Nõuded

Küberturvet vaadeldakse salastatud teabe puhul alati kompleksselt koos füüsilise, personali, dokumendi- ja tööstusjulgeolekuga. Teised valdkonnad moodustavad n-ö eeldused selleks, et luua küberohtude eest kaitstud IT-süsteem ehk töötlussüsteem.

Sarnaselt andmeturbe üldisele aluspõhimõttele lähtub ka salastatud teavet sisaldavate IT-süsteemide küberturve (õigusaktidest tuntud kui «elektrooniline teabeturve») järgmistest printsiipidest:

Turvalisuse kolmnurk

• Salajasus — salastatud teave peab olema kättesaadav vaid volitatud isikule ja jääma teiste eest varjatuks (inglise keeles confidentiality)
• Terviklus — salastatud teave peab olema edastatud terviklikult, st algset sõnumi sisu muutmata (inglise keeles integrity)
• Käideldavus — salastatud teave peab olema õigele lugejale vajalikul hetkel kättesaadav (inglise keeles availability)

Enne salastatud IT-süsteemi rajamist alusta järgmiste turvalisuse põhimõtete lahtimõtestamisest, pöörates erilist tähelepanu riskide pidevale juhtimisele:

Turvalisuse viisnurk

• Minimaalsus — kasutada võib üksnes neid funktsioone, protokolle või teenuseid, mis on vajalikud teabe töötlemiseks või selle turvalisuse tagamiseks
• Pidev riskihaldus — katkematult peab toimuma süsteemi turvariskide ohjamine, sealhulgas vältimine, vähendamine, kõrvalejuhtimine ja lubatav aktsepteerimine
• Õiguste piiramine — süsteemi kasutajatel ja administraatoritel on ainult tööülesannete täitmiseks vajalikud kasutajaõigused
• Enesekaitse — eeldatakse süsteemiga ühendatud kõikide teiste süsteemide ebausaldusväärsust ning nendega teabe vahetamisel rakendatakse piisavaid turvameetmeid
• Sügavuti kaitse (sibul) — ühe kasutatava turvameetme rikke korral ei tohi süsteem muutuda ebaturvaliseks

Neist aluspõhimõtetest lähtudes panustab Välisluureamet aktiivselt töötlussüsteemidele kehtivate riigiüleste reeglite sõnastamisse. Tulemuseks on töötlussüsteemidele esitatud nõuded, mis on kirjas järgmistes õigusaktides.

• Riigisaladuse ja välisteabe kaitse seadus Seaduses on seletatud salastatud teabe riiklik korraldus ning aluspõhimõtted, millest peab lähtuma saladuse kaitsel (sh elektroonilisel kujul liikuva saladuse), füüsilise ja personali julgeoleku korraldamisel. Küberturbe seisukohast jälgi termineid «elektrooniline teabeturve» ja «töötlussüsteemi akrediteerimine». Eraettevõtted peavad tähelepanelikult tutvuma töötlemisloa taotlemist reguleeriva osaga.
• Riigisaladuse ja salastatud välisteabe kaitse kord (VV 20.12.2007 määrus nr 262, edaspidi: RSVKK) Määruses on kirjeldatud elektroonilise teabe töötlemise aluspõhimõtted ja erinõuded — tähelepanelikult vt jagu 8 — «Salastatud teabe elektrooniline töötlemine». Lisaks saab detailsemaid kehtivaid reegleid kehtestatava salastatud teabe alaliikide ning füüsilise, personali ja tööstusjulgeoleku kohta.
• Arvutite ja kohtvõrkude kaitse nõuded (Kaitseministri 19.06.2020 määrus nr 11 koos lisaga, edaspidi: AKKN) Määrusega kehtestatakse veel täpsemalt küberturbe nõuete loetelu salastatud töötlussüsteemi osaks olevale arvutile, koht- ja arvutivõrkudele ning perimeetri kaitsele.
• Nõuded krüptomaterjalidele, nende töötlemisele ja kaitsmisele (Kaitseministri 28.10.2015 määruse nr 29) on kirjas PIIRATUD juurdepääsupiiranguga määruse lisas, millega saad tutvuda Välisluureameti või Kaitseministeeriumi vahendusel, kui omad juba õigust töödelda PIIRATUD tasemel riigisaladust ning teadmisvajadust.
• Kiirgusturbe tagamise nõuded (Kaitseministri 07.03.2008 määrus nr 5) on kirjas PIIRATUD juurdepääsupiiranguga määruse lisas, millega saad tutvuda Välisluureameti või Kaitseministeeriumi vahendusel, kui omad juba õigust töödelda PIIRATUD tasemel riigisaladust ning teadmisvajadust.
• Euroopa Liidu Nõukogu julgeolekueeskirjad (2013/488/EL) reguleerivad EL-i salastatud teabe aluspõhimõtteid. Töötlussüsteemidele kehtivate täpsemate, asutusesiseseks kasutuseks mõeldud dokumentidega saad tutvuda Välisluureameti vahendusel.
• NATO julgeoleku põhidirektiivis (C-M(2002)49-REV1) , spetsiifilisemalt NATO side- ja infosüsteemide turvalisuse põhidirektiivis (AC/35-D/2004-REV3) on reguleeritud NATO saladuste töötlemisele kehtivad aluspõhimõtted. Veel täpsemate NATO teabe elektroonilist töötlemist reguleerivate, asutusesiseseks kasutuseks mõeldud dokumentidega saad tutvuda Välisluureameti vahendusel.