Tõrva Vallavalitsuse infoturvapoliitika

Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse § 30 lõike 1 punkti 3 ja Tõrva Vallavolikogu 23.01.2025 määruse nr 1 „Küberturvalisuse seaduses sätestatud ülesannete delegeerimine“ § 2 p 1 alusel ning kooskõlas Vabariigi Valitsuse 09.12.2022 määrusega nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning ettevõtlus- ja infotehnoloogiaministri 16.12.2022 määrusega nr 101 „Eesti infoturbestandard“.

§ 1. Rakendusala

(1) Määrusega kehtestatakse Eesti Infoturbestandardi (edaspidi E-ITS) alusel infoturbe eesmärgid, põhimõtted ja tegevussuunad, mida on kohustatud järgima Tõrva Vallavalitsuse kui ametiasutuse ja vallavalitsuse hallatavate asutuste (edaspidi koos asutus) teenistujad, töötajad, töövõtu- või muu lepingu alusel teenust osutavad isikud ning kõik teised isikud (edaspidi töötajad), kes osalevad asutuse töös.

(2) Infoturvet rakendatakse kaitsealal, mis hõlmab asutuse põhitegevusest tulenevaid valdkonnapõhiseid äriprotsesse (edaspidi valdkondi) ja nendega seotud sihtobjekte, mis on vajalikud ülesannete täitmiseks ning millele rakendatakse infoturbe halduse süsteemi (edaspidi ISMS) nõudeid. Kaitseala ja sihtobjekte ajakohastatakse perioodiliselt või muudatuste tekkimisel asutuses ning see on aluseks riskihaldusele ja turvameetmete valikule.

§ 2. Eesmärgid

(1) Infoturvapoliitika eesmärk on määratleda üldised suunised ja põhimõtted varade ning väärtuste haldamiseks ja kaitseks. Infoturvapoliitikast lähtuvalt koostatakse infoturvet reguleerivad eeskirjad, juhendid, korrad ja muud vajalikud dokumendid.

(2) Infoturbe rakendamise eesmärk on tagada asutuse põhitegevuse katkematu toimimine ning tööprotsesside ja infovarade konfidentsiaalsus, terviklus ja käideldavus sellisel tasemel, mis võimaldab kõige tõenäolisemate ohtude realiseerumisel ülesandeid jätkuvalt täita.

(3) Asutus tagab infoturbealase tegevuse vastavuse asjakohastele seadustele, määrustele, juhistele ja lepingulistele kohustustele järgides kehtivat õigusraamistikku, sealhulgas isikuandmete kaitset ja küberturvalisust reguleerivaid nõudeid.

(4) Asutus rakendab ühtse metoodika alusel kogu kaitsealal põhiturvet ja etalonturbele vastavaid turvameetmeid. Vajadusest ja riskihalduse tulemustest lähtuvalt rakendatakse täiendavalt standard- ja kõrgturbe või etalonturbe väliseid meetmeid.

(5) Rakendatavad turvameetmed peavad olema majanduslikult põhjendatud ja proportsionaalsed võimaliku meetmete ebapiisavusest tuleneva kahjuga. Samuti peab nende mõju asutuse tegevusele ja töötajate tööle olema võimalikult väike.

(6) Asutus käsitleb infoturbeintsidente süsteemselt ja õigeaegselt, et minimeerida nende mõju ning taastada teenuste tavapärane toimimine võimalikult kiiresti. Intsidentide registreerimine, analüüs ja lahendamine toimub kehtestatud korra alusel.

(7) Infoturbe halduse eest vastutab juhtkond, kes kohustub tagama, et infoturvet juhitakse terviklikult ja riskipõhiselt, eraldades selleks vajalikud ressursid, määrates selged vastutused ning jälgides infoturbe eesmärkide täitmist. Juhtkond toetab infoturbealast teadlikkust ja turvalisi käitumisstandardeid kogu asutuses.

§ 3. Korraldus ja vastutus

(1) Infoturbe korraldamiseks vallavalitsus:

1) kinnitab asutuse valdkonnad ja määrab nendele omanikud (protsessijuhid). Valdkonna omanik vastutab protsessi kaardistamise, riskide hindamise ning infotube meetmete rakendamise eest oma vastutusalas;

2) kinnitab etalonturbe moodulid ja määrab nendele vastutajad, kes tagavad sihtobjektide ja meetmete valimise ning seotuse (modelleerimise);

3) määrab infoturbejuhi või selle rolli täitja kes koordineerib ISMS rakendamist ning jälgib nõuete ja meetmete täitmist. Infoturbejuhi teenus võib olla sisse ostetud välise teenusena;

4) kinnitab riskihalduse metoodika;

5) kinnitab infoturbe meetmete rakendusplaani (IMR) ja meetmete mitterakendamisest tulenevad jääkriskid;

6) tagab infoturvet korraldavate dokumentide kehtestamise, teavitamise ja täitmise ning regulaarse uuendamise;

7) tagab kaitsealasse kuuluvate varade arvestuse ning kasutamise ja toimimise õiguspärasuse jälgimise;

8) tagab infoturbe probleemidest teatamise, ettepanekute tegemise ja tagasiside andmise turbealaste regulatsioonide toimimise kohta;

9) tagab omanike määramise valdkondadega seotud sihtobjektidele;

10) moodustab infoturbe korraldamiseks töörühma;

11) korraldab infoturbe sõltumatuid läbivaatusi ja E-ITS vastavusauditi vastavalt E-ITS auditeerimiseeskirjale ja kinnitatud tööplaanile.

(2) Vallavalitsus võib kehtestada vajadusel asutuste üleseid infoturvet korraldavaid dokumente.

(3) Infoturbe töörühma kohustused:

1) infoturbe järjepidev kavandamine ja korraldamine;

2) infoturbe dokumentide koostamine ja menetlemine;

3) infoturbe järelevalve korraldamine;

4) infoturbeteadlikkuse tõstmise korraldamine;

5) infoturbeintsidentide menetlemine;

6) perioodiliste ja sündmuste põhiste aruannete läbivaatamine ja juhtkonnale esitamine;

7) infoturbe erandite kooskõlastamine.

§ 4. Rakendamine

(1) Infoturbe dokumentide koosseisu koostab ja/või kooskõlastab infoturbe töörühm ja asutuse juht.

(2) Infoturvapoliitika ja teised infoturbeprotsessi alusdokumendid vaadatakse töörühma poolt läbi vähemalt üks kord aastas või vastavalt muutustele asutuse eesmärkides, regulatsioonide nõuetes, lepingulistes kohustustes ning ümbritsevas infoturbeolukorras.

(3) Infoturvapoliitika rakendusalal kinnitab vallavalitsus vähemalt järgmised ühtsed reeglistikud:

• infoturvapoliitika;

• intsidentide halduse;

• riskihalduse metoodika.

(4) Tõrva Vallavalitsuse 06.03.2025 määrus nr 2 „Tõrva Vallavalitsuse infoturvapoliitika“ tunnistatakse kehtetuks.

§ 5. Määruse jõustumine

(1) Määrus jõustub kolmandal päeval pärast Riigi Teatajas avaldamist.

vallavanem

Kalle Vister

vallasekretär

Signe Kiin