PAKRUOJO RAJONO SAVIVALDYBĖS

ADMINISTRACIJOS DIREKTORIUS

 

ĮSAKYMAS

DĖL PAKRUOJO RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

 

2019 m. gegužės     d. Nr. AV-

Pakruojis

 

 

Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2, 7.3 ir 7.4 punktais,

t v i r t i n u Pakruojo rajono savivaldybės administracijos informacinių sistemų naudotojų administravimo taisykles (pridedama).

               Šis įsakymas gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

 

 

 

Administracijos direktorė                                                                                        Ilona Gelažnikienė

 

 

PATVIRTINTA

Pakruojo rajono savivaldybės

administracijos direktoriaus

2019 m. gegužės     d. įsakymu Nr. AV

 

PAKRUOJO RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

 

I SKYRIUS

 BENDROSIOS NUOSTATOS

 

1.    Pakruojo rajono savivaldybės administracijos informacinių sistemų naudotojų administravimo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti Pakruojo rajono savivaldybės (toliau – Savivaldybė) administracijos informacinių sistemų naudotojų administravimo tvarką, prieigos prie informacinių sistemų valdymą taip užtikrinant informacijos saugumą informacinėse sistemose.

2.    Taisyklės parengtos vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Pakruojo savivaldybės administracijos direktoriaus 2019 m. gegužės 20 d. įsakymu Nr. AV-308  patvirtintais Pakruojo savivaldybės administracijos informacinių sistemų duomenų saugos nuostatais.

3.    Šiose Taisyklėse vartojamos sąvokos:

Savivaldybės informacinės sistemos (toliau – Informacinės sistemos) – informacinių technologijų pagrindu veikiančios sistemos, užtikrinančios kompiuterizuotą Savivaldybės duomenų, dokumentų ir kitos informacijos kūrimą, tvarkymą ir saugojimą, tenkinančios kitus Savivaldybės administracijos informacinius poreikius. Informacines sistemas sudaro techninė įranga (tarnybinės stotys, darbo vietų kompiuteriai, duomenų saugyklos, kompiuterių tinklo ir elektroninio ryšio priemonės, duomenų apsaugos priemonės), programinė įranga (operacinės sistemos, pagalbinės programos, standartinė taikomoji programinė įranga ir specialioji taikomoji programinė įranga), kompiuterizuotai tvarkoma Savivaldybės veiklos informacija (elektroniniai dokumentai, įvairūs duomenys, duomenų bazės) ir kita informacija.

Informacinės sistemos saugos įgaliotinis (toliau – Saugos įgaliotinis) – Savivaldybės administracijos direktoriaus paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą Savivaldybės administracijos informacinėse sistemose.

Informacinių sistemų administratorius (toliau – Administratorius) – Savivaldybės administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis Informacinių sistemų priežiūrą.

Informacinių sistemų naudotojas (toliau – Naudotojas) – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Informacinių sistemų ištekliais numatytoms funkcijoms atlikti.

Kitos Taisyklėse vartojamos sąvokos atitinka Bendruosius elektroninės informacijos saugos reikalavimus, Saugos dokumentų turinio gaires ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gaires, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716  ir kituose Lietuvos Respublikos teisės aktuose vartojamas sąvokas.

4.    Taisyklės taikytinos visiems Savivaldybės administracijos darbuotojams, kurie naudojasi Informacinėmis sistemomis ir kurių prieigos prie duomenų teisės paremtos Informacinių sistemų duomenų saugumo, stabilumo, operatyvumo principais.

5.    Naudotojams prieiga prie Informacinių sistemų suteikiama vadovaujantis šiais principais:

5.1. konfidencialumo – prieigą Informacinėse sistemose saugomų duomenų gali gauti tik tie Naudotojai, kuriems tokia teisė buvo išskirtinai suteikta;

5.2. vientisumo – Informacinėse sistemose saugomus duomenis gali keisti (sukurti, ištrinti ar papildyti) tik tokius įgaliojimus turintys Naudotojai;

5.3. pasiekiamumo – Naudotojai neturi savo veiksmais sutrikdyti nepertraukiamos Informacinių sistemų veiklos, nebent tokia teisė jiems buvo išskirtinai suteikta.

 

II SKYRIUS

INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

 

6.    Naudotojai gali naudotis tik tomis Informacinėmis sistemomis ar jų dalimis ir jose tvarkomais duomenimis, prie kurių prieigą jiems suteikė Administratorius.

7.    Naudotojai privalo užtikrinti jų naudojamų Informacinių sistemų ir jose tvarkomų duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo.

8.    Naudotojai privalo nedelsdami pranešti Saugos įgaliotiniui ar Administratoriui apie Informacinių sistemų sutrikimus, neįprastą jų veikimą, esamus arba galimus informacijos saugumo reikalavimų pažeidimus bei kitų Naudotojų nederamus veiksmus.

9.    Administratoriaus įgaliojimai, teisės ir pareigos:

9.1. Administratorius yra įgaliotas ir turi teisę:

9.1.1. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

9.1.2. vykdyti Informacinių sistemų techninės priežiūros funkcijas;

9.1.3. matyti visų Naudotojų identifikavimo ir suteiktų teisių duomenis;

9.1.4. matyti Naudotojų su tvarkomais duomenimis atliktus veiksmus;

9.1.5. atlikti užklausas Informacinėse sistemose pagal pasirinktus paieškos kriterijus.

9.2. Administratorius privalo:

9.2.1. registruoti naujus Naudotojus;

9.2.2. tvarkyti esamų Naudotojų duomenis;

9.2.3. konsultuoti Naudotojus dėl Informacinių sistemų veikimo ir kitais su Informacinėmis sistemomis susijusiais klausimais;

9.2.4. vykdyti kitas su Informacinėmis sistemomis susijusias funkcijas;

9.2.5. pagal kompetenciją užtikrinti nepertraukiamą Informacinių sistemų techninės ir sisteminės programinės įrangos veikimą.

9.3. Administratoriaus veiksmai reglamentuoti Informacinių sistemų duomenų saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose.

10.  Saugos įgaliotinio įgaliojimai, teisės ir pareigos:

10.1. Saugos įgaliotinis yra įgaliotas ir turi teisę:

10.1.1. teikti Savivaldybės administracijos direktoriui pasiūlymus dėl:

10.1.1.1. Administratoriaus paskyrimo;

10.1.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

10.1.1.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo organizavimo;

10.2. teikti Administratoriui privalomus vykdyti nurodymus ir pavedimus;

10.3. Saugos įgaliotinis privalo:

10.3.1. koordinuoti elektroninės informacijos saugos incidentų, įvykusių Informacinėse sistemose, tyrimą;

10.3.2. kasmet organizuoti rizikos vertinimą, rengti apibendrintą rizikos vertinimo ataskaitą;

10.3.3. periodiškai inicijuoti Naudotojų supažindinimą informacijos saugos klausimais, informuoti juos apie informacijos saugos problematiką;

10.4. Saugos įgaliotinio veiksmai reglamentuoti Pakruojo rajono savivaldybės administracijos informacinių sistemų duomenų saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose.

 

III SKYRIUS

 INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA

 

11.  Saugos įgaliotinis yra atsakingas už Informacinių sistemų naudotojų supažindinimą su Pakruojo rajono savivaldybės administracijos informacinių sistemų duomenų saugos nuostatais, Pakruojo rajono savivaldybės administracijos informacinių sistemų saugaus duomenų tvarkymo taisyklėmis, Pakruojo rajono savivaldybės administracijos informacinių sistemų veiklos tęstinumo valdymo planu, Taisyklėmis ir kitais saugos politiką įgyvendinančiais teisės aktais.

12.  Naudotojai su Pakruojo rajono savivaldybės administracijos informacinių sistemų duomenų saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių dokumentų reikalavimų nesilaikymą supažindinami dokumentų valdymo sistemoje Avilys.

13.  Saugos įgaliotinis organizuoja mokymus ir seminarus duomenų saugos klausimais.

14.  Saugos įgaliotinis informuoja Naudotojus elektroniniu paštu ar kitu būdu apie priimtus naujus teisės aktus ir teisės aktų pakeitimus.

 

IV SKYRIUS

 SAUGAUS DUOMENŲ TEIKIMO INFORMACINIŲ SISTEMŲ NAUDOTOJAMS KONTROLĖS TVARKA

 

15. Naudotojų registravimo ir išregistravimo tvarka:

15.1. sukurtam Naudotojui suteikiamas unikalus prisijungimo prie Informacinės sistemos vardas ir pirminis slaptažodis;

15.2. Naudotojo tapatybė nustatoma pagal naudotojo vardą ir slaptažodį arba naudojantis Valstybės informacinių išteklių sąveikumo platformos (VIISP) teikiamomis paslaugomis;

15.3. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jeigu Naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio ar nėra techninių galimybių Naudotojui perduoti slaptažodį šifruoti kanalu ar saugiu elektroninių ryšių tinklu;

15.4. gavus suteiktą vardą ir slaptažodį ir pirmą kartą prisijungęs prie Informacinės sistemos duomenų bazės, Naudotojas privalo pirminį slaptažodį nedelsiant pakeisti nauju;

15.5. kiekvienas Naudotojas privalo naudoti tik jam suteiktą naudotojo vardą, saugoti slaptažodį ir jo neatskleisti tretiesiems (neįgaliotiems) asmenims;

15.6. Naudotojų duomenys registruojami ir kaupiami Informacinės sistemos duomenų bazėje;

16. Slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:

16.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai (didžiosios ir mažosios raidės, skaičiai, specialieji simboliai);

16.2. slaptažodžiui sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

16.3. programinės įrangos vartotojo autentifikavimo negali būti automatiškai išsaugotas;

16.4. nustatytas didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius (5 kartai). Neteisingai įvedus slaptažodį didžiausią leistiną skaičių, Informacinė sistema turi užsirakinti ir neleisti Naudotojui identifikuotis 15 minučių;

16.5. slaptažodis turi būti keičiamas kas 3 mėnesius. Naudotojo teisės sustabdomos, jei slaptažodis nepakeičiamas laiku;

16.6. kilus įtarimui, kad slaptažodis galėjo būti atskleistas, Naudotojas turi nedelsdamas jį pakeisti;

16.7. Naudotojui pamiršus slaptažodį, jis turi kreiptis į Administratorių arba prisijungti prie Informacinės sistemos naudojantis Valstybės informacinių išteklių sąveikumo platformos (VIISP) teikiamomis paslaugomis;

16.8. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

16.9. pirmojo prisijungimo prie Informacinės sistemos metu iš Naudotojo turi būti reikalaujama, kad jis pakeistų slaptažodį;

16.10. papildomi reikalavimai Informacinės sistemos Administratoriaus slaptažodžiams:

16.10.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

16.10.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

16.10.3. keičiant slaptažodį Informacinės sistemos taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;

16.11. Administratoriaus funkcijos turi būti atliekamos naudojant atskirą tam skirtą naudotojo paskyrą, kuri negali būti naudojama kasdienėms Naudotojo funkcijoms atlikti.

17. Naudotojų teisių dirbti su Informacinės sistemos duomenimis ribojimas ir / arba naikinimas:

17.1. pasibaigus darbo santykiams, Naudotojo teisė naudotis Informacine sistema panaikinama;

17.2. teisė dirbti su Informacinės sistemos duomenimis sustabdoma, kai Naudotojas nesinaudoja informacine sistema ilgiau kaip 12 mėnesių, kai įstatymų nustatytais atvejais vidinis Naudotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams, vidinio Naudotojo teisė naudotis informacine sistema panaikinama nedelsiant;

17.3. keičiantis darbuotojo pareiginėms funkcijoms, turi būti peržiūrimos jo prieigos prie Informacinės sistemos duomenų teisės;

17.4. apie Naudotojo prieigos teisių dirbti su Informacinės sistemos duomenimis panaikinimą ar laikiną sustabdymą Informacinės sistemos tvarkytojo paskirtas atsakingas asmuo elektroniniu laišku ar per Savivaldybės dokumentų valdymo sistemą informuoja Administratorių iš anksto pranešdamas naudotojo prieigos panaikinimo datą ir laiką;

17.5. turi būti patvirtinti asmenų, kuriems suteiktos Administratoriaus teisės prisijungti prie Informacinės sistemos, sąrašai, periodiškai peržiūrimi saugos įgaliotinio. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais Administratorius nušalinamas nuo darbo (pareigų).

18. Nuotolinis Naudotojų prisijungimas prie Informacinės sistemos duomenų bazės leistinas per internetinę naudotojo sąsają, naudojant saugius duomenų perdavimo protokolus.

 

V SKYRIUS

 BAIGIAMOSIOS NUOSTATOS

 

19.  Naudotojai, pažeidę šių Taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

____________________________________