arengutest.
18.2. Vähemalt kord kolme aasta jooksul auditeeritakse asutust infoturbe vastavust juhendile ning kehtivatele õigusaktidele ja muudele regulatsioonidele. Auditi teeb juhtkonna poolt määratud isik või välisaudiitor. Väline infoturbe audit tellitakse vastavalt vajadusele (vajadus selgitatakse välja riskianalüüsi käigus).
18.3. Auditiaruandes kõik läbi viidud kontrolltegevused ning leitud nõuetele mittevastavused koos mittevastavuste eemaldamiseks planeeritavate tegevuste, nende eest vastutajate ning tähtaegadega. Auditi teostaja esitab auditiaruande asutuse juhtkonnale ja infoturbejuhile.
18.4. Auditi tähelepanekud ja märkused võetakse arvesse infoturbe juhtimisel ja planeerimisel. Kui auditi käigus avastatakse tõsisemaid puudusi asutuse infoturbes, tuleb peale puuduste kõrvaldamist teostada järelaudit.
19. juhendi muutmine
19.1. Juhtkond vaatab juhendi põhimõtted üle igal aastal. Juhendit muudetakse, kui seda nõuavad turbeseire tulemused. Juhendi muutmisest tingitud toimingud viiakse ellu hiljemalt ühe kuu jooksul või lähtudes muudatuste rakendamiseks koostatud ajagraafikust.
05.06.2019 09:45