Heldi Ader
osaühing KRISTIINE PEREARSTID
[email protected]
Meie 02.08.2024 nr 8-1/24-0267/241271
Riikliku järelevalvemenetluse alustamise teade
Austatud Heldi Ader
Alates 01.01.2022. a on perearstidel küberturvalisuse seaduse (KüTS) § 3 lg 1 p 7 alusel olnud kohustus rakendada üldarstiabi osutamisel KüTS § 7 ja § 8 ning nende alusel kehtestatud nõudeid. Alates 01.07.2023 on perearstid kohustatud nimetatud nõudeid täitma Eesti infoturbestandardi (E-ITS) või ISO/IEC 27001 järgi (KüTS § 3 lg 1 p 7, KüTS § 7, VV määrus 09.12.2022 nr 121 "Võrgu- ja infosüsteemide küberturvalisuse nõuded").
Vastavalt KüTS § 14 lg 1 teostab KüTS-is ja selle alusel kehtestatud õigusaktides sätestatud nõuete täitmise üle riiklikku järelevalvet Riigi Infosüsteemi Amet (edaspidi RIA).
Käesoleva kirjaga annab RIA teada, et alustab osaühing KRISTIINE PEREARSTID (registrikoodiga 10712948) suhtes riikliku järelevalvemenetluse, et kontrollida osaühingu KRISTIINE PEREARSTID poolt KüTS § 7 ja § 8 sätestatud nõuete täitmist.
Tulenevalt eeltoodust, palume esitada infoturbe korraldamist kajastavad materjalid (kirjeldused või muud dokumendid) RIA järelevalveosakonnale vähemalt alljärgneva kohta:
1. korrad, eeskirjad, poliitikad vms, mis reguleerivad osaühingu KRISTIINE PEREARSTID infoturbe protsessi, arvutite kasutamist, kaugtöö tegemist, IT ja teiste tehniliste süsteemide haldamist;
2. kasutajaõiguste ja süsteemidele ligipääsuõiguste andmine;
3. andmetest varukoopiate tegemine ja varukoopiate töökindluse kontrollimine;
4. osaühingus KRISTIINE PEREARSTID kasutusel olevast tarkvarast ajakohase ülevaate olemasolu;
5. süsteemides tehtavate toimingute logimine toimingu tegija, liigi ja tegemise ajaga;
6. süsteemide tehniline logimine ja logihaldus;
7. viirusetõrje ja ründetuvastuse lahendus;
8. süsteemide turvalisuse ja toimepidevuse tagamine (sh füüsilise turvalisuse tagamine);
9. ülevaade arvutivõrgust ja seal paiknevate seadmete seostest (esitada võrgulahendust kirjeldav joonis);
10. KüTS § 8 küberintsidentidest teavitamise kohustus.
Kui soovite edastada RIA-le muud informatsiooni, mis puudutab infosüsteemide turvameetmete rakendamise kohta kehtestatud nõuete täitmist, siis palume lisada see antud kirja vastusesse. Palume lisada järelpärimise vastusesse osaühingu KRISTIINE PEREARSTID sertifikaat või töötaja isikukood, mida oleks võimalik menetlustoimingute käigus loodavate dokumentide turvaliseks edastamiseks (krüpteerimiseks) kasutada.
Menetluse käigus soovime tutvuda osaühingus KRISTIINE PEREARSTID kohapeal arvutivõrgu ülesehitusega ning infoturbe juurutamisega igapäevatöösse. Kohtumise täpsema aja lepime kokku menetluse hilisemas etapis. Kohtumisele ootame asjakohast juhatuse liiget, IT-juhti/spetsialisti, infoturbejuhti (kui on) ning andmekaitsespetsialisti.
Järelepärimisele palume vastata hiljemalt 16.08.2024, saates vastuse e-posti aadressile
[email protected]. Vastuse palume krüpteerida, kasutades RIA sertifikaati „RIA:CYBER“.
Haldusmenetluse seaduse § 40 lg 1 kohaselt on Teil õigus esitada RIA-le asja kohta oma arvamus ja vastuväiteid. Riikliku järelevalve tegemisel on RIA-l õigus kohaldada KüTS § 15 ja § 16 sätestatud meetmeid.
Täiendavate küsimuste korral võite pöörduda RIA poole käesoleva kirja lõpus olevate kontaktide kaudu.
Lugupidamisega
(allkirjastatud digitaalselt)
Ramo Tomingas
ekspert
Ramo Tomingas
59817882
[email protected]