Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Transkriptio

1 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen Valmis Tietohallintotyöryhmän käsittelyyn Tietohallintotyöryhmä Sisällysluettelo 1 Johdanto Tietoturvallisuuden rakenne Hallinnollinen tietoturvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Tietoaineistoturvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Käyttöturvallisuus Johdanto Tässä dokumentissa kuvataan Lappeenrannan kaupungin tietoturvallisuuden periaatteet, jotka perustuvat ylemmän tason Tietoturvapolitiikkaan. Tietoturvallisuus on osa riskienhallintaa ja keino turvata toiminnan jatkuvuus myös ongelmatilanteissa. Tietoturvallisuutta koskevien riskien hallinta on osa organisaation riskienhallintaa. Konsernihallinto PL 11, Lappeenranta Villimiehenkatu 1 puh kirjaamo@lappeenranta.fi

2 2 (7) Tietoturvallisuudella tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi sekä normaali että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietoturvallisuuden tavoitteena on tietojen luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Periaatteet on johdettu toiminnan riskejä analysoimalla ja sen perusteella tehdystä tietoturvapolitiikasta. 2 Tietoturvallisuuden rakenne Tietoturvallisuus jaetaan rakenteellisesti osa-alueisiin. Osa-alueiden tarkoitus on auttaa havainnollistamaan tietoturvallisuuden monimuotoisuus. Kaikkia osa-alueita tulee arvioida ja huomioida organisaation toiminnan kannalta. Hallinnollinen tietoturvallisuus Fyysinen turvallisuus Tietoaineistoturvallisuus Ohjelmistoturvallisuus Henkilöstöturvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Käyttöturvallisuus 2.1 Hallinnollinen tietoturvallisuus Hallinnollisella tietoturvallisuudella tarkoitetaan käytännössä tietoturvallisuuden osa-alueiden johtamista ja niihin liittyviä käytäntöjä. Hallinnollinen turvallisuus on perusta kaikelle tietoturvatyölle organisaatiossa. Hallinnollisen turvallisuuden periaatteet: Tietoturvallisuutta johtaa nimetty henkilö Organisaatio sitoutuu tietoturvatyöhön Organisaatio on määrittänyt, hyväksynyt, julkaissut ja kouluttanut tietoturvapolitiikan henkilöstölleen ja tarvittaville sidosryhmille Tietoturvallisuusorganisaatio sekä vastuut toiminnassa on määritetty Riskienhallinta on määritelty jatkuva, johdettu toiminto Tietoturvallisuuden tasoa mitataan ja siitä raportoidaan säännöllisesti Poikkeamatilanteiden käsittely on suunniteltu ja selkeästi dokumentoitu Lakeja, asetuksia sekä voimassa olevia määräyksiä noudatetaan organisaation toiminnassa

3 3 (7) Tietoturvallisuutta kehitetään jatkuvana prosessina Tietoturvallisuuden hallintajärjestelmä on määritelty ja käyttöönotettu 2.2 Henkilöstöturvallisuus Henkilöstöturvallisuus on henkilöstöstä johtuvaa riskien hallintaa. Sen perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja tehtävät on selkeästi kuvattu toimenkuvissa. Lisäksi tarvitaan riittävällä tasolla määriteltynä olevat henkilöstöhallinnon prosessit sekä muut prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntyminen vältetään. Keskeisiä asioita ovat työhönottoon, toimenkuvien olennaisiin muutoksiin ja palvelussuhteen loppumiseen liittyvät prosessit ja niistä on tarpeen olla kaikilla osallisilla käytössään sovittu toimintamalli. Lappeenrannan kaupunki tukee, auttaa ja ohjaa henkilöstöään toimimaan oikein tietoturvallisuuden toteuttamiseksi sekä liiketoiminnan jatkuvuuden turvaamiseksi organisaatiossaan. Henkilöstöturvallisuuden kautta pyritään vähentämään ihmisten tekemiä tahattomia sekä tahallisia vahinkoja. Henkilöstöturvallisuuden periaatteet: Avainhenkilöt on tunnistettu ja heille on olemassa varahenkilöjärjestely Työsopimus on tehty kirjallisesti jokaisen työntekijän kanssa Työntekijä, sekä sisäiset että ulkoiset, allekirjoittaa tietoturvasitoumuksen Työntekijän työhöntulo- sekä lähtöprosessi on määritelty ja käytössä organisaatiossa Pääsyoikeudet on rajattu työtehtävien kannalta tarpeellisiin oikeuksiin tietojärjestelmien, tietojen sekä fyysisen pääsyn osalta Jokainen työntekijä osallistuu organisaation tietoturvakoulutukseen määräajoin 2.3 Fyysinen turvallisuus Fyysinen turvallisuus tässä dokumentissa tarkoittaa toimitilaturvallisuutta. Tietoturvallisuutta ei voida toteuttaa ilman huolehtimista fyysisestä turvallisuudesta. Toimitilaturvallisuuden avulla pyritään varmistamaan myös tiloissa toimivien henkilöiden turvallisuus. Riskien arvioinnin yhteydessä toimitilojen turvallisuutta tulee arvioida muiden osa-alueiden tavoin ja huomioida tilojen kriittisyys organisaation toiminnassa. Fyysisen turvallisuuden periaatteet: Toimitiloissa on huolehdittu paloturvallisuudesta Toimitilaan pääsy edellyttää voimassa olevaa kulkuoikeutta

4 4 (7) Pääsyoikeudet myönnetään esimiehen valtuutuksella Pääsyoikeuksista sekä avaimista (sähkö / mekaaninen) on olemassa ajantasainen rekisteri Pääsyoikeuksien hallinta on dokumentoitu ja vastuuhenkilö nimetty Tiloihin johtavat ovet on lukittu sovittujen käytäntöjen mukaisesti Huolto- sekä siivoustapahtumat on määritelty: Pääsy tiloihin joko valvottuna tai omilla rekisteröidyillä avaimilla, salassapitositoumus toimijoiden kesken on tehty. Toimitilojen äänieristys on riittävä toiminnan tason kannalta Toimitilojen sähkönsyöttö on varmistettu toiminnan edellyttämällä tavalla LVI järjestelmät on varmistettu toiminnan edellyttämällä tavalla Palvelintilojen tietoturvaperiaatteet on kuvattu Saimaan Talous ja Tieto Oy:n tietoturvapolitiikassa. 2.4 Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan viestinnän, viestien sekä muun tietoliikenteen turvaamista kaupungin toiminnan osalta. Toimenpiteillä pyritään varmistamaan tietoliikenteen häiriötön sekä jatkuva toiminta ja tietojen luottamuksellisuuden sekä eheyden säilyminen tiedonsiirron aikana. Kaupungin tietoliikenneverkon rakenne ja siinä käytettävät ratkaisut tulee olla dokumentoituja sekä varmistettuja liiketoiminnan vaatimusten mukaisesti. Tietoliikenneturvallisuuden periaatteet: Kaupungin tietoliikenneverkon arkkitehtuurista, toteutetuksensa, dokumentoinnista ja toimivuuden varmistamisesta vastaa Saita Kaupungin tietoliikenneverkossa on eroteltu vierailijaverkot sekä sisäisen toiminnan verkko Tietoliikenneverkko on rajattu fyysisiin sekä loogisiin osa-alueisiin, jonne pääsyä valvotaan sekä rajoitetaan Sisäiseen verkkoon pääsevät vain Saitan rekisteröimät laitteet Tietoliikenneverkko on dokumentoitu ja hallinta vastuutettu Tietoliikenneverkon osalta tehdään säännöllinen riskianalyysi Tietoliikenneverkon yleistä toimivuutta valvotaan Laitetilat tietoliikenteen osalta ovat lukittu ja pääsy tarpeen mukaisesti organisoitu Käytettävät tietoliikenneratkaisut tukevat liiketoiminnan tarpeita sekä jatkuvuutta 2.5 Tietoaineistoturvallisuus Tietoaineistoturvallisuus määrittää tavat tiedon turvalliseen käsittelyyn sen elinkaaren kaikissa vaiheissa. Samalla määritettyjen periaatteiden ja toimenpiteiden avulla pyritään turvaamaan tiedon käytettävyys työtehtävien suorittamisen osalta. Tämä turvallisuuden alue kattaa kaikki eri tiedon tallentamiseen ja käsittelyyn käytettävät järjestelmät ja menetelmät ja on erittäin

5 5 (7) tärkeä osa liiketoiminnan toiminnan kannalta. Tietoaineistot voivat olla sekä organisaation omia että Asiakkaiden tietoa. Tietoaineistojen osalta on välttämätöntä huomioida kulloinkin voimassa oleva lainsäädäntö. Tietoaineistoturvallisuuden rakenteeseen kuuluvat tiedon luomisen periaatteet luokitteluperiaatteet ja merkitseminen tiedon jakamisen periaatteet käsittelysäännöt tiedon siirtämisen aikana käsittelysäännöt tiedon kopioinnista mukaan lukien varmuuskopiointi säilyttämisen ja arkistoinnin periaatteet tietoon pääsyn periaatteet käsittelysäännöt tiedon hävittämisen osalta Tietoaineistoturvallisuuden periaatteet: Voimassa olevan lainsäädännön noudattaminen tietoaineiston osalta Kaikki tieto on luokiteltu tiedon luokitteluperiaatteiden ja sääntöjen mukaisesti Tietojärjestelmät on luokiteltu Tiedoilla ja tietojärjestelmillä tulee olla omistaja Tietojen luokittelu- ja käsittelyperiaatteet on koulutettu organisaatiossa Kriisitilanteiden viestintä on määritelty ja vastuutettu Tietojen salaus on määritetty tietoaineiston luokitteluperiaatteiden mukaisesti 2.6 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan huolehtimista laitteiden elinkaaren turvallisuudesta ja turvallisesta käyttämisestä tuona aikana. Kaupunki määrittelee yhteistyössä Saitan kanssa hankittavat laitteistot ja niiden käyttämisen organisaation tietoliikenneverkossa. Laitteistoturvallisuuden periaatteet: Laitteistojen elinkaarenhallinta on suunniteltu ja vastuutettu organisaatiossa Saitalle. Elinkaaren hallintaan kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Laitteistojen asennuksissa huomioidaan käyttötarkoitus ja tapa (palvelin, työasema, kannettava, puhelin jne.) Asennukset on vakioituja, organisaation tarpeet huomioivia Mobiililaitteet (puhelin, tabletti jne.) on suojattu vähintään PIN koodilla Omien mobiililaitteiden käyttö on sallittua, mikäli laite liitetään Saitan mobiililaitehallintaan ja käyttäjä sallii etähallinnan tuomat käyttöjärjestelmäkohtaiset rajoitukset sekä mahdollisuuden laitteen tyhjennykseen väärinkäyttö- / katoamistapauksissa. Tieto tuetuista käyttöjärjestelmä- ja ohjelmistoversioista pidetään yllä Saitan toimesta.

6 6 (7) Kannettavien tietokoneiden kiintolevyt on salattu ja suojattu käynnistyksen yhteydessä annettavalla PIN koodilla / salasanalla Laitteistot on suojattu haittaohjelmien varalta Ulkoisten medioitten käyttö, kuten USB-muistitikut, CD:t jne. on ohjeistettu Omien laitteiden käyttö on rajoitettu ja ohjeistettu organisaatiossa työtehtävien osalta Tietojen tulostaminen ja kopiointi on ohjeistettu Laiterekisterit ovat ajantasaisia 2.7 Ohjelmistoturvallisuus Ohjelmistoturvallisuuden avulla pyritään varmistamaan ohjelmistojen toiminta sekä sopivuus organisaation käyttöön. Ohjelmistoturvallisuuden tulee kattaa kaikki erityyppiset organisaation käytössä olevat ohjelmistot. Laitteistoturvallisuutta vastaavasti tulee huolehtia koko ohjelmistojen elinkaaresta sekä kyseisillä ohjelmistoilla toteutetun tiedon säilyvyydestä ja käytettävyydestä ohjelmiston käytön loppumisen jälkeen. Turvallisuus tulee ottaa huomioon heti ohjelmistohankinnan suunnitteluvaiheessa ja jatkua ohjelmiston koko elinkaaren ajan. Ohjelmistoturvallisuuden periaatteet: Ohjelmistojen turvallinen käyttö toiminnan vaatimusten mukaisesti Ohjelmistojen asennukset toteutetaan huolellisesti Palveluina toimivien ohjelmistojen valvonta sekä hallinta on määritelty ja toteutettu Käytettävät ohjelmistoratkaisut on dokumentoitu ylläpitoa varten Käytössä olevista ohjelmistoista on ajantasainen rekisteri Ohjelmistojen kriittisyys on luokiteltu (palvelut Asiakkaille sekä omassa käytössä) Ohjelmistojen elinkaarenhallinta on suunniteltu Järjestelmäkohtaiset toipumissuunnitelmat ohjelmistojen osalta ovat ajan tasalla Ohjelmistojen käyttöoikeus annetaan työtehtävän mukaisesti Ohjelmistojen käyttäjätiedot ovat ajantasaiset Ohjelmistojen käyttäjätiedoista on ajantasainen rekisteri Ohjelmistoista on tarvittavat varmuuskopiot olemassa ja tallennuspaikat määritelty 2.8 Käyttöturvallisuus Käyttöturvallisuuden osalta pyritään edistämään organisaation tietojärjestelmien ja tiedon turvallista ja oikeaa käytettävyyttä. Käyttöturvallisuuden tarkoitus on suojata sekä käyttäjää että organisaatiota tahattomien sekä tahallisten tekojen osalta. Kaikkien tietojärjestelmien suojaaminen haittaohjelmilta (kuten viruksilta) on osa käyttöturvallisuutta. Järjestelmien käyttöturvallisuuden taso perustuu järjestelmässä olevien tietojen luokitukseen. Käyttäjän pääsy asiattomaan tietoon tai tietojärjestelmään on usein käyttöturvallisuuden ongelmien tulos, johon käyttäjä ei välttämättä ole voinut vaikuttaa suoraan. Käyttöturvallisuudesta huolehtiminen on tärkeä osa tietojärjestelmiä ja tietoa suojattaessa mutta myös henkilön oikeusturvan kannalta.

7 7 (7) Käyttäjälle on pystyttävä kertomaan kulloinkin voimassa olevat pääsyoikeudet järjestelmien sekä tiedon osalta. Organisaation tulee voida varmistaa, että oikeudet ovat ajan tasaisia ja oikeita työtehtävien suorittamisen kannalta. Käyttöturvallisuuden periaatteet: Käyttäjä tunnistetaan palveluihin mentäessä Etätyö on ohjeistettua Poikkeamien valvonta sekä hallinta on määritetty Riskienhallinta kattaa myös käyttöturvallisuuden osuuden Käyttöoikeuksien myöntämisen periaatteet on dokumentoitu Käyttöoikeuksien myöntäminen on kuvattu prosessina Käyttöoikeuksien hyväksyntä on vastuutettu ja kuvattu Käyttöoikeuksien muutokset sekä poisto on kuvattu ja vastuutettu Tietojärjestelmien käyttöön annetaan tarvittava koulutus Käyttöoikeudet ovat raportoitavissa järjestelmäkohtaisesti