Raasiku vallavalitsuse infosüsteemi kasutamise kord

Määrus kehtestatakse Vabariigi Valitsuse 20.12.2007. a määruse nr 252 „Infosüsteemide turvameetmete süsteem § 2 alusel.

§ 1. Eesmärk

(1) Infosüsteemide kasutamise korra eesmärk on määratleda Raasiku vallavalitsuse (edaspidi: vallavalitsus) arvutivõrgu, andmekogude ja infosüsteemide turvalise kasutamise nõuded, sh kasutusõiguste andmise, muutmise ja ära võtmise reeglid ning seeläbi kaitsta vallavalitsuse infosüsteemi ja selles töödeldavaid andmeid.

§ 2. Vastutus

(1) Infosüsteemi kasutamise korra täitmise eest vastutavad kõik infosüsteemi kasutajad.

§ 3. Mõisted

(1) 1) domeeni kasutajatunnus - kasutajatunnus, millega kasutaja logib infosüsteemi. Sellega kaasneb võimalus kasutada serveris isiklikku kataloogi, struktuurüksuse kataloogi ja avalikus kataloogi olevat informatsiooni;

2) infosüsteem - arvutid ja arvutivõrk (edaspidi arvutivõrk), tarkvara, rakendused;

3) kasutaja - isik, kellele on väljastatud vallavalitsuse infosüsteemi kasutajatunnus;

4) külaline - vallavalitsuses mittetöötav, kuid põhjendatud kasutajatunnuse omamise vajadusega isik;

5) lepingupartner - vallavalitsusega lepingulistes suhetes (v.a. töösuhe) olevate füüsilise ja juriidilise isiku esindaja;

6) teenindajad - IT koordinaator, rakenduste peakasutajad, arendajad.

§ 4. Tegevuskirjeldus

(1) Raasiku vallavalitsuse infosüsteemi kasutamisel tuleb juhinduda seadustest, muudest õigusaktidest, valla põhimäärusest, käesolevast korrast ja järgmistest üldpõhimõtetest:

1) tuleb tagada tundlike andmete kaitse;

2) kaaskasutajatele ei tohi tekitada asjatut tüli;

3) tuleb austada privaatsust.

(2) Vallavalitsuse infosüsteemi vahendusel kogutud andmed, sh e-kirjad ja loodud spetsiaalrakendused on vallavalitsuse omand.

(3) Tööjaamades toimub järelevalve ja seire kord kvartalis infotöötlusspetsialisti poolt.

§ 5. Infosüsteemi kasutusõigus

(1) Vallavalitsuse arvutivõrgu kasutusõiguse saamine:

1) vallavalitsuse arvutivõrku lülitatud arvutite kasutusõigus antakse kirjaliku taotluse alusel vallavalitsuse töötajale või vallavalitsuse lepingupartnerile lepinguliste tööülesannete täitmiseks. Taotluse kinnitab vallavanem;

2) kasutajatunnuse saaja kinnitab allkirjaga, et ta on tutvunud „Infosüsteemi kasutamise korraga” ja kohustub järgima neis kehtestatud nõudeid;

3) kasutajatunnus on personaalne ja seda pole lubatud ühelt isikult teisele edasi anda.

§ 6. Juurdepääsu kehtimine

(1) Vallavalitsuse töötaja kasutajatunnus kehtib kuni töölepingu lõppemiseni. Vallasekretär teavitab töölepingu lõppemisest samal tööpäeval infotöötlusspetsialisti.

(2) Vallavalitsuse lepingupartneri kasutajatunnus on tähtajaline. Tähtaja maksimaalne pikkus on 6 (kuus) kuud.

(3) Kasutaja pikemal kui kolm kuud tööst eemalviibimise korral (puhkus, haigestumine, vms) domeeni kasutajatunnused suletakse.

(4) Kasutajatunnuse sulgemisega kaasneb e-kirjade postkasti sulgemine. Kirjad suunatakse teisele töötajale juhi ettepaneku alusel. Postkasti arhiveeritakse ning säilitatakse 6 kuud.

§ 7. Nõuded kasutajatunnusele ja salasõnale

(1) Kasutajatunnus koosneb kasutajanimest ja salasõnast. Kasutajanimi koosneb kasutaja eesnimest (juhul kui selline kasutajanimi juba eksisteerib, lisatakse järgmine perekonnanime täht) või ees- ja perekonnanime kombinatsioonist.

(2) Salasõna pikkus on vähemalt 12 (kaksteist) sümbolit ning peab sisaldama vähemalt ühte suurtähte, ühte väiketähte ja ühte numbrit.

(3) Salasõna vahetatakse vähemalt iga 180 päeva järel. Kui nõuet ei täideta, siis kasutajatunnus peatatakse.

(4) Enne uue salasõna aktiveermist tuleb kasutada endist parooli.

(5) Keelatud on nelja viimase salasõna taaskasutamine.

(6) Salasõnad ei tohi olla ühised ega kättesaadavad või teada teistele isikutele, sealhulgas infosüsteemi administraatoritele. Vältida tuleb kergesti ära arvatavaid salasõnu.

(7) Keelatud on salasõnade üleskirjutamine ning nende esitus sisestamisel, aruannetes või muudel kandjatel.

§ 8. Teenindajate kohustused ja õigused

(1) Teenindajad tagavad infosüsteemi toimimise ja teenuste kättesaadavuse oma tööülesannete ulatuses.

(2) Teenindajale tehakse kättesaadavaks infosüsteemi alamsüsteemide kasutamise juhendid.

(3) Teenindajad on kohustatud andma muudatustega seotud kasutajate grupile eel- ja järelteavet neid puudutavatest olulistest muudatustest infosüsteemis e-kirja teel.

(4) Teenindajad on kohustatud jälgima oma hoolduses olevate süsteemide töökorras olekut ja turvalisust.

(5) Teenindaja on kohustatud teavitama turvaintsidentidest (näiteks: viimati on kasutaja arvutisse loginud isik, kellel ei ole selleks volitusi, e-postkasti saabub suur hulk kirju tundmatutelt kirjasaatjatelt jms) juhtkonda.

(6) Kooskõlastades oma tegevused kasutajaga on teenindajal õigus administreerida tööjaama, sh muuta tehnilisi parameetreid ja õigusi, installeerida tarkvara.

(7) Teenindajal on õigus ette teatamata sulgeda tulemüüris need veebileheküljed, mille kasutamine töötajate poolt kahjustab infosüsteemi (näiteks: veebilehekülje kasutamisega kaasneb viiruspuhang või lubamatute rakenduste/failide allalaadimine jms).

§ 9. Kasutajate õigused

(1) Kasutajatunnuse saanud isikul on õigus kasutada infosüsteemi igal ajal, kui see ei ole vastuolus muude kehtivate reeglitega.

(2) Kasutajal on õigus saada teenindajatelt infot kõigist muudatustest ja sündmustest infosüsteemis, mis oluliselt mõjutavad selle kasutamist.

(3) Kasutajatel on õigus teha teenindajatele ettepanekuid infosüsteemi töö ja teenuste parema korraldamise kohta.

(4) Kasutajal on õigus saada infosüsteemi kasutamiseks vajalikku täiendkoolitust.

§ 10. Kasutajate kohustused

(1) Kasutaja on kohustatud:

1) hoidma saladuses kasutusõigusi tagavaid salasõnu;

2) mitte lubama teistel isikutel kasutada oma kasutajatunnust;

3) tagama, et kõrvalistel isikutel poleks võimalik kirjutada tema kataloogidesse ja failidesse;

4) viivitamatult informeerima avastatud turvaintsidentidest.

(2) Kasutajad on kohustatud arvuti juurest lahkumisel lukustama ekraani. Automaatselt lukustub ekraan 5 minuti jooksul.

§ 11. Piirangud kasutajatele

(1) Keelatud on kasutada teistele isikutele omistatud kasutajatunnuseid.

(2) Arvutivõrku ühendatud arvutites on keelatud hoida ja vallavalitsuse infosüsteemis levitada illegaalselt omandatud või vallavalitsuse eesmärgi ja põhimõtetega vastuolus olevat tarkvara.

(3) Keelatud on selline tegevus vallavalitsuse infosüsteemi kasutamisel, mis häirib süsteemide kasutamist nende haldaja poolt määratud otstarbel või põhjustab häireid arvutivõrgus.

(4) Keelatud on arvutivõrkude ja operatsioonisüsteemide turvaaukude kasutamine täiendavate juurdepääsuõiguste ja privileegide saamiseks.

(5) Arvutite, sh arvutikomponentide ja muude seadmete ühendamine arvutivõrku ning arvutivõrgust lahtiühendamine ning arvuti süsteemsete parameetrite muutmine tuleb kooskõlastada infotöötlusspetsialistiga.

(6) Keelatud on omavoliline tarkvara installeerimine.

§ 12. Riist- ja tarkvara kasutuselevõtt

(1) Vallavalitsuse infosüsteemi ühendatakse arvuti, mille riistvara konfiguratsiooni miinimum tagab kohustusliku tarkvara installeerumise ja toimimise. Kasutatavast tarkvarast tulenevad optimaalsed nõuded töökohaarvutile.

(2) Kõigi vallavalitsuse infosüsteemi ühendatud arvutite üle peetakse arvestust infotöötlusspetsialisti poolt peetavas loendis „Raasiku vallavalitsuse infovarad“.

(3) Arvuteid ühendab ja tarkvara installeerib vallavalitsuse arvutivõrku ainult infotöötlusspetsialist.

(4) Riistvara kasutajale üleandmise ja temalt vastuvõtmise kohta koostatakse akt, mille allkirjastavad üleandja ja vastuvõtja.

§ 13. Mobiilsed kasutajad

(1) Kaasaskantava arvuti kasutamisele kehtivad samad miinimumreeglid nagu statsionaarsetele arvutitele. Kõik reeglid kehtivad kaasaskantava arvuti kasutamisel ka vallavalitsuse ruumidest väljaspool.

(2) Mobiilsetele IT vahenditele, mida kasutatakse ka väljaspool vallavalitsuse infosüsteemi, kehtivad järgnevad lisareeglid:

1) kaasaskantavat arvutit on rangelt keelatud jätta üldkäidavates kohtades ilma järelevalveta (k.a. pargitud sõiduautodes);

2) kaasaskantaval arvutil ei tohi töödelda sensitiivseid andmeid avalikus kohas või kohtades, kus töödeldavaid andmeid võivad näha kõrvalised isikud;

3) kaasaskantava arvuti kasutusvõimalust on keelatud edasi anda isikutele, kellel puudub selleks vallavalitsuse poolt antud spetsiaalne kasutusõigus koos vastava kasutajakontoga (k.a. kasutaja pereliikmetele);

4) konfidentsiaalseid andmeid sisaldav või töötlev kaasaskantav arvuti peab olema lisaks kasutaja paroolile kaitstud haldaja poolt seatud BIOSi parooliga;

5) kaasaskantaval arvutil asuvate oluliste failide tagavarakoopiate olemasolu eest vallavalitsuse varundusserveris vastutab arvuti kasutaja. Infosüsteemi hooldaja vastutab ainult serveris olevate andmete turvakoopiate ja taastamise eest;

6) kaasaskantava arvuti ühendamisel Internetti või mistahes võrku väljaspool vallavalitsuse sisevõrku tuleb kasutada personaalset tulemüüri, mis on konfigureeritud vallavalituse infosüsteemi hooldaja poolt.

(3) Vastavalt vajadusele võib vallavalitsus kehtestada kaasaskantava arvuti kõvaketta või selle osa krüpteerimise nõude spetsiaalse tarkvara abil (kehtib pideva sensitiivsete andmete töötlemise puhul).

§ 14. Mobiilsideseadmetega vallavalitsuse arvutivõrgu teenuste kasutamine

(1) Mobiilsidevahendi kasutamine vallavalitsuse arvutivõrgu teenustele juurdepääsuks toimub kasutaja vastutusel ja mobiilseadme kaudu andmete või paroolide lekkimise eest vastutab seadme omanik.

(2) Nutitelefonide on kohustuslik kasutada viirusetõrje tarkvara. Kasutajal tuleb tutvuda telefoni teenuse pakkuja turvajuhistega ning juhistega, kuidas käituda telefoni kaotamise korral.

(3) Mobiilsideseadme kasutamisel dokumentide salvestamiseks või transportimiseks loetakse mobiilsideseadet ühtlasi eemaldatavaks andmekandjaks ja sellele kehtivad samad reeglid, mis on kehtestatud eemaldatavatele seadmetele.

(4) Üldjuhul on lubatud mobiilsideseadmega vallavalitsuse arvutivõrgu teenustest juurdepääs vaid kalendrile ja elektronpostile. Kui tekib vajadus mobiilsidevahenditega muudele teenustele juurdepääsuks, tuleb selleks taotleda eraldi luba.

(5) Kui mobiilsideseadmes hoitakse kasutaja elektronposti ja kalendri sisu ning avatud mobiilsideseadmega on võimalik reaalajas, ilma parooli küsimata juurdepääs kasutaja elektronposti kontole ja uutele elektronkirjadele, tuleb mobiiltelefonile rakendada automaatselt järgmised piirangud:

1) telefon lukustub automaatselt, kui seda pole 5 minutit kasutatud;

2) iga telefoni ekraani lahtilukustamise korral küsitakse kasutajalt lukukoodi;

3) kasutaja kohustub mitte avaldama oma lukukoodi kolmandatele isikutele ning uuendama oma telefoni tarkvara regulaarselt.

4) mobiilseadet tuleb hoida isikliku järelevalve all või hästi turvatud keskkonnas ning seda ei tohi anda kasutamiseks kolmandatele isikutele.

§ 15. Eemaldatavad andmekandjad ja andmevahetus

(1) Andmete edastamiseks tuleb võimaluse korral kasutada ohutumaid failiformaate (ASCII tekst, GIF, JPEG, RTF, PDF, DDOC) ja vältida formaate, millega võidakse tahtmatult edastada kahjulikku aktiivsisu või jääkinfot.

(2) Füüsiliste andmekandjate (CD plaat, mälupulk, mälukaart jms) kaudu toimuva andmevahetuse korral tuleb täita järgmisi nõudeid:

1) piiratud juurdepääsuga andmete edastamisel tuleb kasutada sobivaid krüpteerimismeetmeid;

2) andmete tervikluse kaitseks tuleb vajaduse korral kasutada digitaalallkirjastamist või kontrollkoode;

3) andmekandjate transportimisel peab rakendama abinõusid nende kahjustumise või volitamata isikute kätte sattumise vältimiseks;

4) tarbetud failid tuleb andmekandjalt enne saatmist kustutada.

§ 16. Varundamine

(1) Originaalandmete hävimise või riknemise vältimiseks tehakse andmetest varukoopiad.

(2) Varundamise protsessi juhib infotöötlusspetsialist.

(3) Töökohaarvutitest tehakse koopiaid Raasiku vallamajas asuvasse varundusserverisse vähemalt kord nädalas. Serverisse kopeeritud andmetest tehakse kord ööpäevas lisaks koopia füüsiliselt muus asukohas olevale, kuid sarnase turvalisuse astmega kohta. Iga kasutaja andmetest säilitatakse vähemalt 3 viimast täiskoopiat.

(4) Andmekogude volitatud töötlejate juures majutatud andmekogude varundamise ja koopiate säilitamise kord lepitakse kokku vastavate teenuslepingutega.

(5) Varukoopiate kasutuskõlblikkust ning täielikkust kontrollitakse regulaarselt, vähemalt kord kvartalis.

§ 17. E-posti kasutamise reeglid

(1) Vallavalitsuse elektronposti aadress on antud töötajale ametialaseks kasutamiseks. Elektronposti vähesel määral isiklikuks otstarbeks kasutamine on aktsepteeritav, kuid töötajal ei tohi olla mingeid ootusi vallavalitsuse elektronposti privaatsusele. Vajadusel on töötaja kohustatud tagama ligipääsu kõigile saadetud, salvestatud ning vastuvõetud kirjadele.

(2) Elektronposti kasutades tuleb jälgida, et tundlikku informatsiooni vahetus üle avaliku võrgu (suhtlus välispartneritega) peab toimuma krüpteeritult. Eelistatud krüpteerimisviisiks on Eesti Vabariigi ID-kaardi krüpteering.

(3) Kirja koostades tuleb jälgida, et kirja teema väli oleks alati täidetud.

(4) Juhul, kui kirjale on lisatud manusfail, tuleks kirjas mainida failitüüp (Excel, Word, vms.), faili sisu lühikirjeldus (näiteks tegevuskava, millegi joonis vms.), vajadusel ka krüpteerimisviis.

(5) E-posti aadressi muutuse või kustutamise korral tuleb tagada, et üleminekuperioodi jooksul vanale aadressile saadetud kirjad oleksid kättesaadavad.

(6) Elektronpostiga tundmatutest või kahtlastest allikatest saadetud faile ei tohi avada ega salvestada. Ka esmapilgul tuntud allikatest pärit elektronkirjade puhul tuleks kontrollida, kas kirja sisu vastab oodatule, ning kas manusena lisatud fail on üldse vajalik ning haakub kirja kontekstiga.

(7) Ei tohi avada e-postiga saadud käivitatavaid faile (.COM, .EXE, .VBS, .BAT).

(8) Tuleb vältida mittevajaliku elektronposti edastamist, näiteks naljad jms, kuna nende manused võivad sisaldada viiruseid.

(9) Juhul, kui e-kiri saadetakse mitmele adressaadile korraga, tuleb tagada, et kirja saajatele ei oleks teiste adressaatide andmed nähtavad. Üheks võimaluseks on saata kiri enda e-posti aadressile ja kirjutada kõik teised aadressid pimekoopia väljale. Teiseks võimaluseks on jaotusnimekirjade kasutamine.

§ 18. Viirusetõrje

(1) Viirusetõrjeks tuleb kasutada Raasiku vallavalitsuses heakskiidetud viirusetõrje programmi taustakontrolli režiimis.

(2) Viiruse avastamise või selle kahtluse korral tuleb sulgeda kõik töötavad programmid ning teavitada koheselt infotöötlusspetsialisti.

(3) Saadud andmekandjad tuleb enne kasutuselevõttu kontrollida viirusetõrjega.

(4) Operatsioonisüsteemi alglaadimise järjekord BIOS-is peab olema selline, et esmalt üritatakse sooritada alglaadimine kõvakettalt ning alles seejärel välistelt andmekandjatelt (CD, USB).

(5) Kahtlastest allikatest failide alla laadimine on keelatud. Faile tohib alla laadida vaid usaldusväärsetelt lehekülgedelt nagu näiteks tootjate kodulehed.

(6) Vältimaks võimalikku kontode kuritarvitamist, tuleb pärast viiruse eemaldamist muuta kõik nakatunud arvutis kasutatud paroolid.

§ 19. Turvaintsidentidest teavitamine

§ 20. Väärkasutuse tagajärjed

(1) Kui on tekkinud kahtlus, et infosüsteemi kasutamise korda on rikutud, peatatakse kasutajatunnus kuni kasutaja on selgitanud asjaolusid.

(2) Kui osutub, et rikkumine toimus infosüsteemi mitteküllaldase tundmise tõttu, siis annab teenindaja juhtnööre edasise tegevuse jätkamiseks.

(3) Tahtlikul või korduval reeglite rikkumisel peatatakes infosüsteemi kasutuse õigus tähtajatult.

(4) Kasutajad, kes infosüsteemi kasutamise reeglite rikkumisega kahjustavad Vallavalitsuse vara või tekitavad lisakulutusi (teenindajate lisatööaeg, väljakutsed väljaspool põhitöö aega jmt.), hüvitavad tekitatud kahju vallavalitsusele poolte kokkuleppel. Kokkuleppe mittesaavutamisel toimub hüvituse sissenõudmine seadusega ettenähtud korras.

§ 21. Määruste kehtetuks tunnistamine

(1) 1) - 4) [Käesolevast tekstist välja jäetud].

§ 22. Määruse jõustumine

(1) Määrus jõustub kolmanda päeval pärast Riigi Teatajas avaldamist.