15.09.24

Kuidas ja mida "Riigisaladuse ja salastatud välisteabe kaitse kord"juures muudeti.

Panen ülesse dokumendid, kui huvitud ja viitsid siis loed mida ja kuidas on salastatud.    

Tule homme siia  tagasi, siis panem ülesse Riigikontrolli auditiga seoses märgukirjad kus toodud  riigikontrolli tähelepanekud juba  detailsemalt iga ministeeriumi kohta.


Vabariigi Valitsuse määruse „Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 262 „Riigisaladuse ja salastatud välisteabe kaitse kord“ muutmine“ eelnõu

seletuskiri

1. Sissejuhatus

1.1. Sisukokkuvõte

Eelnõuga muudetakse Vabariigi Valitsuse 20. detsembri 2007. a määrust nr 262 „Riigisaladuse ja salastatud välisteabe kaitse kord“ (RT I, 31.05.2023, 8; edaspidi RSVKK).

Muudatuste eesmärk on ajakohastada elektroonilise salastatud teabe töötlemise põhimõtteid ning selleks kasutatavate töötlussüsteemide tehniliste andmete ja turvameetmete salastamise aluseid, muutes need paindlikumaks. See võimaldab töötleval üksusel töötlussüsteemi tehnilisi andmeid või turvameetmeid salastada madalamal tasemel kui töötlussüsteemis töödeldava teabe kõrgeim salastatuse tase.

Muudatus on tingitud mitmesugustest olukordadest, kus tehnilisi andmeid või turvameetmeid kajastava teabe salastamine samal tasemel, kui on töötlussüsteemis töödeldava salastatud teabe kõrgeim salastatuse tase, on raskendanud töötlussüsteemi arendamist ja hooldamist või teabe vahetamist rahvusvaheliste partneritega.

Eelnõu koostamisel on suurel määral tuginetud rahvusvahelisele riskide haldamise kesksele praktikale ja riigisisesele vajadusele. Võimalus teavet paindlikult salastada on osa RSVKK sätete puhul juba olemas (nt § 5 lg 1 p 13, § 5 lg 5 p 13). Käesolev muudatus loob sarnase võimaluse ka töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastava teabe jaoks.

1.2. Eelnõu ettevalmistajad

Eelnõu ja seletuskirja on koostanud Välisluureameti ja Kaitseministeeriumi ametnikud koostöös Justiitsministeeriumi, Siseministeeriumi ja Kaitsepolitseiameti esindajatega.

Eelnõu ettevalmistamise eest vastutab Kaitseministeeriumi julgeoleku- ja haldusosakond (jho@kaitseministeerium.ee). Eelnõu õiguslikku kvaliteeti on kontrollinud Kaitseministeeriumi õigusloome valdkonna juht Eda Loo-Suun (eda.loo-suun@kaitseministeerium.ee). Eelnõu ja seletuskirja on keeleliselt toimetanud Luisa Tõlkebüroo eesti keele vanemtoimetaja Helen Noormägi (helen.noormagi@luisa.ee).

2. Eelnõu sisu ja võrdlev analüüs

Eelnõu koosneb kahest paragrahvist.

Eelnõu §-s 1 esitatakse RSVKK muudatused.

1) Eelnõu § 1 punktiga 1 muudetakse § 8 lõike 2 punkti 6 sõnastust. Uus sõnastus loob võimaluse piiratud tasemel salastatud töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastavat teavet käsitleda asutusesiseseks kasutamiseks mõeldud või avaliku teabena. Seda juhul, kui töötlev üksus hindab, et töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastava teabe avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. Kui see tingimus ei ole 

täidetud, salastatakse töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastav teave piiratud tasemel 30 aastaks.

2) Eelnõu § 1 punktiga 2 sõnastatakse ümber § 8 lõike 2 punktid 8–10. Uue sõnastuse kohaselt on võimalik konfidentsiaalsel kuni täiesti salajasel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastavat teavet vajaduse korral paindlikult salastada. Selle eeldus on, et töötlev üksus on RSVKK § 22 lõike 1 punkti 17 alusel kehtestanud seda reguleeriva korra. 

3) Eelnõu § 1 punktiga 3 lisatakse § 8 lõikesse 2 punktid 11 ja 12. Seni olid salastatud teavet töötleva töötlussüsteemi haavatavuse analüüsi ja riskianalüüsi tulemused ning jääkriskide hinnanguid kajastav teave esitatud RSVKK § 8 lõike 3 punktides 7–9. Analüüsid ja hinnangud ei ole oma sisult tehnilised andmed ega turvameetmed, vaid sisaldavad muu hulgas neid andmeid, mille põhjal analüüs on koostatud. Teisisõnu on tegemist sünteesitud teabega, mistõttu on vaja seda ülejäänud lõikes 3 esitatud teabest selgelt eristada. 

Punktis 11 sätestatakse need analüüsid ja hinnangud eraldiseisva salastamise alusena ja kehtestatakse nende salastamiseks samad põhimõtted kui punktides 8–10. 

Punktis 12 kehtestatakse sama põhimõte salastatud teavet töötleva töötlussüsteemi toimimist ja efektiivsust kajastava teabe kohta. Seni oli seda teavet nimetatud RSVKK § 8 lõike 3 punktis 21.

 4) Eelnõu § 1 punktiga 4 muudetakse RSVKK § 8 lõike 3 punkti 5 sõnastust. Senine sõnastus võimaldas salastada ainult töötlussüsteemis elektrooniliste krüptovõtmete haldamise tarkvara seadistust, mis aga ei ole piisav töötlussüsteemi kaitsmiseks. Muudatuse kohaselt laiendatakse salastamise võimalust kõigile töötlussüsteemis rakendatavatele krüptograafilistele turvameetmetele.

5) Eelnõu § 1 punktiga 5 tunnistatakse § 8 lõike 3 punktid 21 ja 7–9 kehtetuks. Nende punktide sisu on üle toodud § 8 lõike 2 punktidesse 11 ja 12. 

6) Eelnõu § 1 punktiga 6 lisatakse § 8 lõiked 31 ja 32

Lõike 31 eesmärk on tekitada nõue, et töötlev üksus kooskõlastab Välisluureametiga, kes korraldab riigisaladuse elektroonilist teabeturvet, RSVKK § 22 lõike 1 punkti 17 alusel kehtestatud korra. Kord tuleb Välisluureametiga kooskõlastada vaid juhul, kui töötlev üksus soovib RSVKK § 8 lõike 2 punktides 8–12 nimetatud teavet salastada madalamal tasemel, kui on vastavas töötlussüsteemis töödeldava salastatud teabe kõrgeim salastatuse tase. Samuti lisatakse põhimõte, et vastava korra kehtestamise aluseks olevate nõuete juhendi töötab välja Välisluureamet. Nii tagatakse, et töötleva üksuse korras võetakse asjaomase teabe salastamisel arvesse kõiki seonduvaid asjaolusid. 

Kui töötleval üksusel ei ole vaja RSVKK § 8 lõike 2 punktides 8–12 nimetatud teavet madalamal tasemel salastada, ei ole korda vaja kehtestada, välja arvatud juhul, kui see on vajalik mõne muu RSVKK sätte alusel paindlikult salastatava teabe salastatuse taseme määramiseks.

Lõige 32 puudutab relvasüsteeme ja rahvusvaheliselt ühiseks kasutamiseks mõeldud salastatud teavet töötlevate töötlussüsteemide tehnilisi andmeid või turvameetmeid kajastavat teavet. Sätte kohaselt kooskõlastab Välisluureamet nende salastatuse tasemed igal juhul eraldi.

Relvasüsteemide korral võib tootja seada tingimused, mis erinevad Eesti salastamise alustest ja tasemetest, lisaks võib olla vaja teavet avaldada hoolduspartnerile. Rahvusvaheliselt ühiseks kasutamiseks mõeldud töötlussüsteemide puhul on vajalik koordinatsioon ja kooskõlastamine mitme riigi vahel, kus õiguslik regulatsioon võib olla salastatuse taseme poolest erinev. 

Eelnimetatud asjaolude tõttu on relvasüsteemide ja rahvusvaheliselt ühiselt kasutamiseks mõeldud töötlussüsteemide tehnilisi andmeid ja turvameetmeid kajastava teabe salastatuse tase vaja kehtestada iga kord eraldi, võttes arvesse konkreetset süsteemi ja ohutegureid.

Eelnõu § 2 on jõustumissäte. Määrus jõustub 1. septembril 2024. aastal.

3. Eelnõu terminoloogia ja vastavus Euroopa Liidu õigusele

Eelnõu ei ole otseses sõltuvuses Euroopa Liidu õigusest, sest riigi julgeoleku tagamine (millest üks osa on riigisaladuse elektrooniline kaitse) on liikmesriigi ainupädevuses. Eelnõu koostamisel on siiski arvestatud Euroopa Liidu ja teiste liikmesriikide riskide haldamise keskseid tavasid ja õigusnorme ning on muudetud töötlussüsteemide tehnilisi andmeid ja turvameetmeid kajastava teabe salastamise aluseid.

4. Määruse mõjud

Muudatustel on vahetu positiivne mõju riigi julgeolekule. Muudatustega ajakohastatakse töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastava teabe salastamist reguleerivat õigusnormi. Tänu sellele saab kindel olla, et töötlussüsteemide arendamine ja hooldamine või töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastava teabe vahetamine rahvusvaheliste partneritega on võimalik ka juhul, kui teisel poolel ei ole võimalik seda teavet salastada ja töödelda töötlussüsteemis töödeldava salastatud teabe kõrgeimal salastatuse tasemel. Eelnõukohane muudatus vähendab teabe üle- ja alasalastamise riski, sest tekib võimalus teavet, mille avalikuks tulek ei kujuta töötlussüsteemi turvalisusele suurt ohtu, salastada madalamal tasemel. Seni on teatud juhtudel sellist teavet käsitletud asutusesiseseks kasutamiseks mõeldud teabena.

Mõju peamine sihtrühm on asjaomast teavet töötlevad üksused. Töötlussüsteemide, neid kasutavate töötlevate üksuste ja isikute täpne hulk on juurdepääsupiiranguga teave. Teisene sihtrühm on nõuete täitmist kontrollivad asutused (Välisluureamet ja Kaitsepolitseiamet).

Eelnõuga luuakse võimalus salastada töötlussüsteemide tehnilisi andmeid ja turvameetmeid kajastavat teavet paindlikumalt, kui senine õigusnorm seda võimaldab. Tekib võimalus salastada teavet madalamal tasemel kui töötlussüsteemis töödeldava teabe kõrgeim salastatuse tase.

Eelnõuga lisatakse sellise võimaluse juurde ka kontrollmehhanism. Töötlevad üksused peavad enne teabe madalamal tasemel salastamist kehtestama seda reguleeriva eraldi korra, mis kooskõlastatakse Välisluureametiga. Sellisel nõudel võib olla mõju nii töötleva üksuse kui ka Välisluureameti tegevusele. Mõju ulatus oleneb sellest, kui palju soovivad töötlevad üksused paindlikku salastamist kasutada.

Eelnõu selle osa rakendamine, mis käsitleb relvasüsteemide ja rahvusvaheliselt ühiseks kasutamiseks mõeldud töötlussüsteemide teavet, võib mõjutada Välisluureameti,

töötlussüsteemide omanike ja rahvusvaheliste partnerite tegevust. Mõju ulatus oleneb ka sellest, kui palju soovivad töötlevad üksused paindlikku salastamist kasutada.

Määruse rakendamisega ei kaasne sotsiaalset, sealhulgas demograafilist, mõju. Samuti ei mõjuta see majandust, elu- ja looduskeskkonda, regionaalarengut ega vahetult riigi välissuhteid. Sellel ei ole muud otsest ega kaudset mõju.

Ebasoovitava mõju kaasnemise risk on vähene. See võib avalduda esmakordsel töötlevate üksuste töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastava teabe salastatuse taseme määramisel, kuna põhimõtete rakendamise varasem praktika puudub. Töötlevatel üksustel läheb aega, et riskide halduse keskse mõtteviisiga harjuda ja seda rakendada. Seda negatiivset mõju leevendab Välisluureameti välja antav salastatuse taseme määramise juhendmaterjal ning sisse seatud kontrollmehhanism.

5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise eeldatavad tulud

RSVKK § 8 lõike 2 ajakohastamisega kaasneb juhul, kui töötlev üksus soovib kasutada paindlikku salastamist, kohustus kehtestada paindlikku salastamist reguleeriv sisemine kord. Selleks on vaja muuta töötleva üksuse salastatud teabe kaitse juhendit. Välisluureamet peab asjaomase korra kooskõlastama.

Planeeritud muudatus ei too automaatselt kaasa kulu, sest sellega luuakse üksnes õiguslik alus töötlussüsteemi tehnilisi andmeid ja turvameetmeid kajastava teabe paindlikuks salastamiseks. Kulu võib kaasneda, kui töötlev üksus näeb oma salastatud teabe kaitse juhendis ette lisategevusi vastava teabe salastamise aluste korras.

Kooskõlastamiskohustus võib tuua kaasa kulusid Välisluureametile. Kulusid on eelnõu väljatöötamise ajal raske hinnata, kuna ei ole teada, mil määral töötlevad üksused seda võimalust kasutama hakkavad.

Kui eelnõu rakendamisega seotud tegevused toovad kaasa kulu, tuleb see vastutavatel valitsusasutustel katta oma eelarvest.

6. Määruse jõustumine

Määrus jõustub 1. septembril 2024. aastal.

7. Eelnõu kooskõlastamine

Eelnõu esitatakse eelnõude infosüsteemi kaudu kooskõlastamiseks Riigikantseleile ja ministeeriumidele ning arvamuse avaldamiseks Välisluureametile, Kaitseväele, Kaitseressursside Ametile, Riigi Kaitseinvesteeringute Keskusele ja Kaitseliidule, samuti Riigikontrollile, Riigikogu Kantseleile, Riigikohtule, Õiguskantsleri Kantseleile, Eesti Pangale ja Vabariigi Presidendi Kantseleile.


Siin siis  määruse eelnõu 

VABARIIGI VALITSUS

MÄÄRUS

Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 262 „Riigisaladuse ja salastatud välisteabe kaitse kord“ muutmine

Määrus kehtestatakse riigisaladuse ja salastatud välisteabe seaduse § 39 lõike 1 alusel.

§ 1. Vabariigi Valitsuse 20. detsembri 2007. a määruses nr 262 „Riigisaladuse ja salastatud välisteabe kaitse kord” tehakse järgmised muudatused: 1) paragrahvi 8 lõike 2 punkt 6 sõnastatakse järgmiselt:

„6) piiratud tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastav teave, välja arvatud teave, mille avalikuks tulek ei kahjusta Eesti Vabariigi julgeolekut. See teave salastatakse piiratud tasemel 30 aastaks ;“; 

2) paragrahvi 8 lõike 2 punktid 8–10 sõnastatakse järgmiselt:

„8) konfidentsiaalsel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastav teave. See teave salastatakse konfidentsiaalsel tasemel 30 aastaks. Käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korras võib seda teavet salastada madalamal tasemel;

9) salajasel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastav teave. See teave salastatakse salajasel tasemel 50 aastaks. Käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korras võib seda teavet salastada madalamal tasemel;

10) täiesti salajasel tasemel salastatud teavet töötleva töötlussüsteemi tehnilisi andmeid või turvameetmeid kajastav teave. See teave salastatakse täiesti salajasel tasemel 50 aastaks. Käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korras võib seda teavet salastada madalamal tasemel;“; 

3) paragrahvi 8 lõiget 2 täiendatakse punktidega 11 ja 12 järgmises sõnastuses:

„11) salastatud teavet töötleva töötlussüsteemi haavatavuse analüüsi ja riskianalüüsi tulemusi ning jääkriskide hinnanguid kajastav teave. See teave salastatakse töötlussüsteemis töödeldava teabe kõrgeimal salastatuse tasemel kuni 50 aastaks. Käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korras võib seda teavet salastada madalamal tasemel;

12) salastatud teavet töötleva töötlussüsteemi toimimist ja efektiivsust kajastav teave. See teave salastatakse töötlussüsteemis töödeldava teabe kõrgeimal salastatuse tasemel kuni 30 aastaks. Käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korras võib seda teavet salastada madalamal tasemel.“; 

4) paragrahvi 8 lõike 3 punkt 5 sõnastatakse järgmiselt:

„5) teave töötlussüsteemis rakendatavate krüptograafiliste turvameetmete kohta;“;

5) paragrahvi 8 lõike 3 punktid 21 ja 7–9 tunnistatakse kehtetuks. 

6) paragrahvi 8 täiendatakse lõigetega 31 ja 32 järgmises sõnastuses:

„(31) Enne käesoleva määruse § 8 lõike 2 punktides 8–12 nimetatud teabe töötlussüsteemis töödeldava teabe kõrgeimast salastatuse tasemest madalamal tasemel salastamist peab töötlev üksus kooskõlastama käesoleva määruse § 22 lõike 1 punkti 17 alusel kehtestatud korra Välisluureametiga. Korra kehtestamise aluseks olevate nõuete juhendi töötab välja Välisluureamet.

(32) Relvasüsteemide ja rahvusvaheliselt ühiseks kasutamiseks mõeldud töötlussüsteemide puhul kooskõlastab Välisluureamet käesoleva paragrahvi lõike 2 punktides 8–12 nimetatud teabe salastatuse tasemed igal juhul eraldi.“.

§ 2. Määrus jõustub 1. septembril 2024. a.

Kaja Kallas

Peaminister

Hanno Pevkur

Kaitseminister

Taimar Peterkop

Riigisekretär

 

Kommentaare ei ole: