Valitsus kiitis heaks ühtsed nõuded pilveteenuste kasutamiseks avalikus sektoris
(2)
Valitsus kehtestas tänasel istungil võrgu- ja infosüsteemi turvameetmete nõuded pilveteenuse kasutamisel avalikus sektoris. Määruse eesmärk on luua ühtsed põhimõtted avaliku sektori asutustele, mida järgida, kui nad soovivad kasutusele võtta pilveteenuseid.
Majandus- ja infotehnoloogiaminister Tiit Riisalo sõnul on tehnoloogia arenedes üha rohkem avaliku sektori asutusi võtmas kasutusele pilvetehnoloogiaid andmete töötlemiseks ja säilitamiseks. „Pilveteenuste kasutamine võimaldab mugavaimaid teenuseid ja parandab teabe töötlemise kvaliteeti. Sageli on pilveteenus ka soodsam, kui selle analoogi käitamine oma taristul ning nende kasutamine nõuab vähem IT-alaseid oskusi ja teadmisi. Lisaks on oluline ka avalikus sektoris kasutada ajakohaseid IT-lahendusi, et vältida taakvara ja IT-kulude märkimisväärset kasvu,“ kommenteeris Riisalo.
Valitsuse määrusega koondatakse kokku ka siiani kehtinud põhimõtted, mis on seotud võrgu- ja infosüsteemide turvalisuse tagamisega, äriprotsesside riskihaldusega ja avaliku teabe kaitsega ning mida tuleb avalikus sektoris pilveteenuse kasutuselevõtul järgida. Nõuetega ühtlustatakse arusaama, kuidas pilveteenuse kasutajana riske juhtida.
„Kuigi pilveteenuste kasutamine on digiriigi arendamist ja avalike teenuste jätkusuutlikkust silmas pidades vältimatu, tuleb nende kasutamisel tagada küberturvalisus, avaliku huvi ja andmete kaitse,“ sõnas minister.
Määrusega pannakse paika, mida teha, kui 1) asutus soovib viia avaliku teabe töötlemise pilve, 2) on tehtud otsus pilve minna, 3) pilves toimuvad mingid muudatused, 4) kui pilve kasutamine lõpetatakse või vahetatakse teenusepakkujat.
Kuna infotehnoloogia areng on pidev ja kiire, ei keskendu määrus pilveteenuste ja nende osutajate reguleerimisele, vaid tähelepanu on pööratud sellele, mida ja kellega on kavas pilveteenuse abil töödelda. Nõuete keskmes on riskihindamine ja -juhtimine, samuti on asutuste jaoks koostatud ka abistav kontrollküsimustik riskide ühtlaseks hindamiseks. Pilveteenuse kasutusele võtmise puhul on oluline riski- ja ohuhinnangute arvestamine ning koostöö erinevate asutuste vahel ning koostöö küberturvalisuse ja isikuandmete kaitsega tegelevate asutustega.
Määrus ei kohusta asutusi pilveteenuseid kasutama. Pilveteenuse kasutuselevõtmisega ei muutu asutuste jaoks kohustused, mis on seotud isikuandmete kaitse ning võrgu- ja infosüsteemide kaitsega – nende kohustuste täitmine tuleb tagada ka pilveteenuse kasutamisel.
