Linna ja valla valitsemineAndmekogud ja infoturve

Linna ja valla valitsemineLinna- ja vallavalitsus, ametiasutus ja nende töökorraldus

Teksti suurus:

Antsla Vallavalitsuse infosüsteemi kasutamise kord

Väljaandja:Antsla Vallavalitsus
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:29.11.2019
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT IV, 26.11.2019, 8

Antsla Vallavalitsuse infosüsteemi kasutamise kord

Vastu võetud 15.11.2019 nr 4

Määrus kehtestatakse Vabariigi Valitsuse 20.12.2007. a määruse nr 252 „Infosüsteemide turvameetmete süsteem” § 2 alusel.

§ 1.   Eesmärk

  Infosüsteemide kasutamise korra eesmärk on määratleda Antsla Vallavalitsuse (edaspidi: ametiasutuse) arvutivõrgu, andmekogude ja infosüsteemide turvalise kasutamise nõuded, sh kasutusõiguste andmise, muutmise ja ära võtmise reeglid ning seeläbi kaitsta ametiasutuse infosüsteemi ja selles töödeldavaid andmeid.

§ 2.   Vastutus

  Infosüsteemi kasutamise korra täitmise eest vastutavad kõik infosüsteemi kasutajad.

§ 3.   Mõisted

  Mõisted:
  1) domeeni kasutajatunnus - kasutajatunnus, millega kasutaja logib infosüsteemi. Sellega kaasneb võimalus kasutada serveris isiklikku kataloogi, struktuurüksuse kataloogi ja avalikus kataloogi olevat informatsiooni;
  2) infosüsteem – arvutid (töökohaarvutid, serverid) ja arvutivõrk (kaabeldus, lülitid, ruuterid, wifi seadmed, tulemüür), tarkvara, rakendused ja pilvepõhised andmebaasid;
  3) kasutaja - isik, kellele on väljastatud ametiasutuse infosüsteemi kasutajatunnus;
  4) külaline - ametiasutuses mittetöötav, kuid põhjendatud kasutajatunnuse omamise vajadusega isik;
  5) lepingupartner – ametiasutusega lepingulistes suhetes (v.a. töösuhe) olevate füüsilise ja juriidilise isiku esindaja;
  6) teenindaja - IT-spetsialist, rakenduste peakasutajad, arendajad;
  7) mobiilsideseade – mobiiltelefon, tahvelarvuti;
  8) IKT - info- ja kommunikatsioonitehnoloogia.

§ 4.   Tegevuskirjeldus

  (1) Ametiasutuse infosüsteemi kasutamisel tuleb juhinduda seadustest, muudest õigusaktidest, valla põhimäärusest, käesolevast korrast ja teistest kordadest ja juhistest, mis seonduvad infosüsteemi kasutamisega ning järgmistest üldpõhimõtetest:
  1) tuleb tagada tundlike andmete kaitse;
  2) tuleb austada privaatsust.

  (2) Ametiasutuse infosüsteemi kasutamist reguleerib täiendavalt Antsla Vallavalitsuse infoturbepoliitika.

  (3) Ametiasutuse infosüsteemi vahendusel kogutud andmed (sh e-kirjad) ja loodud rakendused on Antsla valla omand.

  (4) Tööjaamades toimub järelevalve ja seire üks kord poole aasta jooksul IT-spetsialisti poolt.

§ 5.   Infosüsteemi kasutusõigus

  (1) Ametiasutuse arvutivõrku lülitatud arvutite kasutusõigus antakse ametiasutuse ametnikule ja töötajatele (edaspidi: teenistujad) või ametiautuse lepingupartnerile lepinguliste tööülesannete täitmiseks.

  (2) Kasutusõiguse saaja kinnitab allkirjaga, et ta on tutvunud „Infosüsteemi kasutamise korraga” ja kohustub järgima neis kehtestatud nõudeid. Kasutajatunnus on personaalne ja seda pole lubatud ühelt isikult teisele edasi anda.

§ 6.   Juurdepääsu kehtimine

  (1) Ametiasutuse teenistuja kasutajatunnus kehtib kuni teenistus- või töösuhte lõppemiseni. Personalitööga tegelev teenistuja teavitab teenistus- või töösuhte lõppemisest samal tööpäeval IT-spetsialisti.

  (2) Ametiasutuse lepingupartneri kasutajatunnus on tähtajaline. Tähtaja maksimaalne pikkus on 6 (kuus) kuud.

  (3) Kasutaja pikemal kui kolm kuud tööst eemalviibimise korral (puhkus, haigestumine, vms) domeeni kasutajatunnused suletakse.

  (4) Kasutajatunnuse sulgemisega kaasneb e-kirjade postkasti sulgemine. Kirjad suunatakse teisele teenistujale juhi ettepaneku alusel. Postkast arhiveeritakse ning säilitatakse 6 kuud.

§ 7.   Nõuded kasutajatunnusele ja salasõnale

  (1) Kasutajatunnus koosneb kasutajanimest ja salasõnast. Kasutajanimi koosneb kasutaja eesnimest juhul kui selline kasutajanimi juba eksisteerib, lisatakse järgmine perekonnanime täht või ees- ja perekonnanime kombinatsioonist.

  (2) Salasõna pikkus on vähemalt 7 (seitse) sümbolit ning peab sisaldama vähemalt ühte suurtähte, ühte väiketähte ja ühte numbrit.

  (3) Salasõna vahetatakse vähemalt iga 180 päeva järel. Kui nõuet ei täideta, siis kasutajatunnus peatatakse.

  (4) Enne uue salasõna aktiveermist tuleb kasutada endist parooli.

  (5) Keelatud on kahe viimase salasõna taaskasutamine.

  (6) Salasõnad ei tohi olla ühised ega kättesaadavad või teada teistele isikutele. Vältida tuleb kergesti ära arvatavaid salasõnu. Salasõna sisestamisel jälgida, et kõrvalised isikud ei näe sisestavat salasõna.

§ 8.   Teenindajate kohustused ja õigused

  (1) Teenindajad tagavad infosüsteemi toimimise ja teenuste kättesaadavuse oma tööülesannete ulatuses.

  (2) Teenindajale tehakse kättesaadavaks infosüsteemi alamsüsteemide kasutamise juhendid.

  (3) Teenindajad on kohustatud andma muudatustega seotud kasutajate grupile eel- ja järelteavet neid puudutavatest olulistest muudatustest infosüsteemis e-kirja teel.

  (4) Teenindajad on kohustatud jälgima oma hoolduses olevate süsteemide töökorras olekut ja turvalisust.

  (5) Teenindaja on kohustatud teavitama turvaintsidentidest (näiteks: viimati on kasutaja arvutisse loginud isik, kellel ei ole selleks volitusi, e-postkasti saabub suur hulk kirju tundmatutelt kirjasaatjatelt jms) juhtkonda.

  (6) Kooskõlastades oma tegevused kasutajaga on teenindajal õigus administreerida tööjaama, sh muuta tehnilisi parameetreid ja õigusi, installeerida tarkvara.

  (7) Teenindajal on õigus ette teatamata sulgeda tulemüüris need veebileheküljed, mille kasutamine töötajate poolt kahjustab infosüsteemi (näiteks: veebilehekülje kasutamisega kaasneb viiruspuhang või lubamatute rakenduste/failide allalaadimine jms).

§ 9.   Kasutajate õigused

  (1) Kasutajatunnuse saanud isikul on õigus kasutada infosüsteemi igal ajal, kui see ei ole vastuolus muude kehtivate reeglitega.

  (2) Kasutajal on õigus saada teenindajatelt infot kõigist muudatustest ja sündmustest infosüsteemis, mis oluliselt mõjutavad selle kasutamist.

  (3) Kasutajatel on õigus teha teenindajatele ettepanekuid infosüsteemi töö ja teenuste parema korraldamise kohta.

  (4) Kasutajal on õigus saada infosüsteemi kasutamiseks vajalikku täiendkoolitust.

§ 10.   Kasutajate kohustused

  Kasutaja on kohustatud:
  1) hoidma saladuses kasutusõigusi tagavaid salasõnu;
  2) mitte lubama teistel isikutel kasutada oma kasutajatunnust;
  3) tagama, et kõrvalised isikut ei saaks ligipääsu tema kataloogidesse ja failidesse;
  4) viivitamatult informeerima avastatud turvaintsidentidest;
  5) arvuti juurest lahkumisel lukustama ekraani. Automaatselt lukustub ekraan 5 minuti jooksul.

§ 11.   Piirangud kasutajatele

  Keelatud on:
  1) kasutada teistele isikutele omistatud kasutajatunnuseid;
  2) keelatud on arvutivõrku ühendatud arvutites hoida ja ametiasutuse infosüsteemis levitada illegaalselt omandatud või ametiasutuse eesmärgi ja põhimõtetega vastuolus olevat tarkvara;
  3) selline tegevus ametiautuse infosüsteemi kasutamisel, mis häirib süsteemide kasutamist nende haldaja poolt määratud otstarbel või põhjustab häireid arvutivõrgus;
  4) arvutivõrkude ja operatsioonisüsteemide turvaaukude kasutamine täiendavate juurdepääsuõiguste ja privileegide saamiseks;
  5) arvutite, sh arvutikomponentide ja muude seadmete ühendamine arvutivõrku ning arvutivõrgust lahtiühendamine ning arvuti süsteemsete parameetrite muutmine. Need tegevused tuleb kooskõlastada IT-spetsialistiga;
  6) omavoliline tarkvara installeerimine.

§ 12.   Riist- ja tarkvara kasutuselevõtt

  (1) Ametiasutuse infosüsteemi ühendatakse arvuti, mille riistvara konfiguratsiooni miinimum tagab kohustusliku tarkvara installeerumise ja toimimise. Kasutatavast tarkvarast tulenevad optimaalsed nõuded töökohaarvutile.

  (2) Kõigi ametiasutuse infosüsteemi ühendatud arvutite üle peetakse arvestust IT-spetsialisti poolt peetavas loendis või kasutades vastavat tarkvara.

  (3) Arvuteid ja teisi IKT-seadmeid ühendab ja tarkvara installeerib ametiasutuse arvutivõrku ainult IT-spetsialist.

§ 13.   Sülearvutite kasutamine

  (1) Sülearvutite kasutamise reeglid on selleks, et kaitsta ametiasutuse arvutivõrgu ühtseid ressursse ja nende abil töödeldavaid andmeid.

  (2) Sülearvuti kasutaja ehk isik, kelle kasutusse asutus sülearvuti on antud (edaspidi kasutaja) peab täitma kõiki asutuse infotehnoloogia kordasid sülearvuti kasutamisel asutuse arvutivõrgus, kui ka väljaspool asutuse arvutivõrku.

  (3) Kasutaja peab arvestama, et sülearvuti mobiilsus ja võimalus sülearvutit kasutada väljaspool asutuse turvatud arvutivõrku teeb sülearvutist kõrgendatud ohu allika ning paneb kasutajale lisavastutuse.

  (4) Konfidentsiaalseid andmeid sisaldav või töötlev sülearvuti peab olema lisaks kasutaja paroolile kaitstud haldaja poolt seatud BIOSi parooliga ja võimalusel (tehnoloogia toetab) kõvaketas või selle osa krüpteeritud.

  (5) Sülearvutite kasutamisega on kohustatud tutvuma kõik asutuse teenistujad, ametisse valitud isikud ja volikogu liikmed, kes omavad asutuse sülearvutit.

§ 14.   Sülearvuti kasutamiseks andmine ja tagastamine

  (1) Sülearvuti saamisel tuleb sülearvuti taotlejal kirjalikult kinnitada, et ta on tutvunud asutuse infotehnoloogia kordadega.

  (2) Üldjuhul kasutab sülearvutit üks kasutaja. Kasutajal on keelatud sülearvutit edasi anda kasutamiseks kolmandale isikule.

  (3) Põhjendatud juhtudel väljastatakse sülearvuti asutuse struktuuriüksusele ehk kasutajaid on rohkem kui üks. Sellisel juhul kehtivad järgmised reeglid:
  1) ühiskasutuses oleva sülearvuti puhul määratakse väljastamise hetkel sülearvuti kasutamise eest üks vastutav isik (edaspidi vastutaja);
  2) vastutaja on kohustatud arvestust pidama kogu oma vastutusaja jooksul, kes on sülearvuti millisel ajahetkel vastutaja käest oma kasutusse võtnud;
  3) kui vastutaja annab sülearvuti teisele kasutajale siirdub vastutus sülearvuti eest vastutajalt kasutajale ja tagastamisel jälle kasutajalt vastutajale;
  4) vastutaja peab veenduma, et kõik kasutajad, kellele vastutaja sülearvuti kasutada annab, on tutvunud asutuse infotehnoloogia kordadega;
  5) igal kasutajal peab olema ühiskasutuses olevasse arvutisse sisenemiseks personaalne kasutajakonto, mis peab olema enne sülearvuti kasutusse andmist nõuetekohaselt seadistatud IT-spetsialisti poolt;
  6) juhul, kui sülearvuti on ühiskasutuses ja vastutaja ei suuda tõestada, kelle kasutuses sülearvuti süülise kahju tekkimise hetkel oli, nõutakse kahjuhüvitist sülearvuti eest vastutajalt.

  (4) Sülearvuti antakse kasutajale kasutusse akti alusel tema töökohustuste täitmiseks, kuid mitte kauemaks kui teenistus- või tööülesannete täitmine seda nõuab või lõpeb teenistus- või töösuhe asutuses.

  (5) Enne sülearvuti asutusele tagastamist peab kasutaja tegema kõikidest vajalikest andmetest, mis on salvestatud sülearvuti kõvakettale, tagavarakoopiad andmete hoidmiseks ettenähtud võrgukattele või paluma selleks abi IT-spetsialistilt.

  (6) Isikliku sülearvuti asutuse arvutivõrgus kasutamine pole lubatud. Isiklikku sülearvutit saab kasutada külalise staatuses.

§ 15.   Sülearvuti kasutamine ja hoidmine

  (1) Sülearvuti esmase seadistuse teostab asutuse IT-spetsialist.

  (2) Vältimaks sülearvuti varastamist, kaotamist või riknemist peab kasutaja:
  1) hoidma sülearvutit avalikes kohtades alati isikliku järelevalve all;
  2) mitte jätma sülearvutit valveta kohtadesse, kus on oht selle varastamiseks (auto salong, lahtise akna alla, avalikku kohta järelevalveta jne);
  3) pärast sülearvuti viibimist temperatuuril alla 0 C laskma sülearvutil enne käivitamist seista toatemperatuuril, tagamaks, et sülearvuti temperatuur enne kasutamist tõuseks toatemperatuuriga samale tasemele;
  4) mitte jätma sülearvutit magnetvälja (näiteks varjestamata kõlarite lähedusse), otsese päikesekiirguse või kõrge temperatuuri kätte, samuti tolmusesse või niiskesse keskkonda;
  5) transportima sülearvutit vaid selleks ettenähtud kotis;
  6) reisimisel kandma sülearvutit käsipagasina ning võimaluse korral laskma sülearvutile (koos kotiga) teha röntgeni asemel käsitsi läbivaatus;
  7) võimaluse korral hoidma sülearvuti eemal metallidetektorist;
  8) sülearvuti vargusest, kaotamisest või hävimisest viivitamatult teavitama ametiasutust ja ametiasutuse IT-spetsialisti. Sülearvuti varguse korral on kasutaja kohustatud koheselt teavitama ka politseid.

  (3) Tagamaks sülearvutis olevate andmete turvalisust ja piiramaks viiruste levikut peab kasutaja:
  1) konfidentsiaalse info töötlemisel veenduma, et arvuti on paigutatud nii, et kuvaril toimuv ei ole kolmandatele isikutele nähtav;
  2) arvestama, et väljaspool asutuse sisevõrku (eriti avalikes WIFI võrkudes) võidakse krüpteerimata ühendusi pealt kuulata;
  3) sisestama paroolid nii, et kõrvalised isikud ei näeks, milline parool sisestati;
  4) sülearvuti juurest lahkumisel sulgema sülearvuti ja eemaldama kiipkaardi (ID-kaardi), kui seda kasutati;
  5) juhtmeta ühenduste (WIFI, sinihammas) kasutamisel vältima nende tarbetut aktiveerimist ning konfidentsiaalsete andmete puhul eelistama kaabelühendust;
  6) lülitama asutuse arvutivõrgus läbi võrgukaabli olemise ajal välja kõik sülearvuti juhtmeta (WIFI, sinihammas) ühendused (sülearvutil on selleks tavaliselt spetsiaalne nupp);
  7) kahtluse või teadmise korral, et sülearvuti tulemüür ja/või viirusetõrjetarkvara ei ole töökorras või on välja lülitatud, mitte ühendama sülearvutit avalikku arvutivõrku, vaid andma sülearvuti võimalikult kiiresti asutuse IT-spetsialistile ülevaatamiseks;
  8) kahtluse või teadmise korral, et sülearvutis on viirus, mitte ühendama sülearvutit asutus ega avalikku arvutivõrku, vaid teatama juhtunust asutuse IT-spetsialisti, kes organiseerib arvuti ülevaatamise.

  (4) Kasutaja peab arvestama, et sülearvuti kõvaketta riknemisel hävivad kõik sülearvutis olevad varundamata andmed. Juhul kui, kasutatakse arvutid kaugtöökohana, ehk arvuti ühendatakse asutuse sisevõrku läbi turvatud kanali (VPN), pole ohtu andmeid kaotada.

  (5) Selleks, et tagada andmete säilimine peab kasutaja:
  1) töötades ametiasutuse arvutivõrgus hoidma andmeid selleks määratud võrgukettal;
  2) ühendades sülearvuti asutuse arvutivõrku, tegema koheselt kõvakettal olevatest tööks vajalikest andmetest varukoopia selleks määratud võrgukettale;
  3) töötades pikemaajaliselt asutuse arvutivõrgu ühenduseta, tegema olulistest failidest koopia eemaldatavale andmekandjale. Tagavarakoopia salvestamisel eemaldatavale andmekandjale peab viimast kaitsma varguse, hävimise ja kaotamise eest.

  (6) Toiteallika tühjenemisega kaasnevate negatiivsete tagajärgede vältimiseks peab kasutaja:
  1) toite hoiatussignaali või märguande korral salvestama poolelioleva töö;
  2) pikemaajalise väljaspool asutuse ruume töötamise eel laadima aku ning võtma kaasa akulaadija. Tuleb arvestada, et sõltuvalt aku mahust jätkub sülearvutile toidet ainult teatud perioodiks;
  3) ametiasutuse IT-spetsialisti nõudmisel esitama sülearvuti IT-spetsialisti kätte korraliseks hoolduseks.

§ 16.   Mobiilsideseadmetega ametiasutuse arvutivõrgu teenuste kasutamine

  (1) Mobiilsidevahendiga saab ametiasutuse arvutivõrgu teenustest kasutada vaid wifi võrgus, mis võimaldab kasutada ainult interneti ja pilveteenuseid (e-mail, kalender), kuid ei pääse ametiasutuse sisevõrku.

  (2) Mobiilsidevahendi kasutamine ametiasutuse arvutivõrgu teenustele juurdepääsuks toimub kasutaja vastutusel ja mobiilseadme kaudu andmete või paroolide lekkimise eest vastutab seadme omanik.

  (3) Nutitelefonidel on kohustuslik kasutada viirusetõrje tarkvara. Kasutajal tuleb tutvuda telefoni teenuse pakkuja turvajuhistega ning juhistega, kuidas käituda telefoni kaotamise korral.

  (4) Mobiilsideseadme kasutamisel dokumentide salvestamiseks või transportimiseks loetakse mobiilsideseadet ühtlasi eemaldatavaks andmekandjaks ja sellele kehtivad samad reeglid, mis on kehtestatud eemaldatavatele seadmetele.

  (5) Üldjuhul on lubatud mobiilsideseadmega teenustest juurdepääs vaid kalendrile, elektronpostile ja internetile. Kui tekib vajadus mobiilsidevahenditega muudele teenustele juurdepääsuks, tuleb selleks taotleda eraldi luba.

  (6) Kui mobiilsideseadmes hoitakse kasutaja elektronposti ja kalendri sisu ning avatud mobiilsideseadmega on võimalik reaalajas, ilma parooli küsimata juurdepääs kasutaja elektronposti kontole ja uutele elektronkirjadele, tuleb mobiiltelefonile rakendada automaatselt järgmised piirangud:
  1) telefon lukustub automaatselt, kui seda pole 1 minutit kasutatud;
  2) iga telefoni ekraani lahtilukustamise korral küsitakse kasutajalt lukukoodi;
  3) kasutaja kohustub mitte avaldama oma lukukoodi kolmandatele isikutele ning uuendama oma telefoni tarkvara regulaarselt;
  4) mobiilseadet tuleb hoida isikliku järelevalve all või hästi turvatud keskkonnas ning seda ei tohi anda kasutamiseks kolmandatele isikutele.

§ 17.   Eemaldatavad andmekandjad ja andmevahetus

  (1) Piiratud juurdepääsuga andmete edastamiseks tuleb võimaluse korral kasutada krüpteeritud formaate (ddoc, asice), krüpteeritud konteinereid või kogu andmekandja krüpteerimist.

  (2) Füüsiliste andmekandjate (CD plaat, mälupulk, mälukaart jms) kaudu toimuva andmevahetuse korral tuleb täita järgmisi nõudeid:
  1) piiratud juurdepääsuga andmete edastamisel tuleb kasutada sobivaid krüpteerimismeetmeid;
  2) andmete tervikluse kaitseks tuleb vajaduse korral kasutada digitaalallkirjastamist või kontrollkoode;
  3) andmekandjate transportimisel peab rakendama abinõusid nende kahjustumise või volitamata isikute kätte sattumise vältimiseks;
  4) tarbetud failid tuleb andmekandjalt enne saatmist kustutada.

§ 18.   Varundamine

  (1) Originaalandmete hävimise või riknemise vältimiseks tehakse andmetest varukoopiad.

  (2) Varundamise protsessi juhib IT-spetsialist ja lähtub varundamise ja taastamise korrast.

  (3) Andmekogude volitatud töötlejate juures majutatud andmekogude varundamise ja koopiate säilitamise kord lepitakse kokku vastavate teenuslepingutega.

§ 19.   Elektronposti kasutamise reeglid

  (1) Ametiasutuse elektronposti aadress on antud töötajale ametialaseks kasutamiseks. Elektronposti vähesel määral isiklikuks otstarbeks kasutamine on aktsepteeritav, kuid töötajal ei tohi olla mingeid ootusi ametiasutuse elektronposti privaatsusele. Vajadusel on töötaja kohustatud tagama ligipääsu kõigile saadetud, salvestatud ning vastuvõetud kirjadele.

  (2) Elektronposti kasutades tuleb jälgida, et tundliku informatsiooni vahetus üle avaliku võrgu toimub krüpteeritult.

  (3) Kirja koostades tuleb jälgida, et kirja teema väli oleks alati täidetud.

  (4) Elektronposti aadressi muutuse või kustutamise korral tuleb tagada, et üleminekuperioodi jooksul vanale aadressile saadetud kirjad oleksid kättesaadavad.

  (5) Elektronpostiga tundmatutest või kahtlastest allikatest saadetud faile ei tohi avada ega salvestada. Ka esmapilgul tuntud allikatest pärit elektronkirjade puhul tuleks kontrollida, kas kirja sisu vastab oodatule, ning kas manusena lisatud fail on üldse vajalik ning haakub kirja kontekstiga.

  (6) Ei tohi avada elektronpostiga saadud käivitatavaid faile (.COM,.EXE,.VBS,.BAT,.MSI).

  (7) Tuleb vältida mittevajaliku e-kirjade edastamist, näiteks naljad jms, kuna nende manused võivad sisaldada viiruseid.

  (8) Juhul, kui e-kiri saadetakse mitmele adressaadile korraga, tuleb tagada, et kirja saajatele ei oleks teiste adressaatide andmed nähtavad. Üheks võimaluseks on saata kiri enda elektronposti aadressile ja kirjutada kõik teised aadressid pimekoopia väljale. Teiseks võimaluseks on jaotusnimekirjade kasutamine (listid).

§ 20.   Viirusetõrje ja pahavara

  (1) Viiruse avastamise või selle kahtluse korral tuleb sulgeda kõik töötavad programmid ning teavitada koheselt IT-spetsialisti.

  (2) Saadud andmekandjad tuleb enne kasutuselevõttu lasta IT-spetsialistil kontrollida.

  (3) Kahtlastest allikatest failide alla laadimine on keelatud. Faile tohib alla laadida vaid usaldusväärsetest serveritest, lehekülgedelt, pilvest. Kahtluse korral paluda abi IT-spetsialistilt.

  (4) Kahtluse korral, et saabunud e-kirja puhul võib tegemist olla pettuse, õngitsemise või rünnakuga, tuleb konsulteerida IT-spetsialistiga.

§ 21.   Turvaintsidentidest teavitamine

  (1) Turvaintsidentideks loetakse muuhulgas järgmisi sündmusi:
  1) teenuse katkemine või mõne seadme rike;
  2) süsteemi tõrked või ülekoormus;
  3) inimlikud vead;
  4) mittevastavus infoturbepoliitikale või juhenditele;
  5) füüsiliste turvameetmete rikkumine;
  6) mittekontrollitud muudatused süsteemides;
  7) tarkvara või riistvara tõrked;
  8) ligipääsu rikkumised.

  (2) Ametiasutuse teenistujad peavad viivitamatult teavitama infoturbeintsidendist või selle kahtlusest IT-spetsialisti.

  (3) Intsident või selle oht tuleb kirjeldada võimalikult täpselt.

  (4) IT-spetsialist määrab turvaintsidendile lahendamise prioriteedi (kõrge, keskmine, madal) ning koordineerib selle lahendamist. Kõrge riski korral teavitatakse intsidendist koheselt CERT-EE-d (Riigi Infosüsteemi Ameti infoturbeintsidentide käsitlemise osakond) vastavalt ISKE rakendusjuhendis sätestatud nõuetele. Pärast turvaintsidendi lahendamist kirjutab juhtumi lahendaja raporti ja edastab selle vallavanemale.

  (5) Kui intsident suunatakse lahendamiseks IT lepingupartnerile, võib viimane intsidendi lahendamise prioriteeti muuta.

  (6) Kõrge riskiga intsidentide puhul informeerib IT-spetsialist vajadusel koostööpartnereid ning

  (7) Intsident loetakse lõpetatuks, kui on kasutusele võetud asjakohased meetmed kahjude ärahoidmiseks, koostatud raport, hinnatud kahjud ning vajadusel teavitatud CERT-EE-d ning rakendatud infotehnoloogilised meetmed ja koolitatud personali.

§ 22.   Väärkasutuse tagajärjed

  (1) Kui on tekkinud kahtlus, et infosüsteemi kasutamise korda on rikutud, peatatakse kasutajatunnus kuni kasutaja on selgitanud asjaolusid.

  (2) Kui osutub, et rikkumine toimus infosüsteemi mitteküllaldase tundmise tõttu, siis annab teenindaja juhtnööre edasise tegevuse jätkamiseks.

  (3) Tahtlikul või korduval reeglite rikkumisel peatatakse infosüsteemi kasutuse õigus tähtajatult.

  (4) Kasutajad, kes infosüsteemi kasutamise reeglite rikkumisega kahjustavad valla vara või tekitavad lisakulutusi (teenindaja lisatööaeg, väljakutsed väljaspool põhitöö aega jmt.), hüvitavad tekitatud kahju vastavalt kokkuleppele. Kokkuleppe mittesaavutamisel toimub hüvituse sissenõudmine seadusega ettenähtud korras.

§ 23.   Määruse jõustumine

  Määrus jõustub kolmanda päeval pärast Riigi Teatajas avaldamist.

Avo Kirsbaum
vallavanem

Kersti Käis
vallasekretär

/otsingu_soovitused.json