TÜ teadusarvutuste keskuse infoturbe poliitika

Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika

1. Käsitlusala

Käesolev dokument kehtestab Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika viisil, mis tagab Tartu Ülikooli teadusarvutuste keskuse vastutuse all olevate infovarade konfidentsiaalsuse, tervikluse ja käideldavuse ning lähtub ISO 27001 standardi nõuetest.

Antud infoturbe poliitika kehtib kõikidele Tartu Ülikooli teadusarvutuste keskuse töötajatele ning kolmandatele osapooltele, kes pakuvad Tartu Ülikooli teadusarvutuste keskusele lepingulist teenust või kasutavad Tartu Ülikooli teadusarvutuste keskuse teenuseid.

2. Dokumendi informatsioon

  • 2.1. Dokumendi klassifikatsioon:  TLP:CLEAR . Dokumenti võib vabalt jagada kõikidega ilma piiranguteta.

  • 2.2. Dokumendi muutmise kord: dokumendi ajakohasust hindab vähemalt üks kord aastas Tartu Ülikooli teadusarvutuste keskuse juhataja, kes teeb Tartu Ülikooli arvutiteaduste instituudi juhatajale ettepanekud vajalike muudatuste sisseviimiseks.

3. Mõisted ja lühendid

  • 3.1. Andmed on teabe taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tôlgenduseks vôi töötluseks.

  • 3.2. Infoturve on andmete konfidentsiaalsuse, tervikluse ja käideldavuse säilitamine.

  • 3.3. Konfidentsiaalsus tähendab, et andmed ei ole nähtavad või neile puudub ligipääs volitamata isikutel, olemitel või protsessidel.

  • 3.4. Terviklus tähendab, et on tagatud andmete usaldusväärsus ja autentsus ning pole võimalik teha volitamata muudatusi.

  • 3.5. Käideldavus tähendab, et andmed on kättesaadavad ja kasutuskõlblikud volitatud osapooltele.

  • 3.6. Infoturbe haldussüsteem määrab Tartu Ülikooli teadusarvutuste keskuse infoturbe alase juhtimise, riskide määramise ja haldamise korra, et tagada informatsiooni konfidentsiaalsus, terviklus ja käideldavus.

  • 3.7. Infovara on teave ja andmed ning nende töötlemiseks vajalikud infotehnoloogilised rakendused ning tehnilised vahendid.

  • 3.8. Kasutaja on Tartu Ülikooli teadusarvutuste keskuse ressursse kasutav isik, ettevõte, organisatsioon või üksus.

  • 3.9. Taristuteenus on pilveteenuse liik, mille puhul kasutaja ei halda ega juhi teenuse füüsilisi ega virtuaalseid alusressursse, kuid ta kontrolli all on operatsioonisüsteemid, salvestid ja rakendused, mis neid ressursse kasutavad.

4. Sissejuhatus

Järjest kasvav andmete ja vajaduste mitmekesisus seab erinevad nõuded infoturbele, juhtimisele ja andmekaitsele. Tartu Ülikooli teadusarvutuste keskuse teenuse tarbijad sõltuvad keskuse võimest ja oskustest pakkuda turvalisi andmetöötlusteenuseid, mis vastavad õigusaktides toodud nõuetele ning headele tavadele.

Tartu Ülikooli teadusarvutuste keskuse infoturbe haldussüsteem on loodud selleks, et ennetada ja minimeerida turvaintsidente ning vältida andmete volitamata avalikustamist, mis võiks põhjustada ärilist, isiklikku või mainekahju.

5. Infoturbe põhimõtted

  • 5.1. Infoturbe põhimõteteks on Tartu Ülikooli teadusarvutuste keskuse poolt hallatavate infovarade konfidentsiaalsuse, tervikluse ja käideldavuse tagamine.

  • 5.2. Tartu Ülikooli teadusarvutuste keskuse juhataja vastutab infoturbe eest Tartu Ülikooli teadusarvutuste keskuses. Tartu Ülikooli teadusarvutuste keskuse juhataja võib infoturbe parema korraldamise eesmärgil kehtestada Tartu Ülikooli teadusarvutuste keskuses täiendavaid infoturbe kordasid. Täiendavad infoturbe korrad peavad juhinduma käesolevast infoturbe poliitika dokumendist.

  • 5.3. Infovarade kaitseks rakendab Tartu Ülikooli teadusarvutuste keskus piisavad ja asjakohased meetmed.

  • 5.4. Tartu Ülikooli teadusarvutuste keskus täidab kõiki seadusandlusest, regulatsioonidest ja lepingutest tulenevaid infoturbe alaseid kohustusi.

  • 5.5. Infovarasid tuleb kasutada Tartu Ülikooli teadusarvutuste keskuse tegevusega seotud eesmärkidel.

  • 5.6. Kõikidele Tartu Ülikooli teadusarvutuste keskuse kriitilistele ja tundlikele infovaradele on määratud vastutav peaadministraator.

  • 5.7. Juurdepääs infovaradele tagatakse tõendatud vajaduse korral. Infovarad tohivad olla kättesaadavad ainult neile, kellel on õigus neid kasutada.

  • 5.8. Infoturbe poliitika ja infoturbe nõuete järgimine on kohustuslik kõikidele Tartu Ülikooli teadusarvutuste keskuse töötajatele ja kolmandatele osapooltele, kellel on vahetu kokkupuude infovaradega.

  • 5.9. Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika on avalik dokument ja on kättesaadav nii ülikooli liikmeskonnale kui ka kolmandatele osapooltele.

  • 5.10. Konfidentsiaalsuskohustuse nõue kehtib konfidentsiaalse informatsiooni kohta ja seda kohaldatakse Tartu Ülikooli teadusarvutuste keskuse infovara kasutajatele tulenevalt õigusaktidest ja sõlmitavatest lepingutest.

6. Infoturbe eesmärgid

  • 6.1. Tagada Tartu Ülikooli teadusarvutuste keskuse halduses olevate infovarade konfidentsiaalsus ja terviklus.

  • 6.2. Tagada Tartu Ülikooli teadusarvutuste keskuse halduses olevate infovarade käideldavus vastavalt kehtivatele teenusetaseme lepingutele.

  • 6.3. Tagada, et infoturbe kaalutlused oleks Tartu Ülikooli teadusarvutuste keskuse tegevuste lahutamatu osa.

  • 6.4. Tagada, et infovaradega seotud riske analüüsitakse, käsitletakse ja seiratakse vastavalt Tartu Ülikooli teadusarvutuste keskuse riskihalduse korrale.

  • 6.5. Tagada, et infovarade kasutajad, peaadministraatorid ja muud Tartu Ülikooli teadusarvutuste keskuse infovaradega kokku puutuvad isikud oleksid teadlikud infoturbega seotud kohustustest ja reeglitest.

  • 6.6. Tagada Tartu Ülikooli teadusarvutuste keskuse vastavus kehtivatele õigusnormidele, reeglitele ning muudele endale võetud kohustustega.

  • 6.7. Tagada Tartu Ülikooli teadusarvutuste keskuse infoturbe haldussüsteemi ja organisatsiooni liikmete pidev ja kestlik areng ning läbi selle ka Tartu Ülikooli teadusarvutuste keskuse üldise infoturbe taseme areng.

  • 6.8. Iga-aastaselt üle vaadata käesolev infoturbe poliitika ning sellega kaasnevad korrad ja eeskirjad ning sisse viia vajalikud muudatused.

7. Rollid ja vastutusalad

Infoturbe tagamine ja infoturbe haldussüsteemi juurutamine on kollektiivne tegevus ning kõikidel Tartu Ülikooli teadusarvutuste keskuse töötajatel lasub üldine infoturbe alane vastutus oma tegevuses infoturbe poliitikat järgida. Lisaks, vastavalt rollile Tartu Ülikooli teadusarvutuste keskuses, võib isikul lasuda ka konkreetne infoturbealane vastutus.

  • 7.1. Tartu Ülikooli arvutiteaduste instituudi juhataja
    • 7.1.1. kinnitab Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika.
  • 7.2. Tartu Ülikooli teadusarvutuste keskuse juhataja
    • 7.2.1. toetab infoturbe haldussüsteemi juurutamist, arendamist ja täiustamist;
    • 7.2.2. tagab vajalikud ressursid infoturbe haldussüsteemile;
    • 7.2.3. tagab infoturbe haldussüsteemi vastavuse nõuetele;
    • 7.2.4. nõuab Tartu Ülikooli teadusarvutuste keskuse töötajatelt infoturbe haldussüsteemi nõuete täitmist;
    • 7.2.5. toetab Tartu Ülikooli teadusarvutuste keskuse töötajaid infoturbe haldussüsteemist tulenevate kohustuste täitmisel;
    • 7.2.6. hoolitseb, et infoturve oleks Tartu Ülikooli teadusarvutuste keskuse tulevikustrateegia osa;
    • 7.2.7. kinnitab vajalikud korrad, eeskirjad, juhendid ja põhimõtted.
  • 7.3. Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialist
    • 7.3.1. vastutab infoturbe arengu eest Tartu Ülikooli teadusarvutuste keskuses;
    • 7.3.2. koordineerib infoturbe haldussüsteemi arengut;
    • 7.3.3. dokumenteerib ja teeb ettepanekuid infoturbe alaste kordade, eeskirjade, juhendite ja põhimõtete täiendamiseks;
    • 7.3.4. koordineerib Tartu Ülikool teadusarvutuste keskuse infoturbe riskide kaalutlemist ja haldust;
    • 7.3.5. koordineerib Tartu Ülikooli teadusarvutuste keskuse töötajate infoturbe alast koolitamist;
    • 7.3.6. aitab Tartu Ülikooli teadusarvutuste keskuse töötajatel rakendada turvameetmeid ning tõsta infoturbe alast teadlikkust;
    • 7.3.7. annab Tartu Ülikooli teadusarvutuste keskuse juhatajale vähemalt üks kord aastas ülevaate infoturbe hetkeolukorrast;
    • 7.3.8. korraldab Tartu Ülikooli teadusarvutuste keskuse isikuandmete kaitset vastavalt nõuetele ja õigusaktidele;
    • 7.3.9. jälgib pidevalt, et Tartu Ülikooli teadusarvutuste keskuse tegevus oleks vastavuses kõikide kehtivate regulatsioonide ning seadustega;
    • 7.3.10. vajadusel suhtleb infoturbe alaste küsimuste korral Eesti ametivõimudega;
    • 7.3.11. vajadusel suhtleb infoturbe alaste küsimuste korral teiste Tartu Ülikooli struktuuriüksustega.
  • 7.4. Tartu Ülikooli teadusarvutuste keskuse töötaja
    • 7.4.1. on teadlik infoturbe poliitikast ning talle kohaldusvatest infoturbe alastest kordadest ja regulatsioonidest;
    • 7.4.2. järgib juriidilisi, regulatiivseid ja lepingulisi kohustusi;
    • 7.4.3. teavitab Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialisti infoturbe nõuete rikkumistest ja kahtlustatavatest infoturbe nõrkustest;
    • 7.4.4. on teadlik nõuete mittejärgimise võimalikest tagajärgedest.

8. Infoturbe haldussüsteemi ülevaatus

Tartu Ülikooli teadusarvutuste keskuse juhataja vaatab planeeritud ajavahemike järel üle infoturbe haldussüsteemi, kontrollides selle ajakohasust ning toimivust.

Süsteemi ülevaatusel kontrollib ja hindab keskuse juhataja järgmisi aspekte.

  • 8.1. Varasematest ülevaatustest tulenenud tegevuste staatus.
  • 8.2. Muutused infoturbe halduse süsteemi puudutavates välistes ja sisemistes tegurites.
  • 8.3. Muutused infoturbe halduse süsteemi puudutavate huvipoolte vajadustes ja ootustes.
  • 8.4. Tagasiside infoturbe haldussüsteemi toimimisele, sealhulgas mittevastavused ja parandusmeetmed, seire- ja mõõtmistulemused, auditeerimise tulemused, infoturbe eesmärkide täitmine.
  • 8.5. Riskikaalutlemise protsessi tulemused ja riskikäsitluse plaani seis.
  • 8.6. Võimalused infoturbe haldussüsteemi täiustamiseks.

Ülevaate Tartu Ülikooli teadusarvutuste keskuse juhatajale valmistab ette Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialist. Ülevaatuse tulemite hulka peavad kuuluma otsused infoturbe haldussüsteemi pideva täiustamise võimaluste kohta ning vajalike muudatuste kohta. Ülevaatusega seotud dokumendid, sh ülevaatuse tulemid dokumenteeritakse ja säilitatakse.

9. Mööndused ja erandid

Kõik erandid käesoleva infoturbe poliitika ja selle alusel kehtestatud kordade, eeskirjade, juhendite ja põhimõtete suhtes vaatab üle ja kinnitab Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialist.

Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialist peab dokumenteerima ning juhtkonnale õigustama iga erandit. Lisaks on Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialist kohustatud seirama ning kindla aja tagant üle vaatama, kas erand on end õigustanud ning vajalik.

10. Rakendamine

Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika on avalikult kättesaadav Tartu Ülikooli teadusarvutuste keskuse kodulehel.

Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika alusel on välja töötatud alljärgnevad korrad, eeskirjad, juhendid ja põhimõtted, mis kehtestatakse Tartu Ülikooli teadusarvutuste keskuse juhataja poolt ja on kättesaadavad eraldi dokumentidena:

  • 10.1. Tartu Ülikooli teadusarvutuste keskuse infoturbe haldussüsteemi käsitlusala;
  • 10.2. Tartu Ülikooli teadusarvutuste keskuse varundamise kord;
  • 10.3. Tartu Ülikooli teadusarvutuste keskuse kontrolljälgede ja intsidentide käsitlemise kord;
  • 10.4. Tartu Ülikooli teadusarvutuste keskuse teabe ja infovarade klassifikatsiooni kord;
  • 10.5. Tartu Ülikooli teadusarvutuste keskuse riskihalduse kord;
  • 10.6. Tartu Ülikooli teadusarvutuste keskuse töötajate seadmete haldamise ja kasutamise põhimõtted;
  • 10.7. Tartu Ülikooli teadusarvutuste keskuse krüptograafia haldus;
  • 10.8. Tartu Ülikooli teadusarvutuste keskuse töökorralduse eeskiri;
  • 10.9. Tartu Ülikooli teadusarvutuste keskuse juurdepääsuhaldus;
  • 10.10. Tartu Ülikooli teadusarvutuste keskuse füüsilise turvalisuse kord;
  • 10.11. Tartu Ülikooli teadusarvutuste keskuse muudatuste halduse kord;
  • 10.12. Tartu Ülikooli teadusarvutuste keskuse järjepidevuse ja hädaolukorra taaste kord;
  • 10.13. Tartu Ülikooli teadusarvutuste keskuse kolmandate osapoolte halduse kord;
  • 10.14. Tartu Ülikooli teadusarvutuste keskuse siseauditite kord.

Käesolev infoturbe poliitika ja selle alusel välja töötatud korrad, eeskirjad, juhendid ja põhimõtted on välja töötatud nii eesti kui ka inglise keeles. Juhul kui nende versioonide vahel esineb ebakõlasid, loetakse õigeks eestikeelne versioon. Tartu Ülikooli teadusarvutuste keskus on kohustatud järgima lisaks Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitikale ja selle alusel välja töötatud kordadele, eeskirjadele, juhenditele ja põhimõtetele ka Tartu Ülikooli poolt kehtestatud asjakohaseid õigusakte.

Käesolev infoturbe poliitika ja selle alusel kehtestatud korrad, eeskirjad, juhendid ja põhimõtted on kättesaadaval järgmistes kohtades:

  • 10.15. Tartu Ülikooli teadusarvutuste keskuse infoturbe spetsialisti kabinetis (paberkoopia);
  • 10.16. Tartu Ülikooli teadusarvutuste keskus privaatses dokumentatsiooni keskkonnas;
  • 10.17. Tartu Ülikooli dokumendihaldussüsteemis (https://dok.ut.ee/wd/);
  • 10.18. Tartu Ülikooli teadusarvutuste keskuse koduleheküljel (Tartu Ülikooli teadusarvutuste keskuse infoturbe poliitika).
16 January 2025