Versioon 2007-01-31

Allikas: RISO Wiki

Majandus- ja Kommunikatsiooniministeerium

Riigi infosüsteemide osakondInfoturbe koosvõime raamistik


Versioon 1.0

31.01.2007

Käesolev dokument on avatud ettepanekuteks avaliku, era- ja kolmanda sektori asutustele ning kõigile asjasthuvitatud isikutele. Ettepanekud palume saata e-kirjana aadressile koosvoime@riso.ee.

Dokument on osa riigi IT koosvõime raamistikust. Raamistiku dokumente vaadatakse läbi ja uuendatakse vastavalt vajadustele, sealhulgas tuleb neid uuendada käesoleva dokumendi vastuvõtmisel. Uutes versioonides arvestatakse eelmisel perioodil laekunud ettepanekuid. „Riigi IT koosvõime raamistik“ ja temast tulenevad dokumendid on allalaaditavad veebiaadressilt http://www.riso.ee/et/koosvoime/raamistik.

Versioon 1.0. Jaanuar 2007. Raamistik on töögrupi poolt läbi arutatud ja heaks kiidetud.

Versioon 0.9. Jaanuar 2007. Tehtud ettepanekud on läbi arutatud, parandused vajadusel sisse viidud.

Versioon 0.8. November 2006. Raamistik on esitatud ettepanekute tegemiseks.

Versioon 0.2. September 2006. Läbi vaadatud RISO poolt: Mait Heidelberg, Margus Püüa, Andro Kull, Taavi Valdlo, Urmas Raude, Uuno Vallner.

Versioon 0.1. Juuni 2006. Esitatud esialgseks arutamiseks (Jaak Tepandi).

SISSEJUHATUS

Infotehnoloogia on muutnud infotöö nii avalikus kui ka erasektoris oluliselt efektiivsemaks. Samas võib mõneinimeseline rühmitus halvata suurpanga töö, mälupulgalt võivad lekkida miljonite inimeste delikaatsed isikuandmed. Eriti kasvavad riskid seoses uute tehnoloogiate (näiteks, mobiilsete sidevahendite ja intelligentsete seadmete võrgud) kasutuselevõtuga.

Infoturve on muutunud väga oluliseks nii Eestis kui kogu maailmas. Võrreldes olukorraga mõned aastad tagasi on infovarad veelgi kasvanud, ohud ja ründed läinud massilisemaks, meetmed maksavad rohkem ja riskid on suuremad. Infoturvet ei saa enam tagada üks ametkond, ettevõte, töögrupp või riik - vaja on kõigi osaliste koostööd nii Eestis kui ka väljaspool.

Eesti infoühiskonna arengukava 2013 visioon näeb ette avaliku sektori poolt ettevõtetele ning kodanikele pakutavate teenuste turvalisust ja kodanike turvateadlikkuse kasvu. Vajadus riigi tasemel infoturbega aktiivselt tegeleda on sätestatud ka rahvusvahelisel, sealhulgas Euroopa Liidu tasemel. Eriti oluline on seejuures avaliku ja erasektori vaheline koostöö.

Käesolevas raamistikus kirjeldatakse olulisemaid infoturbe aspekte, mida tuleb arvestada koosvõimelise infosüsteemi loomisel nii kogu riigi kui ka asutuse tasandil. Dokumendi esimesed jaotised käsitlevad eelkõige põhimõtteid ja organisatsiooni ning on suunatud peaasjalikult infoturbe eest vastutajatele. Tehnilise koosvõime jaotis on rohkem orienteeritud IT juhile ja spetsialistile.

EESTI INFOTURBE RAAMISTIKU ALUSPÕHIMÕTTED

Eesmärgid, sihtgrupid ja oodatavad tulemused

Infoturbe raamistiku eesmärgiks on turvaline, turvateadlik ja arengule kaasa aitav infoühiskond Eestis. Selle eesmärgi olulised aspektid on:

 • riskide maandamine elektroonilise side võrkudes ning info- ja sidesüsteemides;
 • inimeste põhiõiguste kaitse tagamine infoühiskonnas;
 • Eesti majanduse konkurentsivõime suurendamine tänu turvalise infoühiskonna loomisele;
 • toimiv infoturbe alane avaliku ning erasektori koostöö nii Eestis kui ka rahvusvahelisel tasemel;
 • infoturbe probleemide teadvustamine ning turva-alane koolitus.

Käesoleval dokumendil on kolm põhilist sihtgruppi:

 • valdkonna (näiteks ministeeriumi) infoturbepoliitika eest vastutaja;
 • asutuse IT juht;
 • asutuse infoturbe eest vastutaja.

Raamistiku rakendamine aitab kaasa järgmiste tulemuste saavutamisele.

 • Teave on kaitstud volitamata juurdepääsu eest.
 • Tundliku informatsiooni konfidentsiaalsus on tagatud.
 • Informatsiooni ja teenuse terviklus on tagatud.
 • Informatsiooni ja teenuste käideldavus on tagatud.
 • Autentimine tagab üksnes volitatud kasutajate pääsu.
 • Tundlike isikuandmete kaitse on tagatud ja kodanike privaatsus on kaitstud.
 • Õigusaktides ja eeskirjades/kordades esitatud nõuded on täidetud.
 • Asutuse infoturbe poliitika on kinnitatud ja seda rakendatakse.
 • Põhitegevuse jätkusuutlikkuse ja talitluspidevuse plaanid on koostatud, rakendatud ja testitud.
 • Infoturbe intsidente käsitletakse asjakohaselt.
 • Nõuded informatsiooni ja infosüsteemide käideldavuse osas on rahuldatud.
 • Muutused infosüsteemis on kooskõlastatud ja hallatud.
 • Iga ametniku kohus on järgida asutuse infoturbe poliitikat.
 • Ametnikkonnale korraldatakse regulaarselt infoturbe koolitust.

Infoturbe raamistiku rakendusala

Lähtudes püstitatud eesmärkidest loob Eesti infoturbe raamistik eeldused majanduse ning info- ja kommunikatsioonitehnoloogia keskkonna kaitseks ning arendamiseks. Raamistik katab põhilised infoturbega seotud valdkonnad Eestis, sealhulgas nii avalikus kui ka erasektoris.

Infoturbe raamistik aitab kaasa elutähtsa informatsioonilise ja sidetarbega infrastruktuuri kaitse korraldamisele ning arvestab infoturbe aspekte muudes kriitilise infrastruktuuri kaitse valdkondades. Infoturbe raamistiku valdkonnad (näiteks koostöö ja koordineerimine, informatsioonilise infrastruktuuri kaitse ja küberkuritegevuse vastased toimingud) pakuvad tuge ja lähteandmeid kriitilise infrastruktuuri kaitse tegevustele.

Käesolev dokument ei käsitle riigisaladust sisaldavaid või sõjaliseks otstarbeks mõeldud andmeid ja süsteeme.

Tehnoloogiliselt hõlmab infoturbe raamistik nii infotehnoloogiliste süsteemide kui ka elektroonilise side turvet.

Infoturbe raamistiku staatus ja läbivaatused

Kuna infotehnoloogia ja side arengus toimuvad kiired muutused, tuleb käesolevat raamistikku käsitleda kui infoturvet terviklikuna hõlmavat baasdokumenti, mille olulisi aspekte on vaja üle vaadata ning täpsustada vastavalt toimuvatele arengutele. Raamistik ei loo uut eraldiseisvat tegevusvaldkonda, vaid on suunatud infoturbe eesmärkide paremale saavutamisele läbi infoturbe tervikliku ja paljusid osapooli hõlmava käsitluse ning läbi tõhusama koostöö korralduse infoturbega seotud poolte vahel.

Peale vastuvõtmist on käesoleva dokumendi staatus sama nagu riigi IT koosvõime raamistikul.

Infoturbe raamistik vaadatakse läbi kord aastas või oluliste rahvusvahelise keskkonna, tegutsemise asjaolude, õiguslike tingimuste või tehnilise keskkonna muutuste puhul. Sellega tagatakse raamistiku pidev sobivus, asjakohasus ja toimivus. Infoturbe raamistiku arendamise, läbivaatuse ja hindamise eest vastutab Majandus- ja Kommunikatsiooniministeerium. Läbivaatuse käigus hinnatakse raamistiku täiustamise võimalusi.

Läbivaatuse lähteandmed sisaldavad järgmist teavet:

 • tagasiside huvipooltelt;
 • sõltumatute läbivaatuste tulemid;
 • preventiivsete ja korrektiivsete meetmete seis;
 • eelmiste raamistiku läbivaatuste tulemused;
 • protsesside sooritus ja vastavus eesmärkidele;
 • muutused, mis võivad mõjutada organisatsiooni infoturbe halduse metoodikat, sealhulgas organisatsiooni keskkonna, tegutsemise asjaolude, ressursside olemasolu, eeskirjade ja õiguslike tingimuste või tehnilise keskkonna muutused;
 • ohtude ja nõrkustega seotud tendentsid;
 • infoturbeintsidendid, millest on teatatud;
 • asjakohaste ametiasutuste soovitused.

Läbivaatuse tulemite hulka peaksid kuuluma kõik otsused ja meetmed, mis puudutavad järgnevat:

 • metoodika täiustamine infoturbe ja selle protsesside haldamisel;
 • juhtimiseesmärkide ja meetmete täiustamine;
 • ressursside ja/või kohustuste jaotuse täiustamine;
 • muude muudatuste tegemine.

INFOTURBE VALDKONNAD

Infoturbe raamistiku väljatöötamine ja elluviimine hõlmab paljusid osapooli. Teave infoturbe probleemide ja lahenduste kohta tuleb viia võimalikult paljude asjaosalisteni. Infoturbe raamistik on jaotatud viieks põhiliseks valdkonnaks: koostöö ja koordineerimine, teadvustamine ja koolitus, regulatsioonide väljatöötamine, informatsioonilise infrastruktuuri kaitse ning inimeste ja varade kaitse rakendustegevused.

Koostöö ja koordineerimine

Infoturbega tegelevad erinevad asjaosalised, seega on selle töö planeerimine ja koordineerimine väga oluline. Käesolev valdkond hõlmab infoturbe alaste tegevuste koordineerimist ning Eesti sisese ja rahvusvahelise koostöö korraldamist koostöös era- ja kolmanda sektoriga. Muuhulgas kuuluvad siia järgmised tegevused.

 • Eesti IT keskkonna riskianalüüsi teostamise koordineerimine.
 • Turvaintsidentide käsitlemise võimekuse arendamine Eestis.
 • Infoturbe alase kontaktvõrgustiku haldamine Eesti sise- ja rahvusvahelise koostöö korraldamiseks ENISAga (European Network and Information Security Agency).
 • Piiriüleste e-teenuste arenduse infoturbe lahenduste koordineerimine.

Teadvustamine ja koolitus

Infoturbe tagamiseks peavad kõik osapooled olema teadlikud ohtudest, riskidest, rünnetest, meetmetest ja teistest infoturbega seotud asjaoludest.

Avaliku sektori asutused peaksid kaitsma oma süsteeme, kuid ka olema eeskujuks teistele pooltele. Erasektori asutused peaksid teadvustama infoturvet kui strateegilist edufaktorit, mitte vaid kui kuluartiklit. Inimesed peaksid aru saama, et nende koduarvutite asjakohane turvamine on kriitilise tähtsusega üldises infoturbe ahelas.

Selleks tuleb läbi viia pidevat turva-alast teadvustamist ja koolitust, sealhulgas järgmisi tegevusi.

 • Raamistiku tutvustamine ja avalikkusega suhtlemine.
 • Infoturbe koolitus asutuste juhtkondade esindajatele ning IT-juhtidele.
 • Inimeste turva-alane harimine, trükised, teavituspäevad, sealhulgas projekti "Vaata Maailma" jätkutegevuste raames (Arvutikaitse 2009)
 • Turvateadlikkuse suurendamine koolis ja kõrgkoolis.
 • Avalikkuse turvateadlikkuse ja rahulolu uuringute läbiviimine.

Infoturbe regulatsioonide väljatöötamine ja uuendamine

Infoturbe tegevuste aluseks on vastavad regulatsioonid. On vaja spetsifitseerida, välja töötada, evitada ja uuendada infotehnoloogilise ja elektroonilise kommunikatsiooni infrastruktuuri ning elektroonilise side valdkondade infoturbe tagamiseks vajalikud protseduurid, dokumentatsioon ja vahendid. Muuhulgas tuleb käsitleda järgmisi regulatsioone.

 • Infoturbe ja elektroonilise side alaste õigusaktide väljatöötamine ja uuendamine.
 • Kriitilise informatsioonilise infrastruktuuri kaitset sätestavad regulatsioonid.
 • Andmekogude pidamise korraldamine vastavalt turvameetmete süsteemi nõuetele.
 • Turvalisi e-teenuseid toetavate regulatsioonide väljatöötamine.
 • Turvastandardite, ISKE (Infosüsteemide kolmeastmeline etalonturbe süsteemi), turvanõuete klassifitseerimise metoodika ja muude turvaregulatsioonide valjatöötamine ning ajakohastamine.
 • Riskianalüüsi mõõdikute väljatöötamine ja rakendamine.
 • Riigihangetes rakendatavate infoturbe nõuete väljatöötamine.

Informatsioonilise infrastruktuuri kaitse

Informatsiooniline infrastruktuur on kaasaegse riigi ja majanduse üks aluseid, ohud sellele on aga muutumas üha suuremaks. On vaja kaitsta informatsioonilist infrastruktuuri, arvestada infoturbe aspekte muudes infrastruktuuri kaitse valdkondades, korraldada küberkuritegevuse vastaseid toiminguid, koordineerida mainitud tegevusi rahvusvaheliselt. Käesolevasse valdkonda kuuluvad muuhulgas järgmised tegevused.

 • Informatsioonilise infrastruktuuri kaitse tagamine.
 • Infoturbe aspektide arvestamine muudes infrastruktuuri kaitse valdkondades.
 • Küberkuritegevuse vastaste toimingute korraldamine ja koordineerimine.
 • Küberrünnakute, sealhulgas välismaalt lähtuvate rünnete vastase tegevuse korraldamine ning koordineerimine.
 • Rämpsposti levitamise vastased õiguslikud, organisatsioonilised ja tehnilised meetmed, sellealane riikidevaheline koostöö.
 • Internetis oleva illegaalse või ebasoovitava sisu vastased meetmed (eriti seoses laste kaitsega).
 • CERT (Computer Emergency Response Team) edasiarendamine.

Inimeste ja varade kaitse rakendustegevused

Infoturbe regulatsioonid ja meetmed on vaja ellu viia. Eriti oluline on inimeste kaitse vastavalt põhiõigustele ning asutuste ja ettevõtete kaitse meetmete rakendamine. Sellesse valdkonda kuuluvad näiteks järgmised tegevused.

 • Isikuandmete kaitse meetmete rakendamine.
 • Turvaliste (ID kaardi põhiste) tüüplahenduste väljatöötamine ning rakendamine.
 • Piiriüleste ID kaardil põhinevate teenuste käivitamine.

RAAMISTIKKU MÕJUTAVAD REGULATSIOONID JA MATERJALID

Allpool on kogutud olulisemad infoturbe raamistikku mõjutavad regulatsioonid ja muud lähtematerjalid, sealhulgas nii seadused/määrused kui ka muud kasulikud strateegiad, visioonid, head tavad (best practice) jne.

Seadused ja määrused

Järgmisena on nimetatud erinevad seadused ja määrused, mis otseselt või kaudselt puudutavad infoturbe valdkonda riigis.

 • Isikuandmete kaitse seadus.
 • Andmekogude seadus.
 • Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273 "Infosüsteemide turvameetmete süsteemi kehtestamine".
 • Vabariigi Valitsuse 19. detsembri 2003. a määrus nr 331 "Infosüsteemide andmevahetuskihi rakendamine".
 • Kriminaalmenetluse koodeks.
 • Infoühiskonna teenuse seadus.
 • Isikut tõendavate dokumentide seadus.
 • Digitaalallkirja seadus.
 • Avaliku teabe seadus.
 • Autoriõiguse seadus.
 • Elektroonilise side seadus.

Strateegiad, raamistikud ja tegevuskavad

Järgmisena on nimetatud erinevad strateegiad, raamistikud ja tegevuskavad, mis otseselt või kaudselt puudutavad infoturbe valdkonda riigis.

 • Eesti infoühiskonna arengukava aastani 2013.
 • Infopoliitika põhialused aastateks 2004-2006.a.
 • Infopoliitika iga-aastased tegevuskavad.
 • A strategy for a Secure Information Society – “Dialogue, partnership and empowerment”. Brussels, COM(2006) 251.
 • Riigi IT koosvõime raamistik. Versioon 2.0, 2005.
 • Riigi IT arhitektuur. Versioon 2.0, 2005.
 • Semantilise koosvõime strateegia. Versioon 0.5, 2005.

Juhendid, head tavad, standardid

Järgmisena on nimetatud erinevad juhendid, head tavad ja standardid, mis otseselt või kaudselt puudutavad infoturbe valdkonda riigis.

ORGANISATSIOONILINE KOOSVÕIME INFOTURBE VALDKONNAS

Info- ja sideturbe korraldamine

Infoturbe raamistiku eesmärkide saavutamiseks arvestavad kõik infoturbe raamistiku koostamise ja elluviimisega seotud pooled oma valdkondlike tegevuste korraldamisel infoturbe vajadustega. Valitsusasutused korraldavad infoturbe raamistiku evitamist kooskõlas kehtivate õigusaktidega ja oma põhimäärustega.

Infoturbe valdkondade vahelisi tegevusi koordineerib Majandus- ja Kommunikatsiooniministeerium, kaasates selleks avaliku sektori, sealhulgas Haridus- ja Teadusministeeriumi, Kaitseministeeriumi, Riigikantselei, Siseministeeriumi ning kolmanda ja erasektori esindajad. Lähtudes infoturbe raamistiku eesmärkide tõhusamale saavutamisele suunatud ettepanekutest ja soovitustest vaatab Majandus- ja Kommunikatsiooniministeerium igal aastal läbi Eesti infoturbe olukorra ja arengu ning täiustab vajadusel infoturbe raamistiku dokumenti.

Majandus- ja Kommunikatsiooniministeerium koordineerib Eesti infoturbe valdkondades kavandatavate tegevuste käsitlemist Eesti infoühiskonna arengukavas ning selle rakendusplaanis.

Avaliku sektori infoturbe alaseid tegevusi finantseeritakse ametkondlikest eelarvetest, Euroopa Liidu fondidest ja teistest allikatest.

Organisatsioonid ja nendevaheline koostöö

Infoturve on oluline teema enamikus IT alastes ettevõtmistes, seepärast avaldavad selle ala kujunemisele mõju paljud avaliku ja erasektori asutused. Avalikust sektorist mõjutavad infoturbe valdkonda enam järgmised organisatsioonid.

 • Infoturbe raamistiku väljatöötamist, rakendamist ja arendamist koordineerib Majandus- ja Kommunikatsiooniministeeriumi Riigi infosüsteemide osakond (RISO).
 • RISO korraldab infotehnoloogia, sealhulgas infoturbe valdkonna standardimistegevust ning koordineerib riigi infosüsteemi keskse infrastruktuuri arendamist.
 • Riigi Infosüsteemide Arenduskeskus (RIA) korraldab CERT, ISKE ja ASO võrguga seonduvaid tegevusi.
 • Andmekaitse Inspektsioon täidab isikuandmete kaitse järelevalve funktsioone ning tegeleb rämpsposti probleemidega.
 • Majandus- ja Kommunikatsiooniministeeriumi Sideosakond töötab välja riigi arengukavu elektroonilise ja postiside valdkonnas ning valmistab ette valdkonda reguleerivate õigusaktide eelnõusid.
 • Sideamet on nii tehniliselt piiratud ressursside (raadiosagedused ja telefoninumbrid) kasutuse korraldaja kui ka elektroonilise side turu regulaator Eestis. Sideamet tegeleb ka rämpsposti probleemidega.
 • Kriisireguleerimise korraldamine on Siseministeeriumi ja teiste ministeeriumide pädevuses.
 • Küberkuritegevuse probleemidega tegelevad Keskkriminaalpolitsei infotehnoloogiakuritegude talitus ning Politsei Kohtuekspertiisi- ja Kriminalistika Keskuse IT-labor.
 • Kaitseväe Side- ja Infosüsteemide Väljaõppe- ja Arenduskeskus viib ellu kaitseotstarbelisi side, infotehnoloogia ja infooperatsioonide arendusprojekte ning korraldab erialast koolitust.
 • EENet sätestab EENeti võrgu turvareeglid ja haldab turvalisuse teemalist listi.
 • Tarbijakaitseameti roll on inimesi Internetis levivate pettuste eest hoiatada ja tõsta tarbijate teadlikkust, et osataks Interneti-pettuseid ära tunda ning neid vältida.

Erasektorist mõjutavad turbe valdkonda enim pangad, telekommunikatsiooniettevõtted, Eesti Energia, AS Sertifitseerimiskeskus, IT teenuste pakkujad, turbega tegelevad firmad ja teised. Vaata Maailma projekti Arvutikaitse 2009 eesmärk on kujundada Eestist aastaks 2009 maailma turvalisima infoühiskonnaga riik.

Riigi infoturbealase töö korraldamisel on eriti tähtis erinevate seotud organisatsioonide omavaheline koostöö. Infoturbe raamistiku valdkondi koordineerivad järgmised asutused.

 • Koostöö ja koordineerimine - Majandus- ja Kommunikatsiooniministeerium.
 • Teadvustamine ja koolitus - Haridus- ja Teadusministeerium koostöös Riigikantseleiga, Kaitseministeeriumiga ning Majandus- ja Kommunikatsiooniministeeriumiga.
 • Infoturbe regulatsioonide väljatöötamine ja uuendamine - Majandus- ja Kommunikatsiooniministeerium koostöös Siseministeeriumiga.
 • Informatsioonilise infrastruktuuri kaitse - Siseministeerium koostöös Kaitseministeeriumiga.
 • Inimeste ja varade kaitse rakendustegevused - Siseministeerium koostöös Kaitseministeeriumiga.

TEHNILINE KOOSVÕIME INFOTURBE VALDKONNAS

Vastavalt subsidiaarsuse põhimõttele (võimalusel tuleb otsus vastu võtta kohalikul või regionaalsel tasandil ning alles juhul, kui nendel tasanditel ei suudeta piisavalt head tulemust saavutada, tuleb teha otsus riigi tasandil) vastutab iga organisatsioon infoturbe eest oma haldusalas. Käesolevas peatükis käsitletakse infoturbega seotud üleriigilisi põhimõtteid ja infrastruktuuri.

eIdentiteet, Eesti avaliku võtme infrastruktuur ja ID-kaart

Et muuta Eesti aastaks 2009 maailma turvalisima infoühiskonnaga riigiks, on vaja toimivat infrastruktuuri, vahendeid ja inimeste teadlikkust. Oluline roll on seejuures Eesti avaliku võtme infrastruktuuril ja ID-kaardil.

Reguleerivad õigusaktid

Eestis reguleerivad avaliku võtme infrastruktuuri ja ID-kaardi alast tegevust kaks peamist seadust. Isikut tõendavate dokumentide seadus kirjeldab ID-kaardi funktsioone esmase siseriikliku isikuttõendava dokumendina ning kehtestab Eesti elanikule dokumendikohustuse. Digitaalallkirja seadus kirjeldab Eestis kehtivat digitaalallkirja mõistet ning sellega seotud protseduure ja teenuseid, sealhulgas sertifikaatide väljaandmist. Seadus kehtib nii ID-kaardi digitaalallkirja sertifikaatide kui ka muude sertifitseerimisteenuste kohta, kus antakse välja sertifikaate digitaalallkirja seaduse mõistes.

ID-kaardi kasutamine

Tänu ID-kaardi kohustuslikkusele ja ka selle järjest laienevale kasutusalale on ID-kaart väga paljudel inimestel (novembriks 2006 on välja antud üle miljoni ID-kaardi). Seega saab infotehnoloogiliste süsteemide koostamisel eeldada, et üldjuhul inimestel on ID-kaart olemas.

ID kaardi elektrooniline osa sisaldab kolme andmekogumit:

 • isikuandmete faili, mis on loetav ilma PIN-i sisestamata;
 • autentimissertifikaati ja sellele vastavat salajast võtit. See on kasutatav isiku elektroonilisel tuvastamisel nii veebisüsteemides kui ka analoogilistes, isiku autentimist nõudvates süsteemides. Autentimissertifikaat sisaldab ka isiku @eesti.ee meiliaadressi, mis võimaldab kasutada turvalist, signeerimist ja krüpteerimist võimaldavat elektronposti;
 • digitaalallkirja sertifikaati ja sellele vastavat salajast võtit. Selle abil on võimalik moodustada eelnimetatud digitaalallkirja seadusele vastavat, omakäelise allkirjaga juriidiliselt võrdset digitaalallkirja.

Kuna ID-kaarte väljastatakse kodanikele riigi poolt ja samas on riik teinud ID-kaardi residentidele kohustuslikuks, siis on selge, et just eelkõige avaliku sektori e-teenused peavad toetama ID-kaarti.

Plaanijärgselt lõpetavad pangad autentimisteenuse pakkumise kolmandatele osapooltele (sh. avaliku sektori e-teenustele) 2008. aastal. Seega tuleb kiiresti üle minna ID-kaardi põhisele autentimisele ning koolitada kasutajaid ID-kaarti kasutama.

ID-kaardi isikuandmete faili kasutamine

ID-kaardi isikuandmete fail sisaldab sama informatsiooni, mis on kaardile kantud visuaalselt. See sisaldab kaardiomaniku nime, kaardi kehtivuse aega ja muud sarnast. Oluline on, et see sisaldab ka kaardiomaniku isikukoodi. Kui omanik sisestab kaardi kiipkaardilugejasse, on süsteemil võimalik sealt kiirelt välja lugeda isikukood ja kasutada seda oma edasistes toimingutes.

ID-kaardi isikuandmete faili kasutamise näideteks on:

 • ID-kaart kui Tallinna ja Tartu transpordikaart;
 • ID-kaart kui raamatukogukaart;
 • ID-kaart kui kliendikaart (lojaalsuskaart);
 • ID-kaart kui uksekaart e. pääsukaart.

Isiku tuvastamist ID-kaardi isikuandmete faili abil on mõistlik kasutada kohtades, kus on võimalik kontrollida kaardiomaniku isikusamasust füüsilisel moel (näiteks piiri ületamine).

ID-kaardi elektroonilise isikutuvastuse omaduse kasutamine

ID-kaardi autentimissertifikaat ehk elektroonilise isikutuvastuse sertifikaat võimaldab eeskätt WWW teenustel tuvastada kasutajaid turvaliselt ja ilma eelneva registreerimiseta. Kliendi autentimine veebiseansiks on HTTPS protokolli orgaaniline komponent ning veebiserverit ID-kaardiga autentimist toetama panna on lihtne. Autentimisjärgselt tuleb kontrollida kasutaja sertifikaadi kehtivust sertifitseerimisteenuse osutaja kehtivusinfo teenuste abil. Värskeima info annab kehtivuskinnituse teenus kasutades OCSP (Online Certificate Status Protocol) protokolli.

Võrreldes paroolisüsteemil põhineva autentimisega on sertifikaadipõhisel autentimisel kaks olulist eelist:

 • kasutaja ei pea eelnevalt registreerima ega teenusepõhist parooli meelde jätma – teenusel on võimalik isikukoodi abil üheselt kasutaja tuvastada;
 • sertifikaadipõhine autentimine on suurusjärk turvalisem paroolipõhisest.

Eestis on ka levinud praktika kasutada pankade autentimisteenust, mis on olemuselt paroolipõhine. Lisaks sellele, et ID-kaardiga autentimine on turvalisem, ei ole avalikul sektoril otstarbekas ega ka loogiline sõltuda erastruktuuri poolt kontrollitava autentimissüsteemi turvalisusest.

Avaliku sektori, soovitatavalt ka teiste organisatsioonide, e-teenuste kasutajate elektrooniline isikutuvastus peab primaarselt põhinema ID-kaardil. Riigi poolt kohustuslikuks tehtud ID-kaardi omanik ootab õigustatult, et ta saab seda riigi e-teenuste puhul kasutada.

ID-kaardi @eesti.ee meiliaadressi kasutamine

ID-kaardi autentimissertifikaadis sisaldub ka riigi poolt kaardiomanikule omistatav eluaegne meiliaadress kujul Eesnimi.Perenimi_XXXX@eesti.ee, kus XXXX on juhuslikult genereeritud neljakohaline arv. Alates 2005. aastast väljastatakse sertifikaatide uuendamisel ja uute ID-kaartide väljastamisel e-posti aadress kujul Eesnimi.Perenimi@eesti.ee; juhul, kui sama ees- ja perenimega isikuid on mitmeid, saavad järgnevad isikuid aadressi kujul Eesnimi.Perenimi.N@eesti.ee, kus N on järjenumber. Eelmised aadresskujud jäävad samuti kehtima.

Eesti.ee meiliserver on sisuliselt edastusteenus. Kodanikuportaali https://www.eesti.ee kaudu saab kaardiomanik ära näidata oma reaalse meiliaadressi nii, et aadressile @eesti.ee saadetud kirjad jõuavad kaardiomaniku reaalsesse postkasti.

Nii osutub võimalikuks turvalise, S/MIME standardile vastava, elektronposti kasutamine ID-kaardi abil. S/MIME standardit toetavad kõik populaarsed meiliprogrammid.

Kaardiomanikule antud @eesti.ee meiliaadressi võib vaadelda kui tema ametlikku e-posti aadressi analoogiliselt elukoha aadressiga. Suhtlemine kodanikuga elektroonilisel teel on võrreldamatult turvalisem, odavam ja kiirem kui postiteenuste kasutamine.

Paraku aga eeldab see, et kaardiomanik on oma @eesti.ee aadressi eelnevalt suunanud reaalsele aadressile. Vabatahtlikult teevad seda ainult entusiastid, omavahelise turvalise elektronposti kasutajad ja need, keda mingi teenuse kasutamine on selleks sundinud (näiteks pilet.ee). Loomulikult peab kodanik ka nõus olema sellega, et kasutatakse suhtlemiseks just seda kanalit.

E-teenused peaksid peamise elektroonilise suhtluskanalina välja pakkuma ID-kaardi omaniku @eesti.ee e-posti aadressi ning juhendama kasutajaid selle aadressi kasutuselevõtul.

Digitaalallkiri

Euroopa Liidus on vastu võetud direktiiv 1999/93/EC "On a Community framework for electronic signatures", mis määratleb ära nõuded digitaalallkirjale ja sertifitseerimisteenuse pakkujatele. Direktiivis on kirjeldatud mitu sertifitseerimise ja digitaalallkirjade kategooriat. Eesti ID-kaart ja ID-kaardi abil antud digitaalallkirjad vastavad direktiivi kategooriatele, millele esitatakse kõige rangemad nõuded (advanced electronic signature, secure-signature-creation device, qualified certificate, certification-service-provider issuing qualified certificates ).

Eesti digitaalallkirja seadus näeb ette avaliku sektori kohustust aktsepteerida digitaalallkirja juba alates 2001.a. 1. juulist. Paraku on praktikas veninud ID-kaardi, vajalike infrastruktuursete teenuste ja digitaalallkirja tehnoloogia valmimine nii, et reaalselt sai digitaalallkirja kasutada esimest korda 2002. aasta oktoobris. Sellegi poolest on digitaalallkirjastatud dokumentide aktsepteerimine riigiasutuste poolt aeglasem kui peaks.

Eestis on de facto kujunenud välja failivorming, mida kasutatakse digitaalselt allkirjastatud dokumendi kujutamiseks. See on nn. DigiDoc failivorming, mis on tegelikult standardi ETSI 101 903 (XML Advanced Electronic Signatures – XAdES”) profiil. Digitaalselt allkirjastatud faile (mille tunneb ära laiendi .ddoc järgi) saab tekitada ja neid käsitleda DigiDoc Client programmi abiga või portaalis https://digidoc.sk.ee. Isegi ilma igasuguse spetsiifilise programmvarustuse ja ID-kaardita saab digitaalselt allkirjastatud dokumente „lahata“ kontrolliportaalis https://digidoccheck.sk.ee. Lisaks sellele on vabalt saadaval DigiDoc programmteek nii C kui Java keeltes erinevate platvormide (Windows/Linux) jaoks. Kõik relevantne informatsioon ja programmvara on saadaval ID-kaardi infoportaalis http://id.ee.

Avalik sektor peab järgima seadust ning universaalselt aktsepteerima digitaalallkirjastatud dokumente. Viitamine vastava sisekorra või programmvarustuse puudumisele on ebakohane kuna laekunud digitaalallkirjastatud faili on võimalik käsitleda isegi tavalise brauseri abil kasutades ülalviidatud kontrollportaali.

Avaliku sektori ametnik (nii nagu iga teinegi) saab kasutada tööalaselt ID-kaarti digitaalseks allkirjastamiseks. ID-kaardi digitaalallkirja sertifikaadi sertifitseerimispoliitika ei sea mingeid piiranguid selle sertifikaadi kasutusalale. Seega võib seda kasutada digitaalseks allkirjastamiseks suvalises rollis. Siin on kohane võrdlus omakäelise allkirjaga – see on ju samasugune olenemata selle andmise otstarbest.

Asutuse sertifikaadid

Asutustele väljastatakse sertifikaate kahel otstarbel:

 • andmevahetuse turvamiseks;
 • asutuste digitaalsete kinnituste andmiseks.

Andmevahetuse turvamiseks väljastatavaid sertifikaate kutsutakse seadmesertifikaatideks ning need on kasutatavad turvalise veebiserveri (HTTPS) või VPN-ühenduste loomise jaoks (IPSec). Avaliku sektori andmevahetuskihi (X-Tee) seadmesertifikaate annab välja Riigi Infosüsteemide Arenduskeskus, muid väljastab SK.

Asutuse digitaalne kinnitus (ehk „digitempel“) on tehniliselt analoogiline digitaalallkirjaga. Kui digitaalallkirja annab kindel isik ühesuguste põhimõtete kohaselt, siis asutuse väljastatud digitaalne kinnitus võib olla tekitatud väga erinevate põhimõtete kohaselt. Seetõttu lisanduvad digitaalseks kinnitamiseks väljastatud sertifikaadi semantikasse nn. „kinnituspõhimõtted“ (signing policy), mis kirjeldavad digitaalse kinnituse otstarvet, tekitamise viisi jms. spetsiifikat. Asutuse digitaalse kinnituse andmist võib käsitleda kui elektroonilist vastet “templile” või “blanketile”.

Asutuse digitaalne kinnitusel on kaks põhilist kasutusjuhtu.

 • Kinnituse lisamine digitaalselt allkirjastatud dokumendile – sellisel juhul tekib dokumendile asutuse mõõde ning allkirjastanud isikule allkirjastamise kontekst.
 • Automaatselt genereeritud digitaalsed kinnitused (ilma digitaalallkirjata) – selline tehnika annab võimaluse moodustada iseseisvalt käsitletav fail mingi infosüsteemi poolt genereeritud andmetest. Nii on võimalik veebiteenustes genereerida mitmesuguseid tõendeid ja väljavõtteid, mida kasutaja saab salvestada ning hiljem on salvestatu puhul võimalik tõendada info terviklust, päritolu ja moodustamise konteksti.

Asutuse digitaalne kinnitus vastab failivormingult digitaalallkirja omale (*.ddoc) ning kõik DigiDoc- rakendused suudavad neid käsitleda. Sertifikaate asutuse digitaalseks kinnituseks väljastab SK.

Asutuse digitaalse kinnitusega varustatud dokument on efektiivseim viis asendada praegust olukorda, kus pabertõendeid väljastatakse ametniku poolt infosüsteemist andmete väljatrükkimise abil. Ametniku allkiri ei anna pabertõendile sisulist väärtust, kuna ametnik ei ole tüüpiliselt võimeline vastutama kogu infosüsteemi sisu eest.

Peamised printsiibid, mida peaks teadma

Järgnevalt on summeeritud põhipunktid, mida silmas pidada e-teenuste arendamisel seoses ID-kaardi ja Eesti avaliku võtme infrastruktuuriga.

 • ID-kaart on riigi poolt väljastatav vahend, mida riik ise peab maksimaalselt ära kasutama.
 • Tuleb soodustada ametlikku suhtlust kodanikuga @eesti.ee meiliaadressi kaudu.
 • Kõik autentimist nõudvad süsteemid peavad võimaldama ID-kaardiga autentimist.
 • Peab aktsepteerima digitaalallkirja ja igal võimalikul juhul peab neid ise ka tekitama.
 • Asutuse dimensiooni näitamiseks ja automaatsete infosüsteemi väljavõtete turvamiseks on olemas asutuste digitaalsed kinnitused.
 • Lisainformatsioon on olemas ID-kaardi portaalis (http://www.id.ee) ja SK kodulehel (http://www.sk.ee).
 • Isikukoodi kasutamine autentimiseks on kodanikule ohtlik ning äärmiselt ebasoovitav.

Rahvusvahelisel tasemel toetab Eesti usalduskeskuse (Trust Centre) loomist, mis võimaldaks eri maade PKI infrastruktuuride koostööd, ideaalsel juhul – püüab toimida ise sellise keskusena.

Eesti toetab samuti teenuste vahetamise keskuse loomist, mis toimiks eri maade teenuskeskkondade vahekihina ("vahekihtide vahekiht", "X-teede X-tee") ja võimaldaks paremini vahetada erinevate maade e-teenuseid. Ideaaljuhul võiks X-tee või sellelaadne keskkond olla ise sellise keskuse rollis.

Standardid

Infosüsteemide turvameetmete süsteem (ISKE)

ISKE rakendamine

Infosüsteemide turvameetmete süsteemi kehtestamise eesmärgiks on määratleda üheselt mõistetavalt infosüsteemide turvanõuete spetsifitseerimise kord, turvanõuetest lähtuvalt andmeturbe eesmärkidele vastavate turvaklasside määramise kord ja turvaklassidele vastavate turvameetmete valimise kord.

Infosüsteemi turvaanalüüsi põhjal määratakse töödeldavate andmete koosseisu alusel turvaosaklassid, mille juures arvestatakse enim kaitsmist vajavate andmete andmeturbe eesmärgi taset. Turvaosaklassi tähistamisel kasutatakse vastava andmeturbe eesmärgi nimetusele viitavat tähte ja taseme numbrit. Turbetasemed jaotatakse teabe käideldavuse (K - eelnevalt kokkulepitud vajalikul/nõutaval tööajal kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile), tervikluse (T - andmete õigsuse/täielikkuse/ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine) ja konfidentsiaalsuse (S - andmete kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele) alusel. Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses K-T-S, näiteks K2T3S1.

Turvaklassidele vastavate turvameetmete valimine toimub infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) rakendamisjuhendi alusel. Riigi Infosüsteemide Arenduskeskusel on kohustus tagada meetmete ajakohasus.

Infosüsteemide turvameetmete süsteemi on määratletud järgmiste dokumentidega: Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273 "Infosüsteemide turvameetmete süsteemi kehtestamine" ja rakendusjuhend koos lisadega („Infosüsteemide kolmeastmelise etalonturbe süsteem ISKE“).

Vastavalt Vabariigi Valitsuse määrusele nr 273 määrab andmekogu vastutav töötleja enne määruse jõustumist asutatud andmekogu andmetele turvaklassid ja rakendab andmekogu andmeid töötlevale infosüsteemile etappide kaupa vastavad turvameetmed hiljemalt 1. jaanuaril 2008. a. Peale seda tähtaega alustatakse ka olulisemate andmekogude ISKE põhist auditeerimist.

Teised andmekasutajad ja teenustasemete lepped

ISKE rakendamisel (turvaklasside määramisel, turvameetmete valimisel, turvameetmete rakendamisel) lähtutakse mõnikord vaid oma asutuse seisukohtadest. Selline lähenemine on ühest küljest loomulik, samas võivad mingi asutuse infosüsteemi andmetest kriitiliselt sõltuda ka teiste asutuste süsteemid. Seega on asutuse põhisel lähenemisel vähemalt kaks tõsist puudust.

Esiteks, asutuse seisukohast tehtud rakendamine ei pruugi arvestada teiste tarbijate vajadustega (turvaklasside määramisel) ning nende poolt põhjustatud koormustega (turvameetmete valimisel ja rakendamisel). Seepärast tuleks ISKE rakendamisel lisaks oma asutusele arvese võtta ka teiste andmekasutajate vajadusi.

Teiseks, ISKE turvaklassid annavad väga üldise pildi turvaomadustest. Paljude teenuste jaoks on vaja tunduvalt täpsemat spetsifikatsiooni, näiteks aegkriitilise teabe käideldavuse osas. Seepärast on soovitatav lisaks ISKE rakendamisele kehtestada teenustasemete lepped andmekogude poolt pakutavate teenuste ja andmete osas.


Soovitatavad standardid, juhised ja tehnoloogiad

Standardid

TeemaStandard või juhisLühend
Turbe korraldusEVS-ISO/IEC 17799:2003. Infotehnoloogia. Infoturbe halduse menetluskoodeks (asendamisel standardiga ISO 27002)EVS-ISO/IEC 17799:2003, ISO 27002
Turbe korraldusEVS-ISO/IEC TR 13335. Infotehnoloogia. Infoturbe halduse suunised. Osad 1-5EVS-ISO/IEC TR 13335
Turbe korraldusISO TR 13569 Pangandus ja sellega seotud rahandusteenused. Infoturbe suunisedISO TR 13569
Turbe korraldusGovernance, Control and Audit for Information and Related Technology (COBIT). Infosüsteemide auditi ja juhtimise fondi väljaanneCOBIT
Elutsükli protsesside haldamineEVS-ISO/IEC 12207:1998 Infotehnoloogia. Tarkvara elutsükli protsessid.
EVS-ISO/IEC TR 15271:1999 Infotehnoloogia. ISO/IEC 12207(Tarkvara elutsükli protsessid) juhend.
EVS-ISO/IEC 12207, EVS-ISO/IEC TR 15271
Sõnastikud EVS-ISO/IEC 2382. Infotehnoloogia. Sõnastik EVS-ISO/IEC 2382
Etalonturve Infosüsteemide kolmeastmelise etalonturbe süsteem (ISKE). ISKE aluseks olev BSI IT-Grundschutzhandbuch ja vastav ingliskeelne versioon, mis põhineb iga kord eelmisel saksakeelsel väljaandel ISKE, BSI

Tehnoloogiad/protokollid

TeemaTehnoloogia/protokollLühend
IP-SECIPSEC koosneb kolmest komponendist: Authentication Header (AH) Protocol, the Encapsulating Secure Payload (ESP) Protocol, and Key ManagementIP SEC
PKIID-kaardil olevate sertifikaatide (ESTEID) profiil : http://www.sk.ee/pages.php/02020305,279ESTEID 3.1
SSL/TLSSSL (Secure Socket Layer) , TLS (Transport Layer Security) on IETF protokollid: www.ietf.org/rfc/rfc2246.txtSSL 3/TLS
S/MIMESecure/Multipurpose Internet Mail Extensions (S/MIME) v 3S/MIME
SSHSecure Shell (SSH) v 2SSH
Võrguteenuste turvalisus. SAMLSecurity Assertion Markup Language (SAML): http://www.oasis-open.org/committees/security/index.shtmlSAML
XML SignatureXML Signature Syntax and Processing: www.w3.org/TR/2002/REC-xmldsig-core-20020212/ XMLSig
XML encryptionXML-Encryption Syntax and Processing (XMLenc): http://www.w3.org/TR/xmlenc-core/XMLenc
XML Key managementXML-Key Management Specification (XKMS) v 2.0: http://www.w3.org/TR/xkms2/XKMS
Tulemüürid. PaketifilterPacket filteringPacket filtering
NATNetwork Address Translation (NAT)NAT
LüüsApplication level gateway ehk proxy serverProxy
DMZDemilitarised zone (DMZ)DMZ

RAAMISTIKU RAKENDAMINE

Soovitused infoturbe saavutamiseks

Oma süsteemide arenduse ja nende koosvõime tagamise juures peab riigi või kohaliku omavalitsuse andmekogusid pidava asutuse tippjuht, IT juht või IT spetsialist arvestama järgmist:

 • Asutuse infotöö korraldamisel tuleb järgida Vabariigi Valitsuse määrust "Infosüsteemide turvameetmete süsteem" ning ISKE-metoodikat. Samuti tuleb arvesse võtta COBIT raamistikku ning infoturbe alaseid standardeid, näiteks EVS-ISO/IEC 17799:2003.
 • Asutuse infoturbe poliitika ning eelarve kavandamisel tuleb arvestada lisaks infopoliitika ja infopoliitika tegevuskavade dokumente, Riigi IT arhitektuuri ja koosvõime raamistikku, Riigi infosüsteemi keskse infrastruktuuri teenuste kontseptsiooni jt. Otstarbekas on arvestada ka asutuse infoturbe poliitika ja asutuse infosüsteemi talitluspidevuse- ja taasteplaanide kohta käivaid soovitusi.
 • Andmekogude arenduses tuleb järgida avaliku teabe seadust, Vabariigi Valitsuse määrust "Infosüsteemide turvameetmete süsteemi kehtestamine" ning ISKE-metoodikat, samuti Vabariigi Valitsuse määrust "Infosüsteemide andmevahetuskihi rakendamine" ja ülaltoodud standardeid.
 • Kui on tegemist isikuandmetega, tuleb lisaks järgida isikuandmete kaitse seadust ning Andmekaitse Inspektsiooni nõudmisi käideldavuse, tervikluse ja konfidentsiaalsuse tagamiseks isikuandmete töötlemisel.

ISKE-metoodikast, infoturbe alastest standarditest, COBIT raamistikust ja strateegia dokumentidest tuleb lähtuda ka siis, kui asutus ei pea andmekogusid ega töötle isikuandmeid.

Lähtudes Vabariigi Valitsuse määrusest "Infosüsteemide turvameetmete süsteemi kehtestamine", tuleb alustada infoturbe eesmärkidele vastavate turvaklasside määramisega. Vastavalt turvaklassidele tuleb valida turvameetmed vastavalt ISKE rakendamisjuhendile.

Igal juhul tuleb tegeleda infoturbe haldusega, mis hõlmab tavaliselt järgmisi tegevusi:

 • Asutuse infoturbe poliitika väljatöötamine.
 • Infoturbe organisatsioonilise struktuuri loomine, sealhulgas rollide ja kohustuste piiritlemine organisatsioonis.
 • Riskihaldus, sh järgmiste elementide piiritlemine ja hindamine: kaitsmisele kuuluvad varad, ohud, nõrkused, toimed, riskid, turvameetmed, jääkriskid, kitsendused.
 • Vajadusel infoturbe kontseptsiooni koostamine, mis sisaldab vajaliku turbetaseme määramist, praeguse infoturbe olukorra kirjeldust, etalonmeetmete valimist, vajadusel lisameetmete valimist vastavalt riskianalüüsi tulemustele, kõigi meetmete ühendamist ja koostoime hindamist, turbekulude hindamist ja plaanimist, jääkriski hindamist ja kinnitamist.
 • Konfiguratsioonihaldus.
 • Muutuste haldus.
 • Talitluse pidevuse plaanimine ja avariijärgse taaste plaanimine.
 • Turvameetmete valimine ja teostamine.
 • Infoturbe alane koolitus, personali teadvustamine infoturbe küsimustest.
 • Järeltegevused, sh hooldus, turvaaudit, seire, läbivaatus, intsidentide käsitlus.
 • Infoturbe aruanded juhtkonnale.

Mitmed neist tegevustest käivad suuremal või vähemal määral paralleelselt.

Infoturbe alane kontrollküsimustik alustamiseks

ISKE põhjal tuleb kehtestada riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete süsteem. ISKE on väga põhjalik ning võib näida, et midagi muud vaja ei olegi. Muuhulgas katab ISKE sellised olulised teemad, nagu infoturbe organisatsioon, koolitus, analüüs, turvapoliitikad, intsidentide käsitlus, väljasttellimine ja varundus, samuti infrastruktuuri, süsteemide, rakenduste ja võrkude kaitse.

Siiski jäävad ISKE skoobist välja mitmed asutuse piirest väljuvad küsimused, samuti on ISKE kasutamiseni vaja jõuda. Seepärast on järgnevalt toodud lühiküsimustik valdkonna infoturbepoliitika eest vastutajale, asutuse IT juhile ja asutuse infoturbe eest vastutajale.

 • Kas oma valdkonna ülesanded Eesti infoturbe kujundamisel, sealhulgas infoturbe raamistikus mainitud tegevused, on analüüsitud, teadvustatud ja delegeeritud?
 • Kas asutusel on olemas infoturbe eest vastutaja?
 • Kas asutuse ja selle andmekogude infoturbe olukorda arutatakse perioodiliselt juhtkonna poolt?
 • Kas asutuse IT infrastruktuuri ja andmekogude olukord on viidud (viidavad) ISKE rakendamise tähtajaks selle nõuetele vastavaks?
 • Kas ISKE turvaklasside määratlemisel on võetud arvesse ka teiste andmekasutajate vajadusest tulenevaid nõudmisi, näiteks konfidentsiaalsuse ja käideldavuse osas?
 • Kas vajadusel on täpsustatud teistele andmekasutajatele vajalikke teenustasemete reaalseid väärtusi?
 • Kas ISKE-le vastavust on hinnatud (auditeeritud)?
 • Kas asutusel on olemas üldine tegutsemise plaan võimaliku suure infoturbe intsidendi puhul, mis võib hõlmata mitmeid ametkondi?
 • Kas on võetud arvesse (delikaatsete) isikuandmete töötlemisest tulenevaid nõudmisi, kus see on vajalik?

Mõõdikud

Majandus- ja Kommunikatsiooniministeerium osaleb interneti turvalisuse mõõdikute väljatöötamisel ja propageerimisel ning viib läbi ID-kaardi ja e-teenuste kasutatavust analüüsivaid uuringuid. Muuhulgas käsitletakse järgmisi võimalikke mõõdikuid.

 • ID-kaarti elektrooniliselt isikutuvastuseks ja digiallkirjastamiseks kasutavate Eesti elanike arv (dokumendis "Arvutikaitse 2009" püstitatud eesmärk - 400 000 Eesti elanikku 2009. aastaks).
 • Turvaliste, ID-kaardi võimalusi arvestavate lahenduste arv avaliku sektori e-teenuste pakkumiseks ning avaliku sektori sisemiseks toimimiseks.
 • Realiseeritud rakenduste arv Euroopa Liidu poolt pakutud e-teenuste näidisvalikust.
 • ISKE põhjal auditeeritud asutuste arv.
 • CERT Eesti tegevuse mõõdikud.

Lisaks ülaltoodutele on mitmeid muid võimalikke mõõdikuid, mille otstarbekust tuleb veel analüüsida, näiteks rünnete arv, rämpsposti osakaal, illegaalse sisu osakaal.

MÕISTED JA LÜHENDID

Autentimine (identifitseerimine) – protseduur, mille käigus tehakse kindlaks teenuse kasutamist taotlev isik või infosüsteem. Infosüsteem autenditakse riigi infosüsteemide andmevahetuskihi poolt antud turvaserveri sertifikaadi alusel. Infosüsteemi kasutava isiku autentimise eest vastutab infosüsteemi haldav asutus. Riigi ja kohaliku omavalitsuse infosüsteemide kasutajad (ametnikud) autenditakse ID-kaardiga. Autenditud infosüsteemi teenuseid kasutav rakendus autenditakse täiendavalt rakenduse eest vastutava isiku sertifikaadi alusel. Isikud ja ettevõtjad, kes kasutavad teenuseid läbi kodanikuportaali, autenditakse ID-kaardi või internetipankade vahendusel.

Autoriseerimine – protseduur, mille käigus tehakse kindlaks teenust taotleva autenditud isiku või infosüsteemi õigus teenust kasutada. Kasutajainfosüsteem autoriseeritakse vastavalt selle kuuluvusele teatud kasutajagruppi (kasutajagrupp võib koosneda ka ühest asutusest). Kasutajagruppe loob ja haldab RIHA. Vastutus kasutajagrupi autoriseerimise eest lasub teenuseosutajal. Kasutajainfosüsteemi kaudu teenuseid kasutavaid isikuid autoriseerib seda süsteemi haldav asutus.

Avalik teenus – mingi organisatsiooni poolt kodanikele, asutustele, ettevõtetele või organisatsioonidele pakutav teenus.

CERT - Computer Emergency Response Team.

COBIT - Governance, Control and Audit for Information and Related Technology (Info- ja sellega seotud tehnoloogia haldamine, juhtimine ja audit). Infosüsteemide auditi ja juhtimise fondi väljaanne.

Domeen – inglise keeles domain või domain name, on internetiaadress (www aadress). Domeen koosneb tähtedest ja/või numbritest (näiteks eesti.ee), ning on võetud kasutusele selleks, et ei oleks vaja meeles pidada IP (Internet Protocol) aadresse.

e-Eesti – üldnimetus Eestis rakendatud ja rakendatavate infosüsteemide ja elektroonsete rakenduste kogumile, s.o Eesti elu peegeldus elektroonses keskkonnas – s.h kõik abivahendid, protseduurid, teenused jms. Hõlmab kõikides sektorites (avalik, era-, kolmas sektor) ja kõikides eluvaldkondades tehtavat.

e-kodanik – kodanikukeskne (kliendikeskne) lähenemine/vaade kogu e-keskkonnale. Abivahendid ja rakendused e-keskkonna muutmiseks kodanikule arusaadavaks ja mugavaks. Põhimõtete, meetmete ja arendusprojektide kogum e-keskkonna loomiseks ja arendamiseks kodaniku vajadustest ja nõuetest lähtuvalt.

e-riik – avaliku sektori elektroonsete rakenduste ja infosüsteemide kogum. Hõlmab kogu avalikus sektoris (riiklik sektor, kohalikud omavalitsused, avalik-õiguslik) tehtavat.

e-teenused – kõikvõimalikud teenused (kasutajale lisaväärtust loovad toimingud) elektroonses keskkonnas. Teenused võivad olla väga erinevat tüüpi: ühekordsed infoteenused, pikaajalised protsessipõhised menetlusteenused, e-demokraatia teenused (hääletamine, valimine jms). Teenuste pakkujateks võivad olla mistahes asutused, ettevõtted, organisatsioonid üksikisikud. Teenused võivad olla nii inimesele suunatud kui ka infosüsteemide vahelised.

e-valitsus – valitsuse, täidesaatva võimu elektroonsed rakendused, infosüsteemid ning vastavad vahendid ja protseduurid täidesaatva võimu funktsioonide täitmiseks.

IKT - info-ja kommunikatsioonitehnoloogia.

Informatsiooniline infrastruktuur – informatsioon ning inimesed, protsessid, protseduurid, vahendid, rajatised ja tehnoloogia informatsiooni loomiseks, kasutamiseks, edastamiseks, säilitamiseks ja hävitamiseks.

ISKE - infosüsteemide kolmeastmeline etalonturbe süsteem.

IT – infotehnoloogia.

Koosvõime – infosüsteemide ja nende poolt toetavate tegevusprotsesside võime vahetada andmeid ja ühiselt kasutada informatsiooni ja teadmisi.

Koosvõime raamistik – standardite ja juhendite kogum, mida organisatsioonid järgivad üksteisega suhtlemisel.

Kriitiline infrastruktuur – kriitilised infrastruktuurid koosnevad nendest füüsilistest ja infotehnoloogia rajatistest, võrkudest, teenustest ja ressurssidest, millel häirimisel või hävitamisel on tugev mõju kodanike tervisele, ohutusele, julgeolekule või majanduslikule heaolule või liikmesriikide valitsuste tõhusale toimimisele. Kriitilised infrastruktuurid hõlmavad paljusid majandussektoreid, kaasa arvatud pangandus ja rahandus, transport ja turustamine, energia, kommunaalmajandus, tervishoid, toiduga varustamine ja side, samuti ka valitsuse võtmeteenistused. Mõningad kriitilised elemendid nendes sektorites pole rangelt võttes „infrastruktuur”, kuid on tegelikult võrgud või tarneahelad, mis toetavad elutähtsate toodete või teenuste laialijagamist. Näiteks on toidu- või veevarustus meie suuremates linnastunud piirkondades sõltuv teatud võtmerajatistest, kuid samuti tootjate, töötlejate, turustajate ja jaemüüjate komplekssest võrgust (Komisjoni teatis Nõukogule ja Euroopa Parlamendile - Kriitilise infrastruktuuri kaitse terrorismivastases võitluses /* KOM/2004/0702 lõplik */).

Kriitiline informatsiooniline infrastruktuur (Critical Information Infrastructure, CII)) – informatsioonilise infrastruktuuri komponendid, mis on kas ise kriitilised või mis on hädavajalikud kriitilise infrastruktuuri toimimiseks.

PKI – Public Key Infrastructure – avaliku võtme infrastruktuur.

RISO – Riigi infosüsteemide osakond Majandus- ja Kommunikatsiooniministeeriumis (MKM).

XML – eXtensible Mark-up Language, tekstiline vorming struktureeritud andmete esitamiseks. Andmed esitatakse siltidega (tag) märgendatud elementidele antud väärtuste ja atribuutidena, kus element võib sisaldada skalaarväärtust või teistest elementidest koosnevat struktuuri.

X-tee – universaalne turvaline andmevahetuskeskkond (vaata http://x-tee.riik.ee/ ) tagamaks kodanikele, ametiisikutele ja ettevõtjatele andmebaaside kasutamise nende volituste piirides.