X-tee liikme kohustused
X-tee liikme kohustused on määratud valitsuse määruses "Infosüsteemide andmevahetuskiht" https://www.riigiteataja.ee/akt/127092016004
X-tee liige võib kohustuste täitmise delegeerida kolmandatele, kuid ei tohi unustada, et ka sellisel juhul jääb X-tee liige vastutavaks nende täitmise eest. Näiteks majutatud turvaserveri korral tegeleb turvaserveriga seotud ülesannetega majutaja, aga X-tee kontekstis vastutab nende ülesannete täitmise eest ettevõte ise.
Enda infosüsteemide ajakohase ja usaldusväärsena hoidmiseks kohustuvad X-tee liikmed
tagama X-teega liitumise korral oma infosüsteemi järjepidevuse, haldamise ja arendamise ning turvalise ja häireteta töö, et teised liikmed saaksid temaga usaldusväärselt andmeid vahetada;
täitma X-tee keskusest X-tee liikmele edastatud korraldusi, mis puudutavad X-tee kasutamist;
hoidma enda kohta käivad andmed X-tee iseteeninduskeskkonnas ajakohastena;
edastama X-teega seotud taotlused ning muu teabe X-tee keskusele X-tee iseteeninduskeskkonna kaudu. Taotlused ja teavitused, mida ei ole võimalik edastada iseteeninduskeskkonna kaudu, edastatakse elektrooniliselt;
infosüsteemi juurutamine väljapool Eesti vabariigi territooriumi, kooskõlastama selle RIAga.
Enda infosüsteemide turvalisena hoidmiseks kohustuvad X-tee liikmed
rakendama andmekaitse abinõusid ja asjakohaseid füüsilisi, organisatsioonilisi ja infotehnilisi turvameetmeid, arvestades avaliku teabe seadusega. Turvalisusega seotud riskide käsitluseks tuleb rakendada andmete tervikluse, konfidentsiaalsuse ja käideldavuse tagamise meetmeid;
liitumisel kinnitama infoturbenõuetele vastavust asjakohase kinnituskirjaga (viidatud kasutusjuhendis);
esitama X-tee keskuse nõudel turvaserveri turvalisuse hindamiseks vajaliku teabe, sealhulgas turvaeeskirjad ning rakendatud meetmete rakendamise kirjelduse;
Infoturbe tagamiseks on soovitatav rakendada mõnda üldtuntud standardit. Näiteks ISKE, ISO/IEC 27000, COBIT, ITGrundschutzhandbuch. Oluline on jälgida, et kasutatav metoodika oleks auditeeritav ning sõltumatud auditid ka vähemalt nelja aastase intervalliga läbi viidud.
Avaliku sektori asutustel, mis ei kuulu Avaliku Teabe Seaduse alla võivad omada eriregulatsioonimõnes teises seaduses, mis reguleerib nende infosüsteemide infoturbe tagamise mooduseid. Näiteks Riigisaladuse ja salastatud välisteabe seadus.andmeteenuseid osutama ja kasutama vastavalt X-tee liikmete vahelistele andmeteenuse kasutamise kokkulepetele. Andmeteenuse kasutamise kokkuleppes tuleb muuhulgas kindlaks määrata:
andmeteenuse kasutamiseks vajalikud infoturbemeetmed ning andmeteenuse kasutaja alamsüsteemilt nõutavad organisatsioonilised, füüsilised ja infotehnilised turvameetmed, arvestades töötlemisele kuuluvate andmete koosseisu ning õigusaktide nõudeid;
andmeteenuse kolmandatele isikutele vahendamise luba juhul, kui X-tee liige tegeleb andmeteenuse vahendamisega. Andmeteenuse vahendaja kasutamisel tuleb kokku leppida teenuse vahendamise poliitika;
teenustaseme tingimused.
määrama töö- ja ametikohad, kellel on õigus alamsüsteemi ja seeläbi alamsüsteemile võimaldatud andmeteenuseid kasutada, ning lubama organisatsioonisiseselt juurdepääsu vaid selleks õigustatud isikutele;
teavitama X-tee keskust viivitamatult X-tee kasutamise probleemidest ja asjaoludest, mis mõjutavad või võivad mõjutada X-tee keskust või X-tee liiget oma kohustuste täitmisel. Sealhulgas on X-tee liige kohustatud teavitama X-tee keskuse infoturbeintsidentide käsitlemise osakonda (CERT-EE) viivitamatult turvaintsidentidest ja nende vahetust ohust;
kasutades infosüsteemi majutamiseks avalikku pilveteenust on soovitatav juhinduda avalike pilveteenuste turvalise kasutamise juhendist.
Et andmeteenused oleks kättesaadavad kõigile X-tee liikmetele, kohustuvad need
registreerima andmeteenuse koos tehnilise kirjeldusega turvaserveris ja hoidma andmeteenuse kirjeldused nii turvaserveris kui ka X-tee iseteeninduskeskkonnas asja- ja ajakohased;
enne andmeteenuse kasutajaga kokkuleppe sõlmimist veenduma, et andmeteenuse kasutaja kasutab piisavaid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid, arvestades sealhulgas ühendatud keskkondade liikmete ja liikme juriidilisest vormist tulenevate erisustega;
tagama X-tee süsteemi pääsuõiguste kooskõla liikmetevaheliste andmeteenuse kasutamise kokkulepetega. Andmeteenuse kasutamine on võimalik X-tee liikmete alamsüsteemides, millele on antud konkreetse andmeteenuse kasutamiseks pääsuõigus;
järgima andmeteenuse kasutamise kokkulepet;
ajatembeldama laekunud sõnumid turvaserveris andmete töötlemiseks vajalikus tempos.