1. Sissejuhatus
1.1 Infoturbe poliitikaga sätestatakse infoturbe aluspõhimõtted Tallinna Tehnikaülikoolis (edaspidi ülikool).
1.2 Infoturbe poliitika eesmärk on määratleda ülikooli strateegiline lähenemine infoturbe tagamisel.
2. Mõisted
2.1 Infovara on informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid.
2.2 Informatsioon on mis tahes viisil kogutud, jäädvustatud ja töödeldud andmete kogum mistahes andmekandjal, sh paberkandjal.
2.3 Infoturve on turvameetmete loomise, valimise ja rakendamise protsesside kogum.
2.4 Infoturve tähendab andmete kolme põhiomaduse – käideldavuse, tervikluse ja konfidentsiaalsuse tagamist, sh:
2.4.1 käideldavus – andmed peavad olema õigel ajal kättesaadavad ja kasutuskõlblikud;
2.4.2 terviklus – andmed peavad olema usaldusväärsed ja autentsed ning volitamata muudatused peavad olema tuvastatavad ja kõrvaldatavad;
2.4.3 konfidentsiaalsus – andmetele võimaldatakse juurdepääs ainult tõendatud teadmisvajaduse alusel.
2.5 Infoturbeintsidendiks on juhtumid, mille läbi on sündinud või võib sündida kahju andmete põhiomadustele või andmesubjektile, samuti toimingud, mis ei ole kooskõlas infoturbe valdkonda reguleerivate õigusaktidega.
2.6 Infovara peakasutaja on isik, kes on vastutusala juhi poolt määratud ja vastutab infovara eest. Kuni peakasutaja määramiseni vastutab infovara eest selle tekitanud isik.
2.7 Infovara haldur (teenusehaldur) on isik, kes on infovara peakasutaja poolt määratud ja tegeleb infovara majandamisega, tagades infoturbe põhimõtete rakendamise.
2.8 Infovara kasutaja on töötaja, üliõpilane või muu ülikooliga seotud isik, kellele infovara peakasutaja on andnud infovara kasutamise õigused.
3. Infoturbe eesmärgid
Infoturbe eesmärkideks on tagada:
3.1 ülikooli toimimine, hea maine ja teenuste jätkusuutlik pakkumine;
3.2 infosüsteemide ja andmekogude pidamine ning arendamine vastavalt õigusaktidest tulenevatele infoturbe nõuetele.
4. Põhimõtted
4.1 Ülikool valib infovarade omanikuna nende kaitsmiseks piisavad ja asjakohased meetmed.
4.2 Infovarasid tuleb kasutada ülikooli tegevusega seotud eesmärkidel.
4.3 Infoturbe nõuete järgimine on kõikidele töötajatele kohustuslik.
4.4 Infovaradele võimaldatakse juurdepääs tõendatud teadmisvajaduse alusel.
4.5 Konfidentsiaalsuskohustuse nõue kehtib konfidentsiaalse informatsiooni kohta ja seda kohaldatakse ülikooli infovara kasutavatele isikutele tulenevalt õigusaktidest ja sõlmitavatest lepingutest.
5. Infoturbe organisatsioon ja juhtimine
5.1 Infoturbe poliitika juurutamine hõlmab turvameetmete kavandamist, loomist, evitamist, haldamist ja vastutusalade määramist.
5.2 Infoturbe toimimiseks on alapunktides 5.6 -5.12 määratletud infoturbealased rollid.
5.3 Infoturve on organisatsiooni kollektiivne tegevus ja kõikide infovara kasutajate kohustus.
5.4 Ülikool peab eraldama infoturbe tagamiseks vajalikud vahendid.
5.5 Infoturbealane vastutus jaguneb üldiseks ja konkreetseks vastutuseks:
5.5.1 üldine infoturbealane vastutus on infovara kasutajatel, mis seisneb valdkonna regulatsioonide järgimises ja infoturbeintsidentidest teavitamises.
5.5.2 konkreetne infoturbealane vastutus tuleneb ametikohast ülikooli struktuuris ja tööülesannetest. Nii rektor, struktuuriüksused kui iga töötaja vastutavad individuaalselt enda kohustuste nõuetekohase täitmise eest.
5.6 Rektor:
5.6.1 kinnitab ülikooli infoturbe strateegia jt regulatsioonid;
5.6.2 määrab infoturbe eest vastutavad ametikohad;
5.6.3 korraldab infoturbe valdkonna regulaarse auditeerimise;
5.6.4 viib läbi lõpliku jääkriskide aktsepteerimise.
5.7 Infoturvet korraldav isik:
5.7.1 koordineerib infoturbe valdkonda ja täidab sellega seotud ülesandeid;
5.7.2 tagab infoturbe regulatsioonide olemasolu ja täiendamise;
5.7.3 kontrollib turvameetmete tõhusust;
5.7.4 teavitab, nõustab ja koolitab töötajaid turvameetmete rakendamisel;
5.7.5 teeb koostööd töötajate ja ülikooliväliste isikutega.
5.8 Isikuandmete ja riigisaladuse kaitset korraldav isik:
5.8.1 korraldab isikuandmete kaitset vastavalt valdkonna õigusaktidele;
5.8.2 korraldab riigisaladuse ja salastatud välisteabe kaitset vastavalt valdkonna õigusaktidele.
5.9 Vastutusala juht:
5.9.1 arvestab oma valdkonda juhtides infoturbe nõuetega;
5.9.2 määrab infovara peakasutaja;
5.9.3 planeerib finantsressursid infoturbeks oma valdkonnas;
5.9.4 tagab infovara toimimiseks vajaliku ressursi ja jätkusuutlikkuse.
5.10 Infovara peakasutaja:
5.10.1 määratleb infovara kaitstuse vajaduse ja turvameetmed (nt kasutades turvaklassi);
5.10.2 jälgib turvameetmete vastavust ja kontrollib nõuete täitmist.
5.11 Infovara haldur tagab peakasutaja poolt kavandatud turvameetmete rakendamise.
5.12 Infovara kasutaja toetab ja järgib ülikoolis infovarade kasutamist ja kaitset reguleerivaid kordasid, täites turvaalast funktsiooni vastavalt oma ametiülesannetele, lepingule või infoturbealasele regulatsioonile.
6. Riskihaldus
6.1 Ülikoolis määratakse minimaalsed turvameetmed, lähtudes õigusaktides tulenevatest nõuetest ja standarditest, mida tuleb rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
6.2 Riskide leevendamiseks rakendatakse turvameetmeid vastavalt infovaradele määratud kaitstuse vajadusele ja heale tavale.
6.3 Kui turvameedet ei ole võimalik või otstarbekas täita, peab leidma alternatiivsed meetmed riski leevendamiseks või peab rektor aktsepteerima meetme täitmata jätmisest tuleneva jääkriski.
6.4 Kui infosüsteemi peakasutaja leiab, et minimaalsetest turvameetmetest ei piisa, koostatakse lisaks detailne riskianalüüs, kus vaadatakse eraldi iga infovarale mõjuvat ohtu, hinnatakse selle realiseerumise tõenäosust, määratakse suuremad riskid ja võetakse vajadusel kasutusele spetsiifilised meetmed nende leevendamiseks.
7. Infoturbe halduse protsess
7.1 Turvameetmete pideva ajakohasuse tagamiseks on vajalik turvameetmete ja regulatsioonide perioodiline läbivaatus, töökeskkonna igapäevane seire, muudatustele reageerimine ning infoturbeintsidentide lahendamine.
7.2 Infosüsteemi muudatusi ja uuendusi tuleb enne nende läbiviimist kaaluda infoturbe seisukohast. Muutunud nõuete või uute ohtude korral tuleb turvameetmed ümber hinnata.
7.3 Infoturbe seisukohast olulised muudatused tuleb kooskõlastada infoturvet korraldava isikuga.
7.4 Ülikoolis on infoturbe koolituste kava. Infoturbe koolitustel osalemine on töötajale kohustuslik.
7.5 Väline organisatsiooni turvaaudit viiakse läbi vastavalt vajadusele, kuid mitte harvemini kui kord 3 aasta jooksul. Infosüsteemide turvaaudit viiakse läbi vastavalt infosüsteemi kaitstuse vajadusele.
8. Infoturbeintsident ja kontrolljäljed
8.1 Infoturbeintsidendist peab iga infovara kasutaja esimesel võimalusel teavitama IT kasutajatoeüksust.
8.2 Infoturbeintsidentide lahendamine toimub infoturvet korraldava isikuga kooskõlastatud põhimõtete alusel.
8.3 Infoturbeintsidendi lahendamiseks peab infosüsteemi peakasutaja tagama infoturvet korraldavale isikule ja volitatud isikutele juurdepääsuõiguse informatsioonile, mis on intsidendi lahendamiseks vajalik.
8.4 Intsidendi lahendamise käigus kogutud informatsioon dokumenteeritakse, analüüsitakse ja kasutatakse eesmärgiga ennetada sarnaste intsidentide kordumist tulevikus.
8.5 Kui turvaintsidendi lahendamise käigus avastatakse kuriteo, väärteo või distsiplinaarsüüteo tunnused, antakse juhtum edasi menetlemiseks vastava menetluse läbiviimise õigust omavale organile.