ISKE = InfoSüsteemide Kolmeastmeline Etalonturbe süsteem
Igasuguse infoturbe aluseks on riskianalüüs. Ohutegurid, turvameetmeid vajavate alade ja nende turvariskide tuvastamine, riskide esinemise tõenäosuse ja kaalukuse määramine, turvameetmete määramine ja parandamine, jääkriski aktsepteerimine … See on täismahus väga töömahukas. Seetõttu räägime täna etalonturbest. Etalonturve on tüpiseeritud minimaalne turvameetmestik, mida tuleb rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
ISKE, infosüsteemide kolmeastmeline etalonturbe süsteem, on mõeldud Eesti riigi ja kohaliku omavalitsuse andmekogusid töötlevate infosüsteemide ning nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. ISKE on väga lihtsalt rakendatav ka äriettevõtetes ja mittetulunduslikes organisatsioonides. ISKE ei ole mõeldud riigisaladust käitlevate infosüsteemide turbeks.
ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (Bundesamt für Sicherheit in der Informationstechnik, Federal Office for Information Security) poolt avaldatav infoturbe standard - IT Baseline Protection Manual (IT-Grundschutz).
ISKE rakendusjuhendi esimene versioon valmis 2003. aasta oktoobris, hetkel kehtib versioon 4.01 (16.12.2008)
Vabariigi Valitsus on Infosüsteemide turvameetmete süsteemi kehtestanud oma 20. detsembri 2007. a määrusega nr 252 (RT I 2007, 71, 440), jõustunud 1.01.2008. ISKE kohustuslikkuse sätestab AvTS § 439 lg 3: "Riigi infosüsteemi kindlustavate süsteemide kasutamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel".
Lisaks andmekogude (registrite) pidajatele on kohustus ISKE meetmeid rakendada ka vastavate registrite kasutajatel. Peamine põhjus on selles, et kuigi riiklikud registrid (näiteks Ehitisregister, Rahvastikuregister) ei paikne kasutaja (omavalitsuse) ruumides ja ei ole kasutaja ka nende registrite vastutav töötleja, siis on kasutajatel sellegipoolest olemas õigused teha neisse registritesse päringuid, uuendada andmeid ja teha teisi toiminguid. Kui kasutaja poolt pole tagatud piisaval tasemel turvalisus, siis ei ole võimalik tagada ka kogu registri turvalisust.
ISKE-s on kirjeldatud kolme turbeastet – L“ – madal, „M“ – keskmine, „H“ – kõrge. Lisaks on ka „Z“, mis tähistab soovituslikke meetmeid, mida võib vaja minna eelkõige kõrgema turvanõudluse puhul. Meetmestik on ehitatud kihilisena, nii et keskmine aste saadakse teatud meetmete lisamise teel madala astme omadele ja kõrge aste saadakse teatud meetmete lisamisel keskmise astme omadele.
Nõutav turbetase määratakse vastavalt infoturbe eesmärkidele käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S) parameetrite kaudu, igaüks neist omakorda neljapallilisel skaalal (0-3). Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses KTS (näiteks K2T3S1)
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse «H», on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a, turbeastmega «M» hiljemalt 1. detsembriks 2010. a ning turbeastmega «L» hiljemalt 1. märtsiks 2011. a.
Andmekogu vastutav töötleja, kelle andmekogu turbeaste on «H», peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kahe aasta järel, turbeastmega «M» iga kolme aasta järel ning turbeastmega «L» iga nelja aasta järel.
Lisainfo:
Avo Raup
IT-konsultatsioonide juht
See e-posti aadress on kaitstud spämmirobotide vastu. E-posti aadressi nägemiseks peab olema JavaSkripti kasutamine olema lubatud.
Konsultatsioon ja koolitus 
