Home 
Tugi
Tugi
| ISKE |
 |
 |
 |
ÜldistISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) poolt avaldatav infoturbe standard - IT Baseline Protection Manual (saksa k. IT-Grundschutz).ISKE rakendamise eesmärgiks on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. ISKEt saavad kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003. aasta oktoobrikuus. ISKE rakendusjuhendi kehtiv versioon on 4.01 ning allalaetav siit. ISKE rakendamist reguleerib Vabariigi Valitsuse 20. detsembri 2007. a määrus nr 252 „Infosüsteemide turvameetmete süsteem”. ISKEs on kirjeldatud kolm turbe taset – madal (L), keskmine (M) ja kõrge (H). Vastav turbetase määratakse andmetele turvaklasside (turvaosaklasside) määramise kaudu. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe terviklikkusest, aegkriitilise teabe käideldavusest, teabe hilinemise tagajärgede lubatavast kaalukusest. ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. ISKE rakendamine ei ole kohustuslik kohalike omavalitsuste hallatavatele asutustele. Kohalike omavalitsuste hallatavate asutuste jaoks on arendamisel nn ISKE mini versioon. ISKE rakendamise auditeerimineISKE auditeerimisega seonduvad asjaolud reguleeritakse määruses nr 252 „Infosüsteemide turvameetmete süsteem“.Auditite sagedusAndmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „H”, on kohustatud üks kord kahe aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „M” on kohustatud üks kord kolme aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „L” on kohustatud üks kord nelja aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi. Nõuded audiitoriteleAudiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati.Auditeerimisel võib kasutada mitte CISA sertifikaati omavaid audiitoreid. Auditi raporti kvaliteedi, asjakohasuse, õigsuse, korrektsuse, sõltumatuse jmt. osas aga vastutab CISA sertifitseeritud audiitor, kes ka allkirjastab lõppraporti. Esmakordse auditeerimise tähtajadEttevalmistatavas „Infosüsteemide turvameetmete süsteemi“ määruse muudatuses on hetkel kirjas kuupäevad, mis saavad tõenäoliselt olema järgmised:Turbeastmele „H” on esmakordne auditeerimise kohustuslik hiljemalt 2010. aasta 1. märtsiks Turbeastmele „M”on esmakordne auditeerimine kohustuslik hiljemalt 2010. aasta 1. detsembriks Turbeastmele „L” on esmakordne auditeerimine kohustuslik hiljemalt 2011. aasta 1. märtsiks. |
