| Dokumendiregister | Riigi Tugiteenuste Keskus |
| Viit | 1-1/25/48-1 |
| Registreeritud | 27.10.2025 |
| Sünkroonitud | 28.10.2025 |
| Liik | Käskkiri |
| Funktsioon | 1 Juhtimine 2025- |
| Sari | 1-1 Üldkäskkirjad |
| Toimik | 1-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Maarja Käis (Riigi Tugiteenuste Keskus, Peadirektorile alluvad osakonnad, Arendusosakond) |
| Originaal | Ava uues aknas |
1
Kinnitatud
peadirektori käskkirjaga 27.10.2025 nr 1-1/25/48-1
Infosüsteemide kasutamise kord (K8)
Protsess: Infosüsteemide kasutamine
Protsessi omanik: ISO juhataja
Versioon: 7
Infosüsteemide kasutamise kord sisaldab:
1. Üldpõhimõtted
2. Mõisted
3. Arvuti taotlemine ja kasutamise üldpõhimõtted
4. Piirangud arvuti kasutamisel
5. E-posti kasutamise põhimõtted
6. Infosüsteemide ja võrguressursside kasutamise põhimõtted
7. Infosüsteemi intsidendist teavitamine
8. Infoturbeintsidentide käsitlemine
9. Kasutajanimed ja salasõnad
10. Kasutajaõiguste andmine ja kehtetuks tunnistamine
1. Üldpõhimõtted
Sisu ja eesmärk: Riigi Tugiteenuste Keskusele (edaspidi RTK) osutavad teenuslepete
alusel infotehnoloogia- ja kommunikatsiooniteenuseid (IKT teenuseid)
Rahandusministeeriumi Infotehnoloogiakeskus (edaspidi RMIT) ja Riigi Info- ja
Kommunikatsioonitehnoloogia Keskus (edaspidi RIT). Käesolev kord reguleerib IKT
teenuste kasutamise põhimõtteid ja korda RTK-s. Korra eesmärk on tagada RTK-ga avalik-
õiguslikus teenistus- ja usaldussuhtes olevate ametnike või eraõiguslikus töösuhtes olevate
töölepinguliste töötajate (edaspidi läbivalt kasutatud töötajad) infosüsteemide otstarbekas
ja turvaline kasutamine. Lisaks käesolevale korrale on infosüsteemide kasutamise
põhimõtted kirjeldatud erinevates juhistes, mis on koondatud ja kättesaadavad RIT
teenusveebist https://teenused.rit.ee/
Kasutusulatus: kord laieneb kõigile RTK töötajatele ja kehtib nii RTK füüsilistes
asukohtades kui ka väljaspool füüsilisi asukohti infosüsteeme ja arvuteid kasutades.
Vastutajad: protsessi omanik on infosüsteemide arendamise osakonna juhataja. Korra
ajakohasena hoidmise eest vastutab infoturbe spetsialist. Korra rakendamise eest
vastutavad kõik RTK töötajad.
Korra lisa: RTK infoturvapoliitika
Viited: o Avaliku teabe seadus (AvTS)
https://www.riigiteataja.ee/akt/122032011010?leiaKehtiv
o Isikuandmete kaitse seadus (IKS)
https://www.riigiteataja.ee/akt/112072014051?leiaKehtiv
o RTK ja RITi vaheline koostöö kokkulepe (teenuslepe)
o RTK ja RMIT vaheline koostöö kokkulepe (teenuslepe)
o RTK Personali värbamise ja töö- ning teenistussuhete haldamise kord (K11)
o RTK töökoha tellimise ankeet
Kontaktid:
2
o IT-abi iseteenindusportaal https://itabi.sise.rit.ee/, RIT IT-abi 663 6464,
o Maksu-ja Tolliameti teabejuhtimiskeskus 676 2888, [email protected];
o RTK infoturbe spetsialist [email protected], 5917 6160.
2. Mõisted Andmete töötlemine – andmete kogumine, salvestamine, korrastamine, säilitamine,
muutmine, nende kohta päringute teostamine, nendest väljavõtete tegemine, andmete
kasutamine, üleandmine, ühendamine, sulgemine, kustutamine või hävitamine või mitu
eeltoodud toimingut.
Arvuti – sülearvuti või nutitelefon.
Arvutitöökoha profiil – struktuurüksus(t)ele või töötaja(te)le kokku pandud riist- ja
tarkvara kogum, kasutaja õigused ning juurdepääsud.
Infosüsteem – inimestest, tark- ja riistvarast koosnev süsteem, mis töötleb ja tõlgendab
infot. Selle mõiste all on mõeldud ka andmekogusid ja erinevaid IT rakendusi.
Infosüsteemi kasutaja – RTK töötaja, kellele töö- või teenistusülesannetest tulenevalt ja
nende täitmiseks on antud õigused infosüsteemide kasutamiseks.
Infosüsteemi omanik – struktuuriüksus, kelle huvides on antud infosüsteem loodud või
kasutusele võetud.
Infoturbeintsident – realiseerunud oht, mis põhjustab RTK-le ja/või RTK infovarale
kahju, mis võib olla: rahaline, konfidentsiaalsete andmete lekkimine, andmete hävimine,
tööseisak, asutuse maine kahjustamine.
Intsident – planeerimata teenuse katkestus või selle kvaliteedi langus ning samuti seadme
või rakenduse tõrge, mis pole veel teenusele mõju avaldanud.
IT teenus – infotehnoloogiat kasutav ja äriprotsesse toetav teenus, mis on inimeste,
protsesside ja tehnoloogiate kombinatsioon ning mis peab olema kirjeldatud teenusleppes.
Kasutajatugi – RIT või vastava infosüsteemi kasutajatugi.
Krüpteerimine – informatsiooni kaitsmise võimalus, muutes andmed loetamatuks ja
kasutamiskõlbmatuks inimesele, kellel puudub vastav dekrüpteerimisvõti.
Kaugtöö – töö korraldamise ja tegemise vorm, kus infotehnoloogiliste vahendite abil
täidetakse tööülesandeid väljaspool tööandja ruume.
Mitmikautentimine – autentimine mitme eri tüüpi identsustõendiga, näiteks kiipkaardi,
parooli ja biomeetrikuga.
Probleem – ühe või mitme intsidendi tekkimise põhjus või mingisugune puudus teenuse
või rakenduse toimivuses.
Tootmiskeskkond - tegelikke talitlusprotsesse toetav infosüsteem, erinevalt arendus- või
testimiskeskkonnast.
Tööseisak – olukord, kus töö on häiritud kauem kui vastavale rakendusele omistatud
maksimaalne lubatud seisaku aeg infotehnoloogiliste rakendustega toetatud ärikriitilistes
töölõikudes ja mis puudutavad kogu RTK-d või RTK struktuuriüksust. Juhul kui
rakendusele pole lubatud seisaku aega määratud, loetakse tööseisakuks enam kui 30
minutilist katkestust, mis puudutab tervet RTK-d, osakonda või talitust ühtselt.
3. Arvuti taotlemine ja kasutamise üldpõhimõtted
3.1. Uue töötaja arvuti tellib vahetu juht, täites töökoha tellimise ankeedi (RTK töö- ja
teenistussuhete korra alusel). Personali- ja haldusosakond edastab täidetud ankeedi RIT
kasutajatoele.
3.2. Peale arvuti kättesaamist kinnitab arvuti kasutaja e-posti teel IT varade registrist saabunud
lingi kaudu, et ta on arvuti kätte saanud ning teadlik sellega seonduvatest kohustustest.
Arvuti tagastamisel saab kasutaja e-posti teel IT varade registrist vastavasisulise teavituse.
3.3. Kasutajakonto luuakse kujul [email protected].
3
3.4. Vaikeseadetes on igale kasutajale loodud OneDrive kataloog kettaruumiga 100 GB, mille
suurus on põhjendatud vajaduse korral muudetav tehes vastavasisulise taotluse RIT
kasutajatoele.
3.5. Printimisel on kohustuslik prinditud dokumendid printerist koheselt eemaldada või
hävitada. Töösuhte lõppemisel tuleb arvuti tagastada komplektselt ja terviklikult koos
laadija ning dokiga.
4. Piirangud arvuti kasutamisel
4.1. Arvuti on tööülesannete täitmiseks. Isiklikul otstarbel arvutit kasutades tuleb arvestada, et
kõiki tehtavaid tegevusi võidakse jälgida.
4.2. Tarkvara või võrgu konfiguratsiooni muutmine (või uue võrgu installeerimine) ja
viirusetõrje ning tulemüüri tarkvara välja lülitamine ei ole lubatud.
4.3. Arvuti ja selle lisaseadmete korpuseid ei tohi ise avada ega eemaldada või lisada
komponente.
4.4. Arvutiga ei ole lubatud ühendada RIT poolt kontrollimata andmekandjaid (telefonid,
mälupulgad jne). Samuti ei ole lubatud ühendada RTK sisevõrguga seadmeid, milleks
puudub RIT luba, sh kasutada RTK võrgu või arvutite skaneerimise, pealtkuulamise või
muid võrguliiklust segavaid rakendusi või seadmeid.
4.5. Arvuti kahjustumisel, vargusel või kaotamisel tuleb koheselt teavitada RIT kasutajatuge
ja struktuuriüksuse juhti. Arvuti varguse korral tuleb esitada avaldus ka politseile ja
välismaal viibides võtta avalduse esitamise kohta vastav tõend.
4.6. Välisriikidesse reisimisel tuleb arvuti kaasa võtmine kooskõlastada vastavalt RIT
reisimise kasutusjuhendile: https://teenused.rit.ee/et/kasutusjuhendid/infoturve/reisimine.
4.7. Arvutit ja selle lisaseadmeid tuleb kohelda heaperemehelikult ja vältida materiaalse kahju
tekkimist, sh puhastada neid tolmust ja mustusest selleks ette nähtud vahenditega ning
kaitsta neid kahjustumise eest kasutades arvuti transpordiks alati sobivat polsterdusega
arvutikotti.
4.8. Arvuti ja andmete turvalisuse tagamiseks on oluline:
4.8.1. arvuti juurest lahkudes lukustada ekraan;
4.8.2. mitte jätta arvutit järelevalveta selle kasutamisel väljaspool RTK ruume ja võtta
ruumist lahkudes arvuti endaga kaasa. Kui seda ei saa teha, siis lukustada arvuti
ekraan eemal viibimise ajaks;
4.8.3. mitte kasutada arvutit viisil või kohtades, mis võimaldab võõrastel näha arvuti ekraani
(näiteks: ühistranspordis, kohvikus, lennujaamas või kaugtööl muudes kohtades);
4.8.4. kaitsta sülearvutit kahjulike keskkonnatingimuste (liigniiskus, äärmuslikud
temperatuurid) eest;
4.8.5. arvuti mootorsõidukisse jätmisel veenduda, et arvuti ei oleks väljastpoolt sõidukit
nähtav;
4.8.6. reisimisel kanda arvutit käsipagasis;
4.8.7. arvuti pikemaajalisel mobiilsel kasutamisel kanda kaasas laadijat ja aku kasutusea
pikendamiseks kasutada vaid tootja heakskiidetud laadijat;
4.8.8. akutoitel töötades salvestada andmeid piisavalt tihti, et tagada nende säilimine;
4.8.9. hoiduda arvuti kasutamisest mis tahes viisil, mille tulemusel võib
juurdepääsupiiranguga teave saada teatavaks kolmandatele isikutele või põhjustada
informatsiooni hävinemise.
4.9. Arvuti veebibrauseri kaudu ei ole lubatud külastada veebilehekülgi, mille külastamine
töötaja poolt võib tuua kaasa RTK maine kahjustumise ega laadida arvutisse või
võrguserverisse järgmist materjali (v.a. juhul, kui see tegevus kuulub töötaja töö- või
teenistusülesannete hulka):
4.9.1. mistahes tarkvara, sh mänge, programme, programmiuuendusi jms;
4.9.2. ebaseaduslikult omandatud autoriõigusega kaitstud elektroonses vormis andmeid
(muusika, tekst, pildid, filmid jms);
4.9.3. hea tavaga vastuolus oleva sisuga materjale.
4
4.10. Arvuti kasutamisel tuleb arvestada, et kogu võrguliiklus logitakse ja salvestatakse.
Infoturbe spetsialistil on tööalasest vajadusest tulenevalt õigus ette teatamata tutvuda
kasutaja võrguliikluse logidega.
5. E-posti kasutamise põhimõtted
5.1. E-posti konto luuakse kujul [email protected]. Mitme ees- ja perenimega töötaja
puhul kasutatakse üht ees- ja perenime. Samanimeliste töötajate puhul lisatakse hiljem
tööle tulnud inimese perekonnanime lõppu number.
5.2. Vaikeseadetes on e-posti lubatud kogumaht 100 GB, mille suurus on põhjendatud
vajaduse korral muudetav. E-postkast on mõeldud ainult tööalase kirjavahetuse jaoks.
5.3. E-postiga ei saa saata suuremaid manuseid kui 20 MB.
5.4. Turvalisuse tagamiseks ei tohi avada kahtlusi äratava pealkirjaga ja/või e-posti aadressilt
saabuvat e-posti ega selles sisalduvaid manuseid või linke või käivitada sellega kaasas
olevaid programme ning skripte. Kahtlust äratav e-post lisada uue e-posti kirja manusesse
ja edastada RIT kasutajatoele ning infoturbe spetsialistile.
5.5. Juurdepääsupiiranguga või isikuandmeid sisaldavat informatsiooni võib e-posti teel
edastada ainult krüpteeritud kujul.
5.6. Tööalase informatsiooni saatmiseks ja vastuvõtmiseks kasutatakse ainult tööalast e-posti
aadressi ning seda ei suunata RTK-välistele e-posti aadressidele.
5.7. Tööalast e-posti aadressi ei kasutata RTK-välistes postiloendites ja foorumites, v.a. juhul,
kui see tegevus kuulub töötaja töö- või teenistusülesannete hulka.
5.8. E-postiga ei tohi saata käivitatavaid ning süsteemseid faile, näiteks: exe, vbs, pif, scr, bat,
cmd, com, cpl, dll jms, v.a juhul kui selline tegevus kuulub töötaja töö- või
teenistusülesannete hulka.
6. Infosüsteemide ja võrguressursside kasutamise põhimõtted
6.1. Infosüsteemide kasutamisel tuleb täita kõiki kehtivaid andmekaitse- ja autoriõigusealaseid
õigusakte ning järgida asutuses kehtivat andmekaitsepoliitikat.
6.2. Infosüsteemide kasutamine on lubatud ainult töötajale isiklikult loodud konto või
juurdepääsuõiguste kaudu. Neid juurdepääse ei ole lubatud edasi anda ega kasutada
infosüsteeme kellegi teise konto või õigustega.
6.3. Kasutajal ei ole lubatud vaadata, kasutada või väljastada RTK sisest teavet, mis ei ole
avalik või otseselt seotud tema töö- või teenistusülesannete täitmisega.
6.4. Infosüsteeme ja võrguressursse kasutakse ainult töö- või teenistusülesannete
täitmiseks ning sisevõrku ei koormata mittetööalaste failide ja tegevustega. E-posti ja
failiservereid tuleb regulaarselt korrastada, kustutades ebaolulise sisuga kirjad ja failid.
6.5. ID-kaart või digi-ID tuleb kaardilugejast eemaldada, kui see ei ole enam infosüsteemi
kasutamiseks vajalik.
6.6. Asutusesiseseks kasutamiseks mõeldud teavet ei tohi salvestada kohta, kus see võib olla
kättesaadav volitamata isikutele. Kui tööülesannetest lähtuvalt on vaja välisele
andmekandjale salvestada asutuse siseseks kasutamiseks mõeldud informatsiooni, mille
avalikuks saamine kahjustaks RTK-d või RTK partnereid/kliente, tuleb see krüpteerida.
Krüpteeritud andmed tuleb lahti krüpteerida säilitamiseks ja töödelda vastavalt
eesmärgile.
6.7. Kõik tööalased failid hoitakse RTK pilvteenusel, et tagada andmete säilimine, mille
kadumine võib põhjustada RTK-le olulist kahju.
6.8. Tootmiskeskkonna infosüsteemidesse andmete sisestamisel tuleb tagada nende õigsus.
Tootmiskeskkonda ei sisestata andmeid testimise eesmärgil.
6.9. Kui töötaja on mobiiltelefoni sünkroniseeritud tööandja pilvteenustega, tuleb
mobiiltelefoni kaotuse või varguse korral teavitada RIT kasutajatuge, kes kaughalduse teel
5
katkestab ühenduse asutuse sisuga. Ühtlasi tuleb pöörduda mobiilside teenusepakkuja
poole, et viivitamatult blokeeritaks SIM-kaart ja lisataks mobiiltelefon musta nimekirja.
6.10. Kui tööalaselt teatavaks saanud RTK-d ja/või kliente puudutavat informatsiooni
soovitakse kasutada koolitöödes (lõputööd, praktikakokkuvõtted jms), tuleb see
kooskõlastada vahetu juhi ja andmete omanikuga.
6.11. Kui infosüsteemi kasutamist reguleerib mingi õigusakt, siis selle õigusakti
mittetäitmine võib tuua kaasa kriminaal- või distsiplinaarkaristuse.
6.12. Infosüsteemi kasutamise reeglite eiramise kahtluse korral on infoturbe spetsialistil
järelkontrolli käigus õigus kontrollida töötajale väljastatud arvutit (sh arvutisse
salvestatud ja installeeritud programme ning asutuse e-posti sisu).
6.13. Töötajal on õigus esitada ettepanekuid infosüsteemide turvalisuse tõstmise,
efektiivsema toimimise või muu töökorraldusliku muudatuse kohta.
7. Infosüsteemi intsidendist teavitamine
7.1. Infosüsteemi intsidendi (teenuse katkestus või tõrge vms) puhul peab töötaja edastama
vastava infosüsteemi kasutajatoele järgneva informatsiooni:
7.1.1. oma ees- ja perenime, telefoninumbri;
7.1.2. infosüsteemi nimetus, kus intsident tekkis;
7.1.3. intsidendi tekkimise kuupäev, kellaaeg ja asukoht;
7.1.4. korrektne kirjeldus tekkinud veasituatsioonist;
7.1.5. veateade ekraanilt, lisades võimalusel ekraanipildi failina;
7.1.6. lisades võimalusel näite konkreetsete andmetega (isikukood/registrikood, summad,
kuupäevad jm);
7.1.7. kui tegemist on veakahtlusega, siis tuleb lisada teatele kirjeldus õigeks peetavast
lahendusest.
8. Infoturbeintsidentide käsitlemine
8.1. Töötaja peab teavitama infoturbeintsidendist (potentsiaalne või realiseerunud oht teabe
turvalisusele) RIT kasutajatuge ja RTK infoturbe spetsialisti. Kiiruse huvides tuleb
infoturbeintsidendist teatada koheselt telefoni teel. Väljaspool tööaega (E-N 17:00-8:00,
R 15:45-E 8:00) tuleb toimunud infoturbeintsidendist teavitada Maksu- ja Tolliameti
teabejuhtimiskeskust.
8.2. Infoturbeintsidendi puhul peab töötaja edastama:
8.2.1. oma ees- ja perenime, telefoninumbri;
8.2.2. infoturbeintsidendi või selle ohu kirjelduse;
8.2.3. infoturbeintsidendi tekkimise kuupäeva, kellaaja ning asukoha;
8.2.4. infoturbeintsidendi hinnangulise tõsiduse.
8.3. Infoturbeintsidendi toimumise teate vastu võtnud töötaja (reeglina RIT töötaja) tuvastab
intsidendi toimumise fakti ning intsidendi tõsiduse ja organiseerib koos vastava
infosüsteemi omaniku ja haldajaga intsidendi või selle ohu kõrvaldamise. Kõigist
infoturbeintsidentidest peab intsidendi vastu võtnud töötaja teavitama infoturbe
spetsialisti koheselt, kasutades selleks kokkulepitud suhtluskanaleid (telefon, SMS, e-post
jne). Infoturbe spetsialist korraldab intsidendi registreerimise RMIT Jiras;
8.4. Infoturbeintsidendi järelkontrolli vajaduse otsustab infoturbe spetsialist ning viib selle
vajadusel läbi.
8.5. Infoturbe spetsialist esitab infoturbeintsidentide kohta läbi viidud järelkontrollide
kokkuvõtte peadirektorile ning teeb muudatusettepanekud intsidentide kordumise
vältimiseks.
8.6. Kõik RTK töötajad on kohustatud igakülgselt kaasa aitama infoturbeintsidendi põhjuste
väljaselgitamisele.
6
9. Kasutajanimed ja salasõnad
9.1. Arvutisse sisenemiseks kasutatakse ID-kaarti, sõrmejälge või näotuvastust.
9.2. Infosüsteemidesse sisenemiseks kasutatakse ID-kaarti, Smart-IDd, mobiil-IDd või
kasutajanime ja salasõna.
9.3. Iga töötaja võib omada ühes infosüsteemis ühte kasutajakontot, v.a juhul, kui mitme konto
omamine on vajalik töö- või teenistusülesannete täitmiseks.
9.4. Infosüsteemi kasutajanimed on unikaalsed ja seotud vastava töötaja isikuga.
9.5. Iga töötaja peab infosüsteemi ajutise salasõna vahetama esmakordsel sisenemisel, kui see
on tehniliselt võimalik.
9.6. Töötaja peab tagama, et salasõna on teada ainult temale.
9.7. Kui salasõna on saanud teatavaks kõrvalistele isikutele või on kahtlus, et see on võinud
juhtuda, on töötaja kohustatud salasõna koheselt muutma või laskma salasõnaga seotud
kasutajaõigused kehtetuks tunnistada.
9.8. Salasõnu tuleb muuta perioodiliselt vähemalt kord kvartalis või kui infosüsteem sellest
teavitab.
9.9. Salasõnade haldamiseks on soovitatav kasutada paroolihaldurit PasswordState
https://parool.srv.gov.ee/
9.10. Salasõnade talletamine kirjalikult on lubatud ainult erandjuhtudel kui neid hoitakse
turvalises asukohas.
9.11. Kui IT-süsteem võimaldab, siis on soovitav kasutada mitmikautentimist (täiendav
autentimine nt biomeetria, telefoninumbri või nutirakenduse abil) või autentimist
MobiilID, SmartID või ID kaardiga.
9.12. Salasõnadeks ei tohi olla:
9.12.1. kergesti ära arvatavad, järjestikuseid tähti sisaldavad vms viisil ebaturvalised
kombinatsioonid, mis võivad hõlbustada kasutajakonto volitamata kasutamist;
9.12.2. sõnastikes esinevad sõnad k.a võõrkeeltes;
9.12.3. sõnad, mis koosnevad kasutajat isikustada võimaldavatest andmetest (nimed,
mootorsõiduki registreerimismärgid, telefoninumbrid, isikukoodid, sihtnumbrid jne)
kas õiget- või tagurpidi kirjutatult;
9.12.4. salasõnad, mis on kasutuses juba mõnes teises infosüsteemis;
9.13. Kasutatavate salasõnade pikkus peab olema vähemalt 12 (kaksteist) märki.
9.14. Salasõna peab sisaldama vähemalt kolme järgmistest: suurtäht, väiketäht, number,
sümbol (! “ # ¤ % & ( ) = ? \ } ] [ { $ @ ’ - . , * _ : ; < > +) .
9.15. Kasutajatunnus lukustatakse peale nurjunud sisselogimiskatseid vastavalt
infosüsteemi seadistusele.
9.16. RTK-s kasutusel olevaid salasõnasid ei ole lubatud kasutada RTK-välistes
infosüsteemides, jäädvustada ühelegi andmekandjale krüpteerimata kujul või
dokumenteerida ega teatavaks teha ühelegi teisele isikule sh saata krüpteerimata kujul e-
mailiga.
9.17. Intsidentidest kasutajaõiguste, kasutajanimede ja salasõnadega tuleb teavitada
vastava infosüsteemi või RIT kasutajatuge ja RTK infoturbe spetsialisti. Intsidentidest
teavitamisel on keelatud saata või öelda salasõnasid.
10. Kasutajaõiguste andmine ja kehtetuks tunnistamine
10.1. Töötaja tohib omada vaid tema töö- või teenistusülesannete täitmiseks otseselt
vajalikke kasutajaõigusi. Välistele infosüsteemidele antakse kasutajaõigused vastavalt
infosüsteemide omanikega sõlmitud lepingutele.
10.2. Kõigi taotletavate õiguste kohta peab õiguste taotlemise taotluses olema märgitud
lühidalt, milliste töö- või teenistusülesannete täitmiseks läheb töötajal konkreetset õigust
vaja. Õiguste taotlus tuleb edastada e-kirja teel vastava infosüsteemi kontaktisikule või
RIT kasutajatoele.
7
10.3. Kasutajaõiguste taotluse esitaja peab olema veendunud, et töötaja või isik, kellele
õiguseid taotletakse, omab ülevaadet õigustega seonduvatest kasutusjuhenditest ja on
teadlik õiguste kasutamisega kaasnevatest riskidest ning oskab neid maandada.
10.4. Arvuti lokaalse administreerimise õiguse saamiseks esitab töötaja vahetu juht
põhjendatud taotluse RIT kasutajatoele. RIT kasutajatugi kooskõlastab taotluse RTK
infoturbe spetsialistiga.
10.5. Infosüsteemi testimise kasutajaõiguste saamiseks esitab taotleja struktuurüksuse
juht vastava infosüsteemi kasutajatoele e-kirja teel taotluse. Juhul kui testimine toimub
reaalsete isikustatud andmetega, peab taotluse eelnevalt kooskõlastama RTK infoturbe
spetsialist.
10.6. RTK-sse praktikale asunud isikute infosüsteemide kasutajaõigused tellib RIT või
vastava infosüsteemi kasutajatoelt praktikale asunud isiku struktuuriüksuse juht.
Kasutajaõiguste taotlusse tuleb märkida õiguste kehtivuse algus- ja lõpukuupäev.
Lõpukuupäeva saabudes peab konto automaatselt lukustuma.
10.7. Kui töötaja ei vaja töö- või teenistusülesannete täitmiseks enam infosüsteemi
kasutajaõigust edastab töötaja vahetu juht koheselt sellekohase teate e-kirja teel vastava
infosüsteemi kasutajatoele, kes korraldab vastava kasutajaõiguse kehtetuks tunnistamise.
10.8. Töötaja töölt lahkumisest, teenistus- või töösuhte peatumisest (va puhkuse või
töövõimetuslehe korral) või töötaja üleviimisest teise struktuuriüksusesse teavitab
struktuurüksuse juht RIT kasutajatuge vähemalt 3 (kolm) tööpäeva enne töötaja töölt
lahkumise, teenistus- või töösuhte peatamise või üleviimise kuupäeva (v.a üleviimiste
puhul, mis kestavad vähem kui 30 kalendripäeva). Erakorralistel asjaoludel võib taotleda
õiguste ja/või ligipääsude kohest sulgemist.
10.9. Infoturbe spetsialist kontrollib töötajatele antud õiguste õiguspärasust ja sulgemist.
10.10. Infoturbe spetsialistil on õigus põhjendatud kahtluse korral nõuda RIT või vastava
infosüsteemi kasutajatoelt kahtlustäratavate õiguste kohest sulgemist, teavitades sellest
vastavat struktuuriüksuse juhti ja osakonnajuhatajat.
KÄSKKIRI
27.10.2025 nr 1-1/25/48-1
Infosüsteemide kasutamise korra
kinnitamine
Riigihalduse ministri 14.11.2017. a määruse nr 84 „Riigi Tugiteenuste Keskuse põhimäärus“ §
20 lg 1 p 7 alusel:
1. kinnitan Riigi Tugiteenuste Keskuse infosüsteemide kasutamise korra koos korra
juurde kuuluvate lisadega: „RTK infoturvapoliitika“ ja „RTK andmekaitsepoliitika“.
2. tunnistan kehtetuks Riigi Tugiteenuste Keskuse peadirektori 23.04.2020 a. käskkirja nr
1.1-2 / 0032 „Riigi Tugiteenuste Keskuse infosüsteemide kasutamise korra kinnitamine“.
(allkirjastatud digitaalselt)
Pärt-Eo Rannap
peadirektor
Teatavaks teha: RTK töötajad
Koostaja: Maarja Käis
RTK andmekaitsepoliitika
Vastutav osakond: Infosüsteemide arendamise osakond (ISO)
Protsessi omanik: andmekaitsespetsialist (Rahandusministeeriumi Infotehnoloogiakeskus
Infoturbe osakond)
Versioon: 1
RTK infoturvapoliitika sisaldab:
1. Üldpõhimõtted
2. Isikuandmete töötlemise põhimõtted
3. Isikuandmete töötlemise seaduslikkus
4. Isikuandmete säilitamine ja edastamine
5. Turvameetmed
6. Andmesubjektide kategooriad
7. RTK andmekogud
8. Eriliiki isikuandmed
9. Andmesubjekti õigused
10. Õigused ja kohustused
11. Rikkumisest teavitamine
12. Teabe ja saladuse hoidmine
1. Üldpõhimõtted
Eesmärk ja sisu:
1.1 Tagada, et Riigi Tugiteenuste Keskus (edaspidi RTK) töötleb isikuandmeid kooskõlas
Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679, füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ
kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016,
lk 1–88) (edaspidi üldmäärus) ja muude asjakohaste õigusaktidega.
1.2 Sätestada erinevatesse andmesubjektide kategooriasse kuuluvate isikuandmete
töötlustoiminguid.
Kasutusulatus ja vastutus:
1.3 Andmekaitsepoliitika (edaspidi poliitika) väljatöötamise ja uuendamise eest vastutab
andmekaitsespetsialist.
1.4 Poliitika on kohustuslik kõigile RTK töötajatele või muus lepingulises suhtes olevatele
isikutele, kes töötlevad RTK-lt saadud andmeid oma tööülesannete täitmisel või
kutsetegevuses.
1.5 Poliitika kehtib kõikides töö tegemise kohtades, sh kaugtööl.
1.6 Poliitika ei kohaldu riigisaladusele ega salastatud välisteabele.
2. Isikuandmete töötlemise põhimõtted
2.1 RTK on vastutav töötleja isikuandmete osas, mis puudutavad tema töötajaid, isikuid, kelle
andmed on kantud andmekogudesse, mille vastutav töötleja on RTK, andmesubjekti enda
2 (5)
poolt edastatud või lepingu alusel teatavaks saanud ning seaduse alusel edastatud
isikuandmete osas.
2.2 Isikuandmeid töödeldakse eelkõige õigusaktidega pandud ülesannete ja kohustuste ning
avaliku võimu teostamise eesmärgil. Samuti võib töötlemine tuleneda õigustatud huvist,
kui töötlemine pole seotud RTK põhiülesannete täimisega.
2.3 Isikuandmeid kogutakse ainult nendel eesmärkidel, mis on õigusaktides sätestatud või
käesolevas poliitikas ja andmekaitsetingimustes määratletud ning neid ei töödelda hiljem
muul viisil.
2.4 Isikuandmed on õiged ja vajaduse korral ajakohastatud ning töötleja rakendab mõistlike
meetmeid, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutataks või
parandataks esimesel võimalusel.
2.5 Juhul, kui andmete säilitamise viis ei ole määratud kindlaks õigusaktiga, säilitatakse
isikuandmeid kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on
vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse.
2.6 Isikuandmeid ei tohi töödelda isiklikuks huviks.
2.7 Isikuandmeid võib teistele asutustele või isikutele edastada ainult õigusaktides sätestatud
alustel, ulatuses ja korras või andmesubjekti taotlusel ainult tema isikuandmeid, mille
puhul ei rakendu seadusest tulenevad piirangud.
2.8 Töötaja, kes edastab isikuandmeid, peab veenduma, et vastuvõtjal on õigus andmeid
saada ning ta rakendab andmete töötlemisel asjakohaseid kaitsemeetmeid.
2.9 Isikuandmeid sisaldava dokumendi registreerimisel tuleb iga kord hinnata, kas selles
sisalduvad üldised isikuandmed või eriliiki isikuandmed ning vastavalt sellele kehtestada
teabele juurdepääsupiirang.
2.10 Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise,
hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke
meetmeid.
2.11 Võimalusel kasutatakse isikuandmete töötlemisel pseudonümiseeritud või
anonümiseeritud isikuandmeid.
3. Isikuandmete töötlemise seaduslikkus
3.1 Isikuandmeid võib töödelda ainult EL isikuandmete kaitse üldmääruses, isikuandmete
kaitse seaduses ja teistes asjakohastes õigusaktides sätestatud alustel või kui:
3.1.1 isikuandmete töötlemine on seaduslik, kui see toimub andmesubjekti nõusolekul või
muul õigusaktides sätestatud alusel;
3.1.2 isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu
täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt
andmesubjekti taotlusele;
3.1.3 isikuandmete töötlemine on vajalik vastutava töötleja seadusest tuleneva ülesande
täitmiseks;
3.1.4 isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku
eluliste huvide kaitsmiseks;
3.1.5 isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või
vastutava töötleja avaliku võimu teostamiseks;
3.1.6 isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud
huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või
põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui
andmesubjekt on laps.
3 (5)
3.2 Kui isikuandmete töötlemise aluseks on andmesubjekti nõusolek, peab andmesubjekti
nõusolek olema tõendatav ja olema igal ajahetkel andmesubjekti poolt tagasivõetav sama
lihtsalt kui see anti. Näit. küpsiste (inglise k. cookie) seadmesse paigaldamise nõusolek
või foto kasutamise nõusolek.
4. Isikuandmete säilitamine ja edastamine
4.1 Isikuandmeid säilitatakse nende töötlemise eesmärgi saavutamiseni, kui õigusaktid ei
sätesta muid tähtaegu.
4.2 Kui tähtaega ei ole võimalik määratleda, määrab vastutav töötleja andmete säilitamise
põhimõtted.
4.3 Pärast andmete säilitamise tähtaja möödumist tuleb isikuandmed kustutada/hävitada või
volitatud isiku poolt tagastada vastutavale töötlejale.
4.4 Isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes
huvides toimuva arhiveerimise, teadus- või ajaloouuringute läbiviimiseks või statistika
kogumise eesmärgil, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks
rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid.
4.5 Isikuandmeid on lubatud edastada:
4.5.1 Euroopa Liidu siseselt;
4.5.2 Euroopa Liidu välistesse riikidesse, kuhu edastamine võrdsustatakse andmete
Euroopa Liidu sisese edastamisega (Island, Liechtenstein, Norra);
4.5.3 Euroopa Komisjoni andmekaitse taseme piisavuse otsuse alusel.
4.6 Andmete edastamine ülejäänud riikidesse või rahvusvahelistele organisatsioonidele
tähendab isikuandmete edastamist mittepiisava andmekaitsetasemega riiki ja edastamisel
tuleb rakendada lisakaitsemeetmeid (üldmääruse art 46–49) või see võib toimuda
erandolukordades.
4.7 Isikuandmete edastamisel tuleb kasutada turvalist andmeedastusviisi või kaitsta andmeid
lubamatu töötlemise eest muul viisil, näiteks krüpteerimisega.
5. Turvameetmed
5.1 Isikuandmete töötlemisel tuleb rakendada organisatsioonilisi, füüsilisi ja infotehnoloogilisi
turvameetmeid, et minimeerida nende loata töötlemine või tervikluse kahjustumine.
5.2 Turvameetmete rakendatuse kohta toimuvad kontrollid ja auditid, mis võivad olla nii
asutusesisesed kui ka selle välised.
6. Andmesubjektide kategooriad
6.1 Andmesubjektide kategooriad on järgmised:
6.1.1 veebisaitide külastajad, sh küpsistega nõustunud isikud;
6.1.2 tööle kandideerijad, töötajad ja töölt lahkunud isikud ning praktikandid;
6.1.3 klienditoe poole pöördujad/pöördumised;
6.1.4 klientide töötajad ja ametnikud;
6.1.5 isikud, kelle andmeid kasutatakse andmekogudes ning rakendustes;
6.1.6 rikkumisest teatajad;
6.1.7 küsitlustes või uuringutes osalenud isikud;
6.1.8 koolitustel osalejad;
4 (5)
6.1.9 lobistid.
7. RTK andmekogud
Riigi Tugiteenuste Keskus on järgmiste andmekogude vastutavaks töötlejaks:
Andmekogu nimi Andmekogu volitatud töötleja
1 Saldoandmike infosüsteem RMIT
2 Riigihangete register RMIT
3 Struktuuritoetuste register RMIT
4 Riigi personali- ja palgaarvestuse
andmekogu
RMIT
5 Riigitöötaja iseteenindusportaal RMIT
6 RTK Delta Dokumendihaldussüsteem RIK
8. Eriliiki isikuandmed
8.1 Eriliiki isikuandmetena mõistetakse isikuandmeid, millest ilmneb rassiline või etniline
päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse
kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid
biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja
seksuaalse sättumuse kohta.
8.2 Eriliiki isikuandmeid on keelatud töödelda, kui selleks ei ole andmesubjekti taasesitamist
võimaldavas vormis antud nõusolekut või õigusaktist tulenevat alust.
9. Andmesubjekti õigused
9.1 Andmesubjektidel on õigus:
9.1.1 olla informeeritud isikuandmete töötlemisest;
9.1.2 tutvuda enda isikuandmetega;
9.1.3 ebaõigete isikuandmete parandamisele;
9.1.4 isikuandmete kustutamisele (unustamisele);
9.1.5 isikuandmete töötlemise piiramisele;
9.1.6 isikuandmed üle kanda;
9.1.7 esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes;
9.1.8 nõuda, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud
töötlusel, sh profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või
avaldab talle märkimisväärset mõju (näit. veebipõhine tööle värbamine ilma
inimsekkumiseta).
9.2 Andmesubjekti õigused ei ole absoluutsed, vaid neid tuleb kaaluda koosmõjus teiste
isikute õiguste ja kohustustega.
9.3 Isikuandmete töötlemise teave on avaldatud veebisaidil https://rtk.ee/asutus-uudised-
kontakt/isikuandmete-tootlemine
10. Õigused ja kohustused
5 (5)
10.1 Iga töötaja vastutab andmekaitse eest oma pädevuse piires.
10.2 Teenuse dokumentatsioonis peab olema kajastatud, mis andmeid teenuses töödeldakse,
kust neid saadakse ja kellele edastatakse.
10.3 Enne isikuandmetega seotud toimingu tegemist peab töötaja veenduma selle toimingu
õiguspärasuses ja vajadusel konsulteerima andmekaitsespetsialistiga.
10.4 Eelnõude koostamisel, tehniliste lahenduste ja andmekogude juurutamisel ja käiku
võtmisel peab vastutav üksus või töötaja hindama, kas esineb kokkupuude
isikuandmetega ning vajadusel kaasama andmekaitsespetsialisti, et hinnata isikuandmete
töötlemise mõju ja riski isikuandmete turvalisusele.
10.5 Juhtkonnal on üldvastutus andmekaitse ja infoturbe eest.
10.6 Andmekaitsespetsialist vastutab:
10.6.1 juhtkonna teavitamise ja nõustamise eest seoses nende kohustusega täita
isikuandmete töötlemist reguleerivaid õigusakte ning andmekaitse poliitikas sätestatud
kohustuste, riskide ja probleemidega;
10.6.2 vastutava töötleja või volitatud töötleja poolt isikuandmete kaitse põhimõtete
täitmise jälgimise eest vastavalt isikuandmete töötlemist reguleerivatele õigusaktidele;
10.6.3 isikuandmete töötlemise toimingute ülevaate koostamise eest;
10.6.4 andmekaitsekoolituse korraldamise ja töötajate nõustamise eest;
10.6.5 andmekaitsealase mõjuhinnanguga seotud nõu andmise eest;
10.6.6 andmetöötluslepingute ja andmekaitsealaste kokkulepete läbivaatamise eest;
10.6.7 andmekaitse järelevalveasutusega suhtlemise eest;
10.7 Infoturbe spetsialist vastutab tehniliste turvameetmete kontrolli eest.
10.8 Kõik töötajad läbivad andmekaitse ja infoturbe koolituse tööle asumisel ning edaspidi
kord aastas.
11. Rikkumisest teavitamine
11.1 Iga töötaja, kes töötleb isikuandmeid, peab teadma kuidas toimida isikuandmete
töötlemise rikkumise või rikkumise kahtluse puhul.
11.2 Rikkumisest tuleb teavitada viivitamata asutuse andmekaitsespetsialistile.
11.3 Andmekaitsespetsialist hindab andmekaitse järelevalveasutuse ja andmesubjektide
informeerimise vajadust.
11.4 Rikkumise teade ja üksikasjad edastatakse krüpteeritult või muu sarnast kaitset pakkuva
kanali kaudu.
12. Teabe ja saladuse hoidmine
12.1 Töötaja ei tohi nii teenistus- kui töösuhte ajal kui ka pärast selle lõppu avaldada talle
teenistuse või töö tõttu teatavaks saanud riigi- ja ärisaladust, salastatud välisteavet, teiste
inimeste perekonna- ja eraellu puutuvaid andmeid ning muud asutusesiseseks
kasutamiseks tunnistatud teavet.
RTK infoturvapoliitika
Vastutav osakond: Infosüsteemide arendamise osakond (ISO)
Protsessi omanik: Infoturbe spetsialist
Versioon: 1
RTK infoturvapoliitika sisaldab:
1. Üldpõhimõtted
2. Kasutusulatus
3. Mõisted
4. Infoturbe eesmärgid
5. Põhimõtted
6. Infoturbe organisatsioon ja juhtimine
7. Riskide haldamine
8. Infoturbe halduse protsess
9. Infoturbeintsident ja kontrolljäljed
10. Infoturbe tulemuslikkuse hindamine
1. Üldpõhimõtted
1.1 Käesoleva infoturvapoliitikaga sätestatakse infoturbe aluspõhimõtted Riigi Tugiteenuste
Keskuses (edaspidi RTK).
1.2 Infoturvapoliitika eesmärk on määratleda RTK strateegiline lähenemine infoturbele ning
anda suunised infovarade käideldavuse, tervikluse ja konfidentsiaalsuse tagamiseks
asutuses määratud tasemel. Turvameetmete rakendamisel lähtutakse infovaradele
määratud kaitsetarbe tasemest.
1.3 Eesmärkide saavutamiseks rakendatakse infoturbestandardi põhist lähenemist, käitades
infoturbe halduse süsteemi (edaspidi ISMS, i.k. Information Security Management
System).
1.4 Infoturvapoliitika lähtub kehtivatest seadustest ning kehtestatud õigusaktides esitatud
põhimõtetest ning RTK infoturbekontseptsioonist.
1.5 Infoturvapoliitika väljatöötamise ja vajaduspõhise uuendamise eest vastutab RTK
infoturbespetsialist kaasates Infosüsteemide arendamise osakonna (edaspidi ISO)
juhataja ja kvaliteedijuhi.
1.6 Infoturvapoliitikat ajakohastatakse regulaarselt (vähemalt 1 kord aastas) või oluliste
muudatuste puhul IT-süsteemides või organisatsiooni eesmärkides.
2. Kasutusulatus
2.1 Poliitika laieneb kõigile RTK töötajatele, praktikantidele, töövõtu- või muu lepingu alusel
teenust osutavatele isikutele (edaspidi töötaja). Samuti tuleb antud põhimõtteid arvestada
koostöös väliste teenusepakkujatega.
2.2 Täpsemad infoturbereeglid sätestatakse RTK infosüsteemide kasutamise korras (K8)
(edaspidi ISKK).
2
2.3 Poliitika kehtib kõigile RTK infoturbe kaitsealasse kuuluvatele põhi- ja tugiprotsessidele,
füüsilistele asukohtadele, veebilehtedele ja infosüsteemidele, mis on detailsemalt leitavad
RTK etalonturbe välisest riskianalüüsist.
3. Mõisted
3.1 Infovara on informatsioon, andmed ja nende töötlemiseks vajalikud infotehnoloogilised
rakendused ning tehnilised vahendid (näiteks ka loodud Wordi dokument on infovara).
3.2 Infoturve on turvameetmete loomise, valimise ja rakendamise protsesside kogum.
3.3 Infoturve tähendab andmete kolme põhiomaduse – käideldavuse, tervikluse ja
konfidentsiaalsuse tagamist, sh:
3.3.1 käideldavus – andmed peavad olema õigel ajal kättesaadavad ja kasutuskõlblikud;
3.3.2 terviklus – andmed peavad olema usaldusväärsed ja autentsed ning volitamata
muudatused peavad olema tuvastatavad ja kõrvaldatavad;
3.3.3 konfidentsiaalsus – andmetele võimaldatakse juurdepääs ainult tõendatud
teadmisvajaduse alusel.
3.4 Infoturvaintsident - ootamatu või soovimatu infoturvasündmus, mille tagajärjel tekib
asutusele oluline varaline või mittevaraline kahju, kahju andmetele, ümbritsevale
keskkonnale, klientidele või teenistujatele, samuti sündmus, mille tulemusena asutuse
põhi- või tugiprotsessi töö seiskub või on häiritud.
3.5 Infovara eest vastutab selle tekitanud töötaja. Vajadusel saab vastutusala juht määrata
infovarale peakasutaja.
3.6 Infovara kasutaja on töötaja või muu RTK-ga seotud isik, kellele infovara peakasutaja on
andnud infovara kasutamise õigused.
4. Infoturbe eesmärgid
Infoturbe eesmärkideks on tagada RTK:
4.1 toimimine, hea maine ja teenuste jätkusuutlik pakkumine;
4.2 infosüsteemide ja andmekogude pidamine ning arendamine vastavalt õigusaktidest
tulenevatele infoturbe nõuetele;
4.3 info käideldavus, terviklus ning konfidentsiaalsus.
5. Põhimõtted
5.1 RTK valib infovarade omanikuna nende kaitsmiseks piisavad ja asjakohased meetmed.
5.2 Infovarasid tuleb kasutada RTK tegevusega seotud eesmärkidel.
5.3 Infoturbe nõuete järgimine on kõikidele töötajatele kohustuslik.
5.4 Infovaradele võimaldatakse juurdepääs tõendatud teadmisvajaduse alusel.
5.5 Konfidentsiaalsuskohustuse nõue kehtib konfidentsiaalse informatsiooni kohta ja seda
kohaldatakse RTK infovara kasutavatele isikutele tulenevalt õigusaktidest ja
sõlmitavatest lepingutest.
6. Infoturbe organisatsioon ja juhtimine
6.1 Infoturbe poliitika juurutamine hõlmab turvameetmete kavandamist, loomist, evitamist,
haldamist ja vastutusalade määramist.
6.2 Vastavalt Eesti infoturbestandardis (edaspidi E-ITS) kirjeldatud ISMS turbehalduse
peatükile, on asutuse infoturbe korraldamise üldvastutajaks RTK juhtkond.
6.3 Infoturve on organisatsiooni kollektiivne tegevus ja kõikide infovara kasutajate kohustus.
6.4 RTK peadirektor peab eraldama infoturbe tagamiseks vajalikud vahendid.
3
6.5 Infoturbealane vastutus jaguneb üldiseks ja konkreetseks vastutuseks:
6.5.1 üldine infoturbealane vastutus on infovara kasutajatel, mis seisneb valdkonna
regulatsioonide järgimises ja infoturbeintsidentidest teavitamises;
6.5.2 konkreetne infoturbealane vastutus tuleneb ametikohast RTK struktuuris ja
tööülesannetest. Nii RTK peadirektor, struktuuriüksuste juhid kui iga töötaja vastutavad
individuaalselt enda kohustuste nõuetekohase täitmise eest.
6.6 RTK peadirektor:
6.6.1 kehtestab asutuse infoturvapoliitika;
6.6.2 määrab infoturbe eest vastutavad ametikohad;
6.6.3 vastutab infoturbe valdkonna regulaarse auditeerimise eest;
6.6.4 kinnitab lõpliku jääkriskide aktsepteerimise.
6.7 Infoturbe spetsialist:
6.7.1 koordineerib infoturbe valdkonda ja täidab sellega seotud ülesandeid;
6.7.2 tagab infoturbe regulatsioonide olemasolu ja täiendamise;
6.7.3 kontrollib turvameetmete tõhusust;
6.7.4 teavitab, nõustab ja koolitab töötajaid turvameetmete rakendamisel;
6.7.5 teeb koostööd töötajate ja RTK väliste isikutega.
6.8 Andmekaitsespetsialist korraldab isikuandmete kaitset vastavalt valdkonna
õigusaktidele.
6.9 Riigisaladuse kaitset korraldav isik:
6.9.1 korraldab riigisaladuse ja salastatud välisteabe kaitset vastavalt valdkonna
õigusaktidele;
6.9.2 vastutab riigisaladuse kaitse juhendi (K10) väljatöötamise ja ajakohasena hoidmise
eest.
6.10 Teenuse omanik:
6.10.1 arvestab oma valdkonda juhtides infoturbe nõuetega;
6.10.2 määrab infovara peakasutaja;
6.10.3 tagab infovara toimimiseks vajaliku ressursi ja jätkusuutlikkuse.
6.11 Infovara peakasutaja:
6.11.1 määrab infovara kaitstuse vajaduse ja turvameetmed (nt kasutades E-ITS
kaitsetarbe määramist);
6.11.2 jälgib turvameetmete vastavust ja kontrollib nõuete täitmist.
6.12 Infovara kasutaja toetab ja järgib RTK-s infovarade kasutamist ja kaitset reguleerivaid
kordasid, täites turvaalast funktsiooni vastavalt oma ametiülesannetele, lepingule või
infoturbealasele regulatsioonile.
7. Riskide haldamine
7.1 RTK-s määratakse minimaalsed turvameetmed, lähtudes õigusaktides tulenevatest
nõuetest ja standarditest, mida tuleb rakendada infovaradele ettenähtud turvataseme
saavutamiseks ja säilitamiseks.
7.2 Riskide leevendamiseks rakendatakse turvameetmeid vastavalt infovaradele määratud
kaitstuse vajadusele ja heale tavale. Võimalusel tuleks riske vältida või jagada.
7.3 Kui turvameedet ei ole võimalik või otstarbekas täita, peab leidma alternatiivsed
meetmed riski leevendamiseks või peab juhtkond aktsepteerima meetme täitmata
jätmisest tuleneva jääkriski.
7.4 Kui infosüsteemi peakasutaja leiab, et minimaalsetest turvameetmetest ei piisa,
koostatakse lisaks detailne riskianalüüs, kus vaadatakse eraldi iga infovarale mõjuvat
4
ohtu, hinnatakse selle realiseerumise tõenäosust, määratakse suuremad riskid ja võetakse
vajadusel kasutusele spetsiifilised meetmed nende leevendamiseks.
8. Infoturbe halduse protsess
8.1 Turvameetmete pideva ajakohasuse tagamiseks on vajalik turvameetmete ja
regulatsioonide perioodiline läbivaatus, töökeskkonna igapäevane seire, muudatustele
reageerimine ning infoturbeintsidentide lahendamine.
8.2 Infosüsteemi muudatusi ja uuendusi tuleb enne nende läbiviimist kaaluda infoturbe
seisukohast. Muutunud nõuete või uute ohtude korral tuleb turvameetmed ümber hinnata.
Infosüsteemide muudatustega seotud täpsemad juhised on välja toodud Infosüsteemide
arendamise ja hooldamise töökorras (K18).
8.3 Infoturbe seisukohast olulised muudatused tuleb kooskõlastada infoturbe spetsialistiga.
8.4 Iga RTK töötaja peab tööle asumisel ning edaspidi igal aastal läbima asutuse poolt
korraldatava infoturbekoolituse. Infoturbe koolitustel osalemine on töötajale kohustuslik.
Kui töötaja ei läbi ettemääratud aja jooksul infoturbe koolitust, võib ISO juhataja
kokkuleppel juhtkonnaga töötajalt ligipääsu õigused eemaldada kuni koolituse
läbimiseni. Koolituse läbimist tõendab infoturbekoolituse juures oleva testi läbimine.
8.5 Väline organisatsiooni turvaaudit viiakse läbi vastavalt vajadusele, vähemalt kord 3 aasta
jooksul. Infosüsteemide turvaaudit viiakse läbi vastavalt infosüsteemi kaitstuse
vajadusele.
9. Infoturbeintsident ja kontrolljäljed
9.1 Infoturbeintsidendist peab iga infovara kasutaja esimesel võimalusel teavitama infoturbe
spetsialisti ja Riigi Info- ja Kommunikatsioonitehnoloogia Keskuse (RIT) kasutajatuge.
9.2 Infoturbeintsidentide lahendamine toimub infoturbe spetsialistiga kooskõlastatud
põhimõtete alusel.
9.3 Infoturbeintsidendi lahendamiseks peab infosüsteemi peakasutaja tagama infoturbe
spetsialistile ja volitatud isikutele juurdepääsuõiguse informatsioonile, mis on intsidendi
lahendamiseks vajalik.
9.4 Intsidendi lahendamise käigus kogutud informatsioon dokumenteeritakse, analüüsitakse
ja kasutatakse eesmärgiga ennetada sarnaste intsidentide kordumist tulevikus.
9.5 Kui turvaintsidendi lahendamise käigus avastatakse kuriteo või distsiplinaarsüüteo
tunnused, antakse juhtum edasi menetlemiseks vastava menetluse läbiviimise õigust
omavale organile.
10. Infoturbe tulemuslikkuse hindamine
10.1 RTK infoturbe tulemuslikkuse hindamisel lähtutakse põhimõtetest:
10.1.1 RTK ISMS toimib ja vastab infoturbestandardi E-ITS nõuetele, vastavuse kontrolliks
rakendatakse E-ITS standardi auditeerimiseeskirja alusel välise sõltumatut audiitorit
ja kolmeaastast audititsüklit;
10.1.2 RTK suhtes läbi viidud infoturbe auditid, läbivaatused või kontrollid ei ole toonud
tähelepanekutena välja olulisi infoturbekorralduse puudusi või rikkumisi;
10.1.3 töötajate, andmete või IT-teenuste osas avastatud oluliste infoturvaintsidente arv on
kokkulepitud eesmärgi piires ning kõik toimunud olulised intsidendid on kaetud
asjakohase raporteerimise ja intsidendianalüüsiga ning vajadusel järeltegevustega;
10.1.4 kõik RTK töötajad on läbinud infoturbeteadlikkuse koolituse ja edukalt sooritanud
regulaarse infoturbe teadmiste kontrolli.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Riigi Tugiteenuste Keskuse infosüsteemide kasutamise korra kinnitamine | 28.10.2022 | 1096 | 1-2/32 | Käskkiri | rtk | |
| Riigi Tugiteenuste Keskuse infosüsteemide kasutamise korra muutmine | 27.10.2022 | 1097 | 1-2/49 | Käskkiri | rtk | |
| Riigi Tugiteenuste Keskuse infosüsteemide kasutamise korra kinnitamine | 26.10.2022 | 1098 | 1-2/30 | Käskkiri | rtk | |
| RTK infosüsteemide kasutamise kord 2014 | 26.10.2022 | 1098 | 1-2/13 | Käskkiri | rtk | |
| RTK infosüsteemide kasutamise kord | 26.10.2022 | 1098 | 1-2/5 | Käskkiri | rtk | |
| RTK infosüsteemide kasutamise kord | 26.10.2022 | 1098 | 1-2/14 🔒 | Käskkiri | rtk | |
| RTK infosüsteemi kasutamise korra kinnitamine 20130402 | 25.10.2022 | 1099 | 1-2/6 | Käskkiri | rtk |