Järvakandi Vallavalitsuse infosüsteemi kasutamise eeskiri
Vastu võetud 15.12.2010 nr 29
Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse paragrahvi 30 lõike 1 punkti 3 ja Vabariigi Valitsuse määruse nr 252 „Infosüsteemide turvameetmete süsteem“ paragrahvi 2 alusel.
§ 1. Eesmärk ja põhimõtted
Järvakandi Vallavalitsuse infosüsteemi kasutamise eeskiri (edaspidi eeskiri) sätestab infosüsteemi kasutajate õigused ja kohustused ning need kehtivad kõigi Järvakandi Vallavalitsuse (edaspidi vallavalitsus) infosüsteemi lülitatud arvutite kohta eesmärgiga vähendada infosüsteemi halduskulusid ning tõhustada süsteemi toimimise turvalisust ja efektiivsust.
§ 2. Üldsätted
(1) Käesolevas eeskirjas kasutatakse mõisteid alljärgnevas tähenduses:
1) Vallavalitsuse infosüsteem - vallavalitsuse mitteavalik teave, arvutid ja nendega seonduvad tarkvara ning seadmed, arvutivõrk ja selle komponendid ning ressursid (kaasa arvatud Interneti ühendus) - on vallavalitsuse valitsemisel olev vara, mille kasutamisel tuleb alati lähtuda eelkõige vallavalitsuse huvidest.
2) Kasutaja – käesoleva eeskirja § 8 lõigetes 1-2 nimetatud isik
(2) Vallavalitsuse infosüsteemi kasutamisel tuleb juhinduda:
1) vallavalitsuse tegevuse eesmärkidest, mis on määratud Eesti Vabariigi seadustega ja seaduste alusel antud muude õigusaktidega;
2) käesolevast eeskirjast;
3) headest tavadest.
(3) Vallavalitsuse infosüsteemi ning sellega seonduvate ruumide hooldajad võivad ülaltoodud põhimõtetest ja seadmete sihtotstarbest lähtuvalt kehtestada käesoleva eeskirja nõuetest rangemaid täiendavaid reegleid.
(4) Kui vallavalitsuse infosüsteemi erinevad kasutusviisid satuvad konflikti, mille lahendamisel ei saa üheselt lähtuda antud eeskirjast ega täiendavatest nõuetest, tuleb lähtuda järgnevatest prioriteetidest:
1) vallavalitsuse põhitegevusega seotud tegevused;
2) muud vallavalitsuse tegevuse eesmärkidega otseselt seotud tegevused;
3) vallavalitsuse tegevuse eesmärkidega kaudselt seotud tegevused.
(5) Vallavalitsuse infosüsteemi hooldajaks on vallavalitsuse lepinguline IT-spetsialist (edaspidi IT-spetsialist), kes kontrollib ka infosüsteemi hooldust teiste isikute poolt.
(6) Infosüsteemi turvalisuse tagamise eest vastutab IT-spetsialist.
(7) Infosüsteemi kasutamise ja turvalisusega seonduvate probleemide puhul tuleb pöörduda telefonile 489 4710.
§ 3. Infosüsteemide hooldaja kohustused
(1) Tagada arvutivõrgu tõrgeteta toimimine ja teenuste kättesaadavus.
(2) Teha kasutajatele kättesaadavaks olulisemate võrguteenuste kasutamise juhised.
(3) Pidada saladuses andmeid, mis on saadud seoses töökohustuste täitmisega ja mille kohta puudub luba andmeid edasi anda, v.a. juhud, mil seadus kohustab info teatavaks tegema.
(4) Jälgida hoolduses olevate süsteemide töökorras olekut ja turvalisust. Häirete avastamisel tuleb nendest vajaduse korral kasutajatele teada anda.
§ 4. Infosüsteemi hooldaja õigused
(1) Hooldajal on kohustuste täitmiseks õigus ajutiselt piirata arvutite ja –võrgu kasutamist.
(2) Arvuti või -võrgu häireolukorra kiireks selgitamiseks on hooldajal õigus avada kasutajate faile.
(3) Hooldajal on vältimatu vajaduse korral õigustakistada või piirata infosüsteemi kasutamist väärkasutuse uurimise ajaks.
§ 5. Kasutajate kohustused
(1) Lähtuda arvuti kasutamisel käesoleva eeskirja põhimõttest, mitte tekitada vallavalitsusele täiendavaid kulutusi.
(2) Vallavalitsuse infosüsteemi kasutajatel on kohustus kasutada ainult oma kasutajanime ja parooli ning parooli regulaarselt vahetada (minimaalselt kord kvartalis). Parooli edasiandmine teisele isikule on keelatud.
(3) Saabuva elektronposti jälgimiseks peavad teenistujad regulaarselt kontrollima neile kinnitatud elektroonilise postkasti sisu vähemalt kaks korda tööpäeva jooksul v.a. juhul kui ollakse puhkusel, haige, komandeeringus vmv. juhul kui ei ole võimalik elektronposti kontrollida.
(4) Säilitada arvutite väline heakord.
(5) Järgida hooldajate poolt kehtestatud piiranguid (mitte saatma e-postiga suuremaid faile kui 5MB, mitte laadima võrgu kaudu suuremaid faile kui 100 MB).
(6) Teenistujad ja töötajad, kes töötavad delikaatsete isikuandmetega, peavad enne ruumist lahkumist (lõunale, WC jne ) end süsteemist välja logima.
(7) Keelatud on infosüsteemi võimalike turvaaukude kasutamine täiendavate juurdepääsuõiguste ja -privileegide saamiseks. Kasutajal on kohustus turvaaukudest teadlikuks saamisel koheselt teavitada § 1 lõikes 6 määratud isikut.
(8) Keelatud on arvutite või seadmete omavoliline ühendamine arvutivõrku, nende ümberühendamine ja nendele mistahes perifeeriaseadmete ühendamine. Mistahes isikliku riistvara paigaldamine peab olema kooskõlastatud infosüsteemi hooldajatega (nt digifotoaparaat).
(9) Kasutaja on kohustatud kontrollima enda poolt vallavalitsuse ruumidesse toodava tarkvara ja/või andmefaile viirusetõrje programmiga või tegema seda infosüsteemi hooldaja abiga.
(10) Kasutajal on rangelt keelatud peatada hooldaja poolt paigaldatud viirusetõrje programmi. Kõik kahtlused, mis on seotud arvuti võimaliku nakatumisega viirustega peavad olema koheselt edastatud infosüsteemi hooldajale.
(11) Iga kasutaja vastutab isiklikult oma arvutis ja andmekandjatel olevate failide tagavarakoopiate olemasolu eest.
§ 6. Kasutajate õigused
(1) Kasutusõiguse saanud isikul on õigus kasutada infosüsteemi igal ajal, kui see ei ole vastuolus muude kehtivate reeglitega;
(2) Teha ettepanekuid infosüsteemi töö ja teenuste paremaks korraldamiseks. Ettepanekud tuleb edastada vallavalitsuse arvutispetsialistile;
(3) Lõpetada arvuti kasutamine (lülitada välja) enne tööaja lõppu ebasoodsate ilmastikutingimuste (äike) ja muude eriolukordade korral.
§ 7. Kasutajatel on keelatud
(1) Igasugune muudatuste tegemine arvuti konfiguratsioonis.
(2) Arvutile installeerida ega kopeerida infosüsteemi hooldaja loata tarkvara, programme ja arvutimänge.
(3) Käivitada või avada faile, mille päritolu ja otstarve ei ole teada.
(4) Kasutada seadmeid ja tarkvara mittesihtotstarbeliselt.
(5) Kasutada teistele isikutele omistatud kasutajaparoole.
(6) Segada teisi kasutajaid nii otseselt kui ka kaudselt (nt ressursside tahtliku raiskamise teel).
(7) Arvutivõrku ühendatud arvutites hoida ja levitada illegaalselt omandatud tarkvara.
(8) Arvutivõrgu kasutamisel selline tegevus, mis häirib infosüsteemide kasutust nende haldaja poolt määratud otstarbel või põhjustab häireid arvutivõrgus.
(9) Infosüsteemi ja operatsioonisüsteemide turvaaukude kasutamine täiendavate juurdepääsuõiguste ja privileegide saamiseks või arvutivõrgu töö häirimiseks.
(10) Arvutite ja infosüsteemi kasutamine kuritegelikul eesmärgil.
§ 8. Kasutusõiguse saamise kord
(1) Vallavalitsuse infosüsteemi kasutusõigus antakse kasutajakonto väljastamisega vallavanema kaudu:
1) vallavalitsuse teenistujatele ja töötajatele;
2) vallavalitsuse IT teenuseid osutavatele isikutele, kes vajavad selleks kasutusõigust;
3) erandkorras võib anda kasutusõiguse teistele isikutele, kui esitatakse põhjendatud taotlus organisatsiooni poolt, millega see isik on seotud.
(2) Vallavalitsuse teenistujate ja töötajate kasutusõigus kehtib reeglina nende teenistus- ja töösuhte aja jooksul.
(3) Kasutusõigus on personaalne ja seda pole lubatud ühelt isikult teisele edasi anda (unikaalne kasutajatunnus identifitseerib kasutajat ja kõiki tema tegevusi, mida võetakse aluseks ka rikkumiste jälgimisel).
(4) Iga kasutaja peab esmasel kasutusõiguse väljastamisel oma allkirjaga kinnitama, et on tutvunud infosüsteemi kasutamise eeskirjaga ning kohustub järgima selles kehtestatud nõudeid.
(5) Kasutusõiguse saamisel omistatakse taotlejale kasutajakonto(d) kasutajanime ja esmase parooliga. Esmane parool tuleb kasutajal endal vahetada koheselt peale esimest infosüsteemi sisenemist vastavalt käesoleva eeskirja § 8 ja 9
(6) Koos kasutusõigusega omistatakse kasutajale (vajadusel) ka e-posti aadress.
(7) Kasutaja õigusi ei muudeta ilma kasutaja otsese ülemuse kinnituseta.
§ 9. Paroolide haldamine
(1) Paroolide koostamise nõuded:
(2) Parool peab:
1) olema vähemalt 8 kirjamärki pikk;
2) sisaldama vähemalt ühte igast märgitüübist: väike täht, suur täht, number.
(3) Parool ei tohi:
1) olla liiga äraarvatav (sarnaneda sõnaraamatu sõnaga, olla kasutaja lemmikfraas jne.);
2) sisaldada kasutajanime või kasutaja isikuga seonduvat informatsiooni (mitte kasutada parooli koostamisel enda, sugulaste või näiteks lemmiklooma nime, mõnda olulist kuupäeva, auto registrinumbrit, isikukoodi, lemmikfraasi vms.);
3) sarnaneda varemkasutatud paroolidele või teistele kasutaja paroolidele (rangelt on keelatud isiklikke paroole kasutada tööga seotud paroolidena).
§ 10. Paroolide hoidmise nõuded
(1) Paroole tuleb hoida konfidentsiaalsena (talletada mällu, mitte paberile või faili).
(2) Parooli ega viiteid selle sisule ei tohi anda teada teistele isikutele
(3) Kasutaja õigustega kaasnev esmane parool tuleb ära vahetada kohe peale selle esimest kasutamist infosüsteemi sisenemisel.
(4) Kasutajad on kohustatud oma paroole vahetama perioodiliselt (iga 90 päeva tagant kui ei ole sätestatud teisiti) ning koheselt kui on tekkinud kahtlusi parooli või kasutusõiguste lekkimises teistele isikutele.
§ 11. Töökoha turvalisus
(1) Kasutaja peab tema kasutajakonto kasutamise vältimiseks teiste isikute poolt:
1) Töökohalt pikemaks ajaks lahkudes tuleb arvutist välja logida või kasutada parooliga ekraanisäästjat või arvuti välja lülitada (sh ka ööseks).
(2) Kasutaja on kohustatud vältima tema käsutuses olevaid olulist informatsiooni sisaldavate andmekandjate ja andmete sattumist kõrvaliste isikute kätte:
1) Andmekandjaid ei tohi jätta (floppy, CD, ZIP, magnetlint, mälupulk jms.) kergesti nähtavatesse või ligipääsetavatesse kohtadesse või jätta neid arvuti vastavasse seadmesse.
2) Võimalusel on soovitav kasutaja eemalolekul hoida andmekandjaid lukustatavas sahtlis või kapis (see kehtib ka lukustatavate kabinettide puhul, kui sellele omab juurdepääsu rohkem kui üks inimene).
§ 12. Interneti kasutamine
(1) Interneti kasutamine töö ajal on lubatud eelkõige ainult tööülesannete täitmiseks.
(2) Salastatud ja konfidentsiaalse informatsiooni edastamine Interneti kaudu krüpteerimata kujul on rangelt keelatud.
(3) Keelatud on Interneti kasutamine isikliku tulu saamiseks, ebasündsaks käitumiseks, ebasündsate failide vaatamiseks või allalaadimiseks, Interneti ühenduse või vallavalitsuse arvutiressursside raiskamist põhjustades või muul moel, mis ei ole vallavalitsuse huvides.
(4) Keelatud on internetist tundmatute failide käivitamine või allalaadimine (vältimaks nakatumist viirusega või rünnakut pahatahtliku tarkvara läbi).
§ 13. E-posti kasutamine
(1) Kasutajale antud e-posti kasutusõigus ja e-posti aadress on ette nähtud tööülesannetega seotud kirjavahetuse jaoks.
(2) E-posti saatmisel tuleb erilist tähelepanu pöörata sellele, et kiri ei sattuks valele adressaadile.
(3) Keelatud on avada e-postiga saadetud kahtlasi või tundmatuid faile tundmatutelt isikutelt. Kahtluse tekkimisel tuleb konsulteerida IT-spetsialistiga.
(4) Keelatud on edastada e-posti vahendusel krüpteerimata konfidentsiaalset informatsiooni või muud eriti sensitiivset teavet (k.a. paroolid).
(5) Keelatud on e-posti ressursseraiskav, ebaviisakas või sündusetu kasutamine.
§ 14. Mobiilsed kasutajad
(1) Kaasaskantava arvuti kasutamisele kehtivad samad miinimumreeglid nagu statsionaarsetele arvutitele (käesoleva eeskirja § 4, 5, 6, 9 ja 10).
(2) Kõik reeglid kehtivad kaasaskantava arvuti kasutamisel ka vallavalitsuse ruumidest väljaspool.
(3) Mobiilsetele IT vahenditele, mida kasutatakse ka väljaspool vallavalitsuse infosüsteemi, kehtivad järgnevad lisareeglid:
1) Kaasaskantavat arvutit on rangelt keelatud jätta üldkäidavates kohtades ilma järelvalveta (k.a. pargitud sõiduautodes);
2) Kaasaskantaval arvutil ei tohi töödelda sensitiivseid andmeid avalikus kohas või kohtades, kus töödeldavaid andmeid võivad näha kõrvalised isikud;
3) Kaasaskantava arvuti kasutusvõimalust on keelatud edasi anda isikutele, kellel puudub selleks vallavalitsuse poolt antud spetsiaalne kasutusõigus koos vastava kasutajakontoga (k.a. kasutaja pereliikmetele);
4) Konfidentsiaalseid andmeid sisaldav või töötlev kaasaskantav arvuti peab olema lisaks kasutaja paroolile kaitstud haldaja poolt seatud BIOSi parooliga;
5) Kaasaskantaval arvutil asuvate oluliste failide tagavarakoopiate olemasolu eest vallavalitsuse failiserveris vastutab kaasaskantava arvuti kasutaja ise.
(4) Infosüsteemi hooldaja vastutab ainult failiserveris olevate andmete turvakoopiate ja taastamise eest.
(5) Kaasaskantava arvuti ühendamisel Internetti või mistahes võrku väljaspool vallavalitsuse sisevõrku tuleb kasutada personaalset tulemüüri, mis on konfigureeritud vallavalituse infosüsteemi hooldaja pool.
(6) Vastavalt vajadusele võib vallavalitsus kehtestada kaasaskantava arvuti kõvaketta või selle osa krüpteerimise nõude spetsiaalse tarkvara abil (kehtib pideva sensitiivsete andmete töötlemise puhul).
§ 15. Konfidentsiaalse informatsiooni transport infosüsteemides.
(1) Konfidentsiaalset informatsiooni transporditakse krüpteeritud kujul (nt: e-postiga pannakse kaasa krüpteeritud dokument).
(2) Informatsiooni krüpteerimise eesmärgiks on muuta failis asuvad andmed võõrastele loetamatuteks ehk teisisõnu öeldes info salastada.
(3) Krüpteerimiseks kasutatakse tarkvara DigiDoc ja ID-kaarti.
(4) Krüpteerimisel tuleb arvestada, et dekrüpteerimise võimalus on vaid adressaatide hulka lisatud sertifikaatide kasutajail. Seetõttu tuleb ise ennast adressaatide hulka lisada, et hiljem oleks võimalik vajadusel faili(e) avada.
(5) Paragrahv 14 ja selle lõiked kehtivad ainult andmete turvaliseks transportimiseks, mitte pikaajalisel säilitamisel.
§ 16. Konfidentsiaalse digitaalse informatsiooni hävitamine.
(1) Juhul, kui arvuti kasutajal on vajadus digitaalset konfidentsiaalset informatsiooni hävitada, annab ta sellest teada infosüsteemi hooldajale, kes viib läbi vastava tegevuse – andmete turvalise kustutamise.
(2) Iga sellise tegevuse kohta koostatakse akt, kus märgitakse: kuupäev, milliseid andmeid hävitati, kes viis vastava protseduuri läbi ning millist tarkvara kasutati.
§ 17. Sanktsioonid
(1) Eeskirja mittetundmine ei vabasta rikkumistega kaasnevast vastutusest.
(2) Eeskirja rikkumise kahtluse korral võib infosüsteemi hooldaja peatada kasutusõiguse kuni asjaolude väljaselgitamiseni.
(3) Eeskirja rikkumises kahtlustataval on õigus esitada omapoolne selgitus.
(4) Eeskirja rikkumist käsitletakse kui vallavalitsuse huvide otsest ja sihilikku kahjustamist.
(5) Eeskirja rikkumisel on vallavalitsuse juhtkonnal õigus rikkujat karistada distsiplinaarkorras.
(6) Eeskirja korduva või tahtliku rikkumise puhul võib vallavanem arvutispetsialisti ettepanekul kitsendada kasutaja õigusi, vallavalitsuse huvisid silmas pidades, vastavalt oma äranägemisele.
(7) Kasutajatelt, kes antud eeskirja rikkumisega kahjustavad vallavalitsuse vara või tekitavad lisakulutusi (teenindajate lisatöö aeg, väljakutsed väljaspool põhitöö aega vms.) võib vallavalitsus nõuda tekitatud kahju hüvitamist. Kahju hüvitamise nõudega mittenõustumisel toimub kahju hüvituse sissenõudmine seadusega ettenähtud korras.
§ 18. Rakendussätted
Määrus jõustub 1. jaanuarist 2011.a.
Mart Järvik
Vallavanem
Sigrid Algre
Vallasekretär
Facebook
Twitter