Tietoturvallisuus hallinnon sähköisissä palveluissa

Transkriptio

1 Tietoturvallisuus hallinnon sähköisissä palveluissa HAUS Jukka Tuomela Johtamiskorkeakoulu/Julkisoikeus Tampereen yliopisto HAUS Jukka Tuomela, TaY 1 Tietoturvallisuus Tietoturvallisuudella tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus, eheys ja käytettävyys sekä yksityisyyden suoja HAUS Jukka Tuomela, TaY 2 1

2 Tietoturvallisuuden juridiset lähtökohdat sähköisessä asioinnissa Yleisesti: JulkL 18 :n ja JulkA 1 luvun mukainen hyvä tiedonhallintatapa Valtionhallinnon tietoturvallisuusasetus L kansainvälisistä tietoturvavelvoitteista HeTiL 7 luku: tietoturvallisuus ja tietojen säilytys; hyvä tietojenkäsittelytapa Erityisesti: SähkAsL 5 3 mom HAUS Jukka Tuomela, TaY 3 Tietoturvallisuuden ohjaus hallinnossa VM/Hallinnon kehittämisosasto/ tietohallinnon uudistamishankkeet ValtIT ja KuntaIT valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI julkisen hallinnon tietohallinnon neuvottelukunta JUHTA julkisen hallinnon suositusjärjestelmä JHS- suositukset Tietosuojavaltuutettu ja Viestintävirasto HAUS Jukka Tuomela, TaY 4 2

3 Tietojärjestelmien suunnittelu ja toteuttaminen (JulkL 18 ) viranomaisen suunniteltava ja järjestettävä sähköiset asiointipalvelunsa siten, että tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus, tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset asianmukainen arkistointi ja hävittäminen HAUS Jukka Tuomela, TaY 5 Henkilöstön koulutus tietoturvallisuusasioissa (JulkL 18 ) viranomaisen on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on tarvittava tieto asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta viranomaisen on huolehdittava myös siitä, että hyvän tiedonhallintatavan toteuttamista koskevien säännösten, määräysten ja ohjeiden noudattamista valvotaan HAUS Jukka Tuomela, TaY 6 3

4 Tietoturvallisuusriskien selvitysvelvollisuus (JulkA 1 ) viranomaisen on selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset ja muut vaikutukset selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet HAUS Jukka Tuomela, TaY 7 Tietoturvallisuusasetus Yleiset tietoturvallisuusvaatimukset Suunnittelun perusteet Tietoturvallisuuden perustaso Korotettu ja korkea taso Eri käsittelyvaiheiden huomioonottaminen Asiakirjojen luokittelu Neljä suojaustasoa (I-IV) Turvallisuusluokitusta koskevat merkinnät Erittäin salainen (I), salainen (II), luottamuksellinen (III) ja käyttö rajoitettu (IV) HAUS Jukka Tuomela, TaY 8 4

5 Tietoturvallisuusasetus (jatkoa) Luokitellun asiakirjan käsittelyä koskevat vaatimukset Käsittelyoikeudet ja niiden luettelointi Tiloja koskevat turvallisuusvaatimukset Asiakirjojen käsittely viranomaisen toimitilojen ulkopuolella Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen Asiakirjan kopiointi Asiakirjan välittäminen Asiakirjan siirtäminen tietoverkossa Käsittelyn kirjaaminen Arkistointi ja hävittäminen HAUS Jukka Tuomela, TaY 9 Tietoturvallisuuden osa-alueita - hallinnollinen turvallisuus linjaukset, johtaminen, toiminnan organisointi, vastuut, tietoturvallisuuden toimintapolitiikka - henkilöturvallisuus ohjeistus, koulutus, huomiointi rekrytoinnissa ja työsuhteen päättyessä - toimitilaturvallisuus kulunvalvonta, lukitukset, murtosuojaus, palosuojaus - tietojenkäsittelyn turvallisuus laitteiden käyttöön ja operointiin liittyvät työtehtävät, poikkeustilanteet, varmuuskopiointi HAUS Jukka Tuomela, TaY 10 5

6 Tietoturvallisuuden osa-alueita - tietoliikenteen turvallisuus tietoliikenteen jatkuvuuden turvaaminen, siirrettävän tiedon salaaminen ja eheyden varmistaminen - laitteistoturvallisuus tietokoneiden ja verkon toiminnan varmistaminen, varautuminen sähkönsyötön katkoksiin - ohjelmistoturvallisuus tietokoneiden suojaaminen, lisenssien hallinta, ohjelmien rekisteröinti HAUS Jukka Tuomela, TaY 11 Tietoturvallisuuden osa-alueita - käyttötoimintojen turvallisuus päivittäisen käytön turvaaminen (laitteiden ylläpito, käyttö, huolto, valvonta) - tietoaineistoturvallisuus levyjen, levykkeiden, nauhojen ja tulosteiden käsittely, tietojen turvaluokitukset - yksityisyyden suojan huomioiminen tietoja käsitellään vain asianmukaisiin tarkoituksiin ja vain ne henkilöt, jotka tietoja tarvitsevat HAUS Jukka Tuomela, TaY 12 6

7 Sähköinen asiointi ja viranomaisen tietoturvallisuusympäristö viranomaisten tietojärjestelmät avautuvat ulkopuolisille Tietoturvaongelmien kohdistuminen asiakas, asiakkaan päätelaitteet, tiedonsiirtoverkko teleoperaattorille, operaattorin palvelinlaitteet kotona, työpaikalla, kirjastossa, itsepalvelupisteessä muu tiedonsiirtoverkko viranomaisen palvelinlaitteet, sisäinen tiedonsiirtoverkko, päätelaitteet ja henkilökunta HAUS Jukka Tuomela, TaY 13 Tietoturvallisuustyö käytännössä sähköisten palveluiden tietoturvallisuuden toteuttaminen asettaa vaatimuksia palvelun tarjoajalle erityisesti tietojärjestelmille HeTiL 24 :n mukaisesti informointi tietojen käsittelystä, jos asiointitietoja kerätään viranomaisen henkilörekistereihin asiakkaille ohjeistus, laite- ja ohjelmistovaatimukset HAUS Jukka Tuomela, TaY 14 7

8 Sähköisen asiointipalvelun tietoturvallisuus palvelun tarjoajan toiminta perusjärjestelmän tietoturvallisuus toimiva tietoturvallisuustyö osa kaikkea toimintaa tietoteknisten komponenttien (ohjelmistot, laitteistot) tietoturvallisuusominaisuudet ulkoistetun toiminnan tietoturvallisuus (esim. ohjelmiston kehittäminen, toimeksiantotehtävät) vastuut ja sopimukset henkilöstön ammattitaito HAUS Jukka Tuomela, TaY 15 Yleisiä tietoturvallisuustoimenpiteitä tietomurtojen ehkäisy virusten ja haittaohjelmien torjunta (vrt. sähköisen viestinnän tietosuojalaki) sähköposti (erityisesti liitetiedostot), www-sivujen selailu, ohjelmien omatoiminen asentaminen automaattinen lähtevän ja tulevan sähköpostin virusskannaus päätelaitekohtainen virustorjunta palomuuri, reaaliaikainen valvonta ja hälytykset selaimen asetukset riittävä ohjeistus henkilökunnalle roskapostisuodatus (toiminta suunniteltava, automaattinen suodatus ongelmallista) HAUS Jukka Tuomela, TaY 16 8

9 Sähköisten asiointipalvelujen tietoturvallisuustarpeet Ryhmittely palvelun luonteen avulla yleiset tietopalvelut ja tiedottaminen asiakaspalaute ja kansalaisten osallistuminen hallintoasian, tuomioistuinasian tai ulosottoasian vireillepano, käsittely ja tiedoksianto (vuorovaikutteinen palvelu) muu vuorovaikutteinen palvelu JulkL ja HeTiL mukainen tietojen saanti HAUS Jukka Tuomela, TaY 17 Tietopalvelut ja tiedottaminen: viranomaisten kotisivut viranomaisella vastuu tietojen oikeellisuudesta sisältö, erityisesti yhteystiedot tietojen luvaton muuttaminen estettävä verkkopalvelimen suojauksesta huolehtiminen palomuuri, suojatut yhteydet tietojen päivityksessä ohjelmistojen jatkuva päivitys asiakkaan mahdollisuus varmistua sivujen alkuperästä palvelinvarmenne tai vastaava HAUS Jukka Tuomela, TaY 18 9

10 Asiakaspalaute ja kansalaisten osallistuminen asiakaspalautteen pyytäminen ja käsittely saattaa sisältää salassapidettävää tietoa kansalaiskeskustelu keskustelupalstalla automatisoitu tai ns. moderoitu palsta erilaiset mielipidekyselyt vapaat tai tunnistautumista edellyttävät HAUS Jukka Tuomela, TaY 19 Tietoturvallisuus vuorovaikutteisessa asioinnissa tietoturvallisuus huomioitava palvelussa sekä asiakkaan että viranomaisen päässä asiakkaan luona erityisesti salassapidettäviä tietoja sisältävien tietojen tallentuminen asiakkaan päätelaitteelle salattu www-sivu, sähköisesti täytettävä lomake asiakkaalle kerrottava tietoturvallisuusriskeistä asiakkaan ohjeistus tietojen poistamiseksi päätelaitteelta HAUS Jukka Tuomela, TaY 20 10

11 Vuorovaikutteinen asiointi Viranomaisen harkittava palvelukohtaisesti milloin tarvitaan salattua yhteyttä asioinnissa milloin edellytetään asiakkaan tunnistamista ja mitä tunnistamismenetelmiä hyväksytään sähköinen allekirjoitus, pankin tunnukset, käyttäjätunnus ja salasana, allekirjoituksen puuttuminen vireillepanossa, asioinnin myöhemmissä vaiheissa omien tietojen katselu (arkaluontoisia tai salassapidettäviä tietoja) verkkolomakkeelle esitäytetään tietoja viranomaisen tai myös muiden viranomaisten rekistereistä ohjattava käyttämään tietoturvallisuudeltaan riittäviä tiedonsiirtomenetelmiä (vrt. HL 8 ) HAUS Jukka Tuomela, TaY 21 Asian vireillepano SähkAsL 9.2 : puuttuvaa allekirjoitusta ei tarvitse täydentää, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä (vrt. hallintolaki 22.2 ) asiamiehen ei tarvitse toimittaa valtakirjaa, jos asiakirjasta käy ilmi asiamiehen toimivalta, eikä viranomaisella aihetta epäillä asiamiehen toimivaltaa tai sen laajuutta (vrt. hallintolaki 12.1 ) sähköisen asiakirjan siirto toimivaltaiselle viranomaiselle (SähkAsL 15 ) salassapidettävät tiedot HAUS Jukka Tuomela, TaY 22 11

12 Välitoimet harkittava palvelukohtaisesti milloin viranomainen voi käyttää telekopiota tai sähköpostia välitoimissa, myös täydennyspyynnössä viranomainen voi asioida asiakkaan ilmoittamilla tavoilla (muu tiedoksianto) salassapidettävät tiedot ja salassapitointressi (JulkL ) kohdan mukainen suostumus) tarvittaessa todisteellinen sähköinen tiedoksianto HAUS Jukka Tuomela, TaY 23 Päätöksen tiedoksianto Milloin käytettävä todisteellista sähköistä tiedoksiantoa? jos kyseessä päätös, jonka tiedoksiannosta alkaa kulua muutoksenhakuaika tai joka tullakseen voimaan on annettava asianosaiselle tiedoksi (SähkAsL 18 ) myös jos asianomaisen yksityisyyden suojaaminen, muu erityisen suojan tai suojelun tarve taikka oikeuksien turvaaminen sitä edellyttää (SähkAsL 19 ; vrt. hallintolaki 60 ) Miten päätöksen noutaja on tunnistettava? laatuvarmenne muu tunnistautumistekniikka, joka on tietoturvallinen ja todisteellinen esim. pankkien tunnukset vrt. ; tunnistautumisessa asiakirja ikäänkuin kuitataan allekirjoituksella saaduksi (vrt. saantitodistus) HAUS Jukka Tuomela, TaY 24 12

13 Tietoturvallisuus ja viranomaisten välinen tietojenvaihto sähköisissä asiointipalveluissa edellyttää molempien viranomaisten yhteistyötä tietoturvallisuudesta huolehtiminen on myös molempien velvollisuus esitäytetyissä lomakkeissa varsinainen palvelun tarjoaja vastaa suhteessa palvelun asiakkaisiin HAUS Jukka Tuomela, TaY 25 13