Riikliku järelevalvemenetluse alustamise teade



Madis Veskimägi
OÜ Tõstamaa Tervisekeskus
madis@tostamaa.ee



Meie 29.07.2024 nr 8-1/24-0265/241250
Riikliku järelevalvemenetluse alustamise teade


Austatud Madis Veskimägi


Alates 01.01.2022. a on perearstidel küberturvalisuse seaduse (KüTS) § 3 lg 1 p 7 alusel olnud kohustus rakendada üldarstiabi osutamisel KüTS § 7 ja § 8 ning nende alusel kehtestatud nõudeid. Alates 01.07.2023 on perearstid kohustatud nimetatud nõudeid täitma Eesti infoturbestandardi (E-ITS) või ISO/IEC 27001 järgi (KüTS § 3 lg 1 p 7, KüTS § 7, VV määrus 09.12.2022 nr 121 "Võrgu- ja infosüsteemide küberturvalisuse nõuded").

Vastavalt KüTS § 14 lg 1 teostab KüTS-is ja selle alusel kehtestatud õigusaktides sätestatud nõuete täitmise üle riiklikku järelevalvet Riigi Infosüsteemi Amet (edaspidi RIA).

Käesoleva kirjaga annab RIA teada, et alustab OÜ Tõstamaa Tervisekeskus (edaspidi Tervisekeskus) (registrikoodiga 12030963) suhtes riikliku järelevalvemenetluse, et kontrollida Tervisekeskuse poolt KüTS § 7 ja § 8 sätestatud nõuete täitmist.

Tulenevalt eeltoodust, palume esitada infoturbe korraldamist kajastavad materjalid (kirjeldused või muud dokumendid) RIA järelevalveosakonnale vähemalt alljärgneva kohta:
1. korrad, eeskirjad, poliitikad vms, mis reguleerivad Tervisekeskuse infoturbe protsessi, arvutite kasutamist, kaugtöö tegemist, IT ja teiste tehniliste süsteemide haldamist;
2. kasutajaõiguste ja süsteemidele ligipääsuõiguste andmine;
3. andmetest varukoopiate tegemine ja varukoopiate töökindluse kontrollimine;
4. Tervisekeskuses kasutusel olevast tarkvarast ajakohase ülevaate olemasolu;
5. süsteemides tehtavate toimingute logimine toimingu tegija, liigi ja tegemise ajaga;
6. süsteemide tehniline logimine ja logihaldus;
7. viirusetõrje ja ründetuvastuse lahendus;
8. süsteemide turvalisuse ja toimepidevuse tagamine (sh füüsilise turvalisuse tagamine);
9. ülevaade arvutivõrgust ja seal paiknevate seadmete seostest (esitada võrgulahendust kirjeldav joonis);
10. KüTS § 8 küberintsidentidest teavitamise kohustus.

Kui soovite edastada RIA-le muud informatsiooni, mis puudutab infosüsteemide turvameetmete rakendamise kohta kehtestatud nõuete täitmist, siis palume lisada see antud kirja vastusesse. Palume lisada järelpärimise vastusesse Tervisekeskuse sertifikaat või töötaja isikukood, mida oleks võimalik menetlustoimingute käigus loodavate dokumentide turvaliseks edastamiseks (krüpteerimiseks) kasutada.

Menetluse käigus soovime tutvuda Tervisekeskuses kohapeal arvutivõrgu ülesehitusega ning infoturbe juurutamisega igapäevatöösse. Kohtumise täpsema aja lepime kokku menetluse hilisemas etapis. Kohtumisele ootame asjakohast juhatuse liiget, IT-juhti/spetsialisti, infoturbejuhti (kui on Tervisekeskuses) ning andmekaitsespetsialisti.

Järelepärimisele palume vastata hiljemalt 12.08.2024, saates vastuse e-posti aadressile ramo.tomingas@ria.ee. Vastuse palume krüpteerida, kasutades RIA sertifikaati „RIA:CYBER“.

Haldusmenetluse seaduse § 40 lg 1 kohaselt on Teil õigus esitada RIA-le asja kohta oma arvamus ja vastuväiteid. Riikliku järelevalve tegemisel on RIA-l õigus kohaldada KüTS § 15 ja § 16 sätestatud meetmeid.

Täiendavate küsimuste korral võite pöörduda RIA poole käesoleva kirja lõpus olevate kontaktide kaudu.


Lugupidamisega



(allkirjastatud digitaalselt)

Ramo Tomingas
ekspert




















Ramo Tomingas
59817882 Ramo.Tomingas@ria.ee