EELNÕU
| TARTU LINNAVALITSUS | |
| ISTUNGI PROTOKOLLI KANTAV OTSUS | |
| Tartu |
13. jaanuar 2009. a. nr LV-IP-0009 |
| Andmekogude turvaklasside kinnitamine | |
| KUULATI: | Jüri Mölderi ettekannet |
| OTSUSTATI: |
kinnitada Tartu linna andmekogude turvaklassid vastavalt lisale. |
| Juhataja: | |
| Protokollija |
Õiend
Tartu Linnavalitsuse istungi protokolli kantava otsuse eelnõu "Andmekogude turvaklasside kinnitamine " juurde
- Vabariigi Valitsuse 20. detsembri 2007.a. määrusega nr 252 on kehtestatud kohustus riigi ja kohaliku omavalitsuse andmekogude pidamisel rakendada infosüsteemide turvameetmete süsteemi ISKE. Turvameetmete süsteemi rakendamiseks Tartu Linnavalitsuses viis linnakantselei infotehnoloogia teenistus koostöös OÜ-ga Hansson, Leego ja Partner ajavahemikus september 2008 kuni detsember 2008 läbi ISKE rakendamise projekti, mille käigus määrati ka linnavalitsuses peetatavate andmekogude turvaklassid. Turvaklasside kindlakstegemiseks viidi läbi intervjuud andmeomanikega. Intervjuu käigus koostöös andmeomanikega määrati igas andmekogus sisalduvatele andmetele turvaklass ja sellest tulenev turbeaste.
Turvaklasside ja turbeastmete määramine toimus vastavalt ISKE rakendusjuhendile, mille kohaselt peetakse silmas kolme turvaeesmärki: käideldavus (K), terviklus (T) ja konfidentsiaalsus (S). Iga eesmärgi saavutamise olulisust antud andmete korral hinnatakse neljapallisel skaalal hindega 0 kuni 3:
Käideldavus:
K0 – töökindlus – pole oluline; jõudlus – pole oluline;
K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10);
K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi);lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10);
K3 – töökindlus - 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit);lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10).
Terviklus:
T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontrollid pole vajalikud;
T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse, ajakohasuse kontrollid erijuhtudel ja vastavalt vajadusele;
T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalikud on perioodilised info õigsuse, täielikkuse ja ajakohasuse kontrollid;
T3 – infol allikal, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas.
Konfidentsiaalsus:
S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus kõigil huvitatutel, muutmise õigus määratletud tervikluse nõuetega);
S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
S2 – salajane info: info kasutamine lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral,
S3 – ülisalajane info: info kasutamine lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.
Konkreetse andmekogu turbevajaduse hindamisel kõigi kolme turvaeesmärgi suhtes saadakse selle andmekogu turvaklass, näiteks K2S2T2. Turvaklassist tuleneb otseselt turbeaste: madal (L), keskmine (M) või kõrge (H). Turbeastmest omakorda tulenevad konkreetsed turvameetmed, mida selle andmekogu pidamisel peab rakendama.