Majandus- ja kommunikatsiooniministeerium on koostöös Riigi Infosüsteemide Arenduskeskusega valmis saanud eelnõu, mille kohaselt parandatakse andmete turvalisust riigiasutustes ja luuakse infoturbejuhtide ametikohad.
Riik tahab andmekaitse parandamiseks seada ametisse infoturbejuhid
9. jaanuar 2011, 09:31
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
«Riigiasutused vajavad oma tööks pidevalt usaldusväärset informatsiooni ning kasvava ründe- ja andmelekke ohu tingimustes peavad asutused olema valmis infosüsteemide töökatkestusi ennetama ja vajadusel kiirelt kõrvaldama,» kirjutavad eelnõu autorid eelnõu seletuskirjas.
Selleks kohustab Vabariigi Valitsuse seaduse muudatus riigiasutusi üles ehitama infoturbe juhtimise süsteem ning looma infoturbejuhi ametikoht.
Infoturbejuht osaleks infoturbereeglite ja teiste infokaitsega seotud asutusesiseste dokumentide (nt riskianalüüs) väljatöötamises ning planeeriks ja kontrolliks nende rakendamist.
Seletuskirjas lisatakse, et suuremates ning kõrgemate turvalisusnõuetega organisatsioonides võib osutuda vajalikuks infoturbega tegeleva üksuse loomine. Väiksemates organisatsioonides võib infoturbejuhi rolli ühitada muu tööülesandega.
Juba 1996. aastal kohustas valitsus ministeeriume, riigikantseleid ja maavalitsusi määrama andmeturbe eest vastutavad isikud. Toona nimetati vastutajateks valdavalt IT juhid, maakondades ka maasekretärid. Taoline lahendus ei ole eelnõu autorite hinnangul aga tänapäeva nõuetele vastav.
«Vastupidiselt üldlevinud arvamusele ei saa asutuse IT juht kontrollida tema hallata olevate süsteemide turvalisust, sest see rikub sõltumatuse ja rollide lahususe põhimõtet.»
Teine katse korrastada riigi ja kohaliku omavalitsuse infosüsteemide kaitset oli 2004. aastal, mil valitsus kehtestas määruse «Infosüsteemi turvameetmete süsteemi kehtestamine». Kuigi määruse vastuvõtmisest on möödunud ligi kuus aastat, ei ole ministeeriumides ametinimetuse poolest seni tööl ühtegi infoturbejuhti.
Senine turvalisuse tase väga erinev
Eelnõu seletuskirjas märgitakse, et asutuste veebilehtede andmetel on 11 ministeeriumist kahes ning 28 ametist ja inspektsioonist kuues nimetatud infoturbe eest vastutav inimene, kuid enamikes täidesaatva võimu asutustes ei tegeleta infoturbega asutuse, ministeeriumide puhul ka haldusala kui terviku seisuskohast.
«Selle tagajärjel on asutuste infoturbe tase väga erinev ning turvameetmete piisavuse ja rakendatuse kohta asutuse juhtkonnal reeglina ülevaade puudub, mis toob kaasa suuri riske ja ebapiisava turvalisuse taseme.»
Seaduse rakendamisel lisanduvad kulutused infoturbejuhtide palkade katmiseks. Konkreetset summat seletuskirjas veel toodud ei ole.
«Vahendite hulk sõltub sellest, kuidas on infoturbe juhtimise süsteem asutuses seni korraldatud,» osutatakse seletuskirjas.
Infoturbejuhi nimetamiseks on aega kuni 2012. aasta 1. jaanuarini, et oleks võimalik leida vastav personal.
Eelnõu vastu võtmiseks on vajalik riigikogu koosseisu häälteenamus.