PALVELUIDEN TIETOTURVAVAATIMUKSET JA VARAUTUMINEN

Transkriptio

1 JA VARAUTUMINEN Palvelusopimuksen liite 7 Keski-Uudenmaan Keski-Uudenmaan PL12, Kerava / Kauppakaari 11, Kerava Y-tunnus

2 2(10) Sisällys: 1 Johdanto Palvelun laatu Hallinnollinen tietoturvallisuus Dokumentointi Riskienhallinta Varautuminen ja valmiussuunnittelu Henkilöstöturvallisuus Turvallisuusosaaminen Roolit ja vastuut Taustaselvitykset ja salassapito Resursointi Sidosryhmien hallinta Fyysinen turvallisuus Käytön ja ylläpidon tietoturva Käyttäjähallinta Kapasiteetin hallinta Muutoksenhallinta Poikkeamatilanteiden hallinta Tietoverkkojen ja tietoliikenteen turvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Järjestelmäarkkitehtuuri Versiohallinta Tietoaineiston turvallisuus Asiakirjat... 10

3 3(10) 1 Johdanto 2 Palvelun laatu Tämä palvelusopimuksen liite kuvaa ne tietoturvaperiaatteet ja -käytännöt sekä osapuolten menettelyt ja minimivaatimukset, joilla Keski-Uudenmaan informaatioteknologia Oy:n (jatkossa Toimittaja) tuottamien palvelujen tietoturvallisuus varmistetaan normaalioloissa ja normaaliolojen häiriötilanteissa. Toimittajan tuottamat palvelut on kuvattu palvelusopimuksen eri liitteissä. Tämä liite perustuu pääosin VAHTI -ohjeistuksessa (Valtionhallinnon tietoturvallisuuden johtoryhmä) ja KATAKRI -kriteeristössä (Kansallinen turvallisuusauditointikriteeristö) kuvattuihin perustason vaatimuksiin ja käytäntöihin. Toimittaja kuvaa tässä liitteessä esitettyjen vaatimusten toteutumisen turvallisuuden hallintaan liittyvissä erillisissä asiakirjoissa. Toimittaja pitää asiakirjat jatkuvasti ajan tasalla sekä asiakasorganisaatioiden (jatkossa Tilaaja) saatavissa koko palvelutuotannon ajan. Kuitenkin ainoastaan Tilaajien tietohallintopäälliköillä tai Tilaajan valtuuttamilla auditoijilla on mahdollisuus tutustua salassa pidettäviksi luokiteltujen asiakirjojen sisältöön. Toimittaja tuottaa palvelunsa hyvien tiedonhallinta- ja tietoturvallisuuskäytäntöjen mukaisesti. Toimittaja on palveluja tuottaessaan velvollinen noudattamaan Tilaajan kanssa sovittuja turvallisuusperiaatteita, -ohjeita ja -käytäntöjä. 3 Hallinnollinen tietoturvallisuus Hallinnolliset tietoturvatoimet sisältävät menettelyitä tietoturvan osa-alueiden ohjaamiseksi ja seuraamiseksi. Toimittaja johtaa ja kehittää tietoturvatoimintoja samoin kuin muitakin prosesseja ja toimintaa. Toimittajalla on johdon hyväksymä tietoturvapolitiikka. Tietoturvan periaatteet on dokumentoitu ja saatettu koko henkilökunnan ja tarvittavien sidosryhmien tiedoksi. Tietoturvapolitiikassa kuvataan muut tietoturvan osa-alueet sekä riskienhallinnan ja varautumisen järjestelyt. Tietoturvatoiminnalle on asetettu realistiset, mitattavat tavoitteet, joita seurataan vähintään vuositasolla. Tietoturvaan liittyvät roolit ja vastuut on määritelty ja dokumentoitu. Liiketoiminnan kannalta kriittisimmät toiminnot ja -prosessit on tunnistettu, luokiteltu turvallisuustason mukaisesti ja niille on nimetty omistaja, joka on vastuussa prosessin riskienhallinnasta, turvallisuudesta ja jatkuvuudesta. Tietoturvaa käsitellään säännöllisesti yhteistyöryhmässä, jonka toimintaan osallistuvat sekä yhtiön johto että tietoturvallisuuden vastuuhenkilöt.

4 4(10) 3.1 Dokumentointi 3.2 Riskienhallinta Toimittaja laatii ja ylläpitää palveluihinsa ja tilaajan tietotekniseen ympäristöön liittyvän dokumentaation riittävän kattavalla tasolla sekä käsittelee dokumentaatiota sen turvallisuusluokittelun mukaisesti. Tilaajan toimintaan liittyvästä dokumentoinnista ja yhteisistä käytännöistä dokumentointiin liittyen sovitaan tarkemmin palvelusopimuksen mukaisissa seurantapalavereissa. Dokumentoinnin yhteiset menettelytavat pitävät sisällään mm. määräykset aineiston käsittelystä ja hallinnasta, materiaalin luokittelusta, säilytyksestä sekä historiatietojen ja muutosten kirjaamisesta. Kokonaisvaltaisella riskienhallinnalla luodaan perusta turvallisuustyölle ja - suunnittelulle. Riskienhallinta on jatkuvaa toimintaa, jonka avulla organisaatio varmistaa toimintansa ja palvelutuotantonsa jatkuvuuden. Toimittaja kuvaa riskienhallintaprosessinsa niin että kuvauksesta käy ilmi riskienhallinnan toteuttamistapa ja prosessin keskeiset tuotokset. Riskienhallinta liittyy Toimittajan toiminnan ja talouden vuosisuunnitteluun, ja siihen liittyvät eri toimenpiteet aikataulutetaan siten, että tulokset voidaan huomioida Tilaajien omissa vuosisuunnittelu- ja riskienhallintaprosesseissa. 3.3 Varautuminen ja valmiussuunnittelu Toimittaja kuvaa varautumiseen liittyvät menettelyt, joilla varmistetaan palvelujen tuottamiseen tarkoitettujen tilojen, laitteiden ja henkilökunnan toimintaedellytykset normaaliolojen häiriö- ja poikkeamatilanteissa niin, että palvelujen tuotanto ei häiriinny. Toimittajalla on jatkuvuus- ja toipumissuunnitelma, joka kattaa sekä Toimittajan oman toiminnan että alihankkijoilta hankittavat palvelut. Jatkuvuus- ja toipumissuunnitelmat tehdään kaikille toiminnan kannalta kriittisille palveluille, tiloille ja toiminnoille niiden jatkuvuuden turvaamiseksi sekä mahdollisimman nopean toipumisen ja toiminnan uudelleenaloittamisen varmistamiseksi. Toimittaja ylläpitää kunnan poikkeusolojen valmiussuunnitteluun liittyvää ICTtoiminnan valmiussuunnitelmaa oman toimintansa osalta. Toimittaja nimeää tarvittaessa yhteyshenkilön kunnan poikkeusolojen johtokeskuksen toimintaa varten. Toimittaja huolehtii lisäksi siitä, että Tilaajan kriittisten tietojenkäsittelytoimintojen hoitamiseen poikkeusoloissa on varattu yhteisesti toteutettavassa valmiussuunnittelussa määritellyt henkilöresurssit. 4 Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan henkilöstön luotettavuuteen ja soveltuvuuteen, oikeuksien hallintaan, sijaisjärjestelyihin, henkilöstön suojaamiseen ja työsuhteen sekä työyhdistelmien järjestelyihin liittyvien turvallisuustekijöiden

5 5(10) hoitamista. Henkilöstöturvallisuus koostuu työsuhteen elinkaaren aikana henkilöstöön liittyvistä ja henkilöstön suorittamista toimenpiteistä. 4.1 Turvallisuusosaaminen 4.2 Roolit ja vastuut Toimittaja huolehtii turvallisuuteen, riskienhallintaan ja varautumiseen liittyvän osaamisen ja tietoisuuden kehittämisestä sekä kannustaa ja motivoi henkilöstöään ja käyttämiään kolmansia osapuolia noudattamaan ja kehittämään turvallisuuskäytäntöjä. Toimittaja huolehtii siitä, että uusien työntekijöiden perehdytysprosessi kattaa myös turvallisuuteen, riskienhallintaan ja jatkuvuuteen liittyvät järjestelyt sekä määräykset. Toimittaja vastaa sekä omasta että käyttämiensä kolmansien osapuolten puolesta siitä, että palvelutuotannossa käytettävä henkilökunta osallistuu vähintään kerran vuodessa turvallisuuskoulutukseen, joka kattaa tässä liitteessä esitetyt minimivaatimukset ja niistä johdetut käytännöt. Koulutukset dokumentoidaan vähintään niissä käytetyn materiaalin ja osallistujien osalta. Palvelujen tuotantoon osallistuvien henkilöiden ja heidän varahenkilöidensä roolit ja vastuut kuvataan ennalta ja henkilöt nimetään ennalta sovitun tehtäväjaon mukaisesti. Toimittaja varmistaa, että vaarallisia työketjuja tai -yhdistelmiä ei pääse syntymään. Mikäli vaarallista työketjua tai -yhdistelmää ei voida välttää, tulee asiasta tiedottaa Tilaajan yhteyshenkilöitä viipymättä. 4.3 Taustaselvitykset ja salassapito 4.4 Resursointi Henkilöihin liittyviin taustaselvityksiin ja salassapitosopimuksiin liittyvät käytännöt toteutetaan seuraavasti: Taustaselvitykset: Uusien työntekijöiden opinto- ja työhistoria tarkistetaan oppilaitoksista ja edellisiltä työnantajilta. Toimittaja pyytää tarvittaessa henkilöstöä koskevan turvallisuusselvityksen tekoa viranomaisilta. Salassapitosopimukset: Salassapitosopimus (vaitiolositoumus) tehdään jokaisen työntekijän kanssa. Sopimus sisältyy työsopimukseen tai voi tarvittaessa olla erillinen asiakirja. Toimittajan (työnantajan) alkuperäiset kappaleet säilytetään niiden luottamuksellisuusvaatimusten mukaisesti. Toimittaja pitää kaikista Palvelun tuotantoon osallistuvista henkilöistä ajantasaista henkilöstöluetteloa, joka on jatkuvasti myös Tilaajan saatavilla. Toimittaja hyväksyttää Tilaajalla ennalta kaikki erikseen sovittaviin projekteihin osallistuvat henkilöt. Eri projektien ja kehityshankkeiden avainhenkilöiden vaihtamisesta sovitaan Tilaajan kanssa.

6 6(10) Toimittaja kiinnittää erityistä huomiota siihen, että palvelutuotannon kaikkien keskeisten tehtävien varahenkilöjärjestelyt ovat kunnossa, ts. eri tehtäviä pystyy hoitamaan vähintään kaksi henkilöä. 4.5 Sidosryhmien hallinta Toimittaja vastaa siitä, että kaikki palvelujen tuotantoon osallistuvat Toimittajan alihankkijat noudattavat omalta osaltaan tässä liitteessä sekä palvelusopimuksessa ja sen muissa liitteissä kuvattuja vaatimuksia. Toimittaja huolehtii siitä, että sen alihankkijoittensa kanssa tekemiin sopimuksiin sisältyvät tarvittavat määräykset tietoturvan hoitamisesta. 5 Fyysinen turvallisuus Fyysinen turvallisuus sisältää muun muassa kulun- ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi ja murtovahinkojen torjunnan sekä tietoaineistoja sisältävien lähetysten turvallisuuden. Toimittaja huolehtii niiden omistamiensa ja hallinnoimiensa toimitilojen turvallisuudesta, joissa tai joista käsin käsitellään Tilaajan tietoa tai tietojärjestelmiä. Tietoturva otetaan huomioon fyysisen turvallisuuden ratkaisuissa, tietovälineiden käsittelyssä sekä henkilökunnan ja vieraiden pääsyoikeuksien hallinnassa. Toimittajalla on kuvattuna edellä mainittujen tilojen osalta vähintään seuraavat asiat: Kulunvalvonnan hallintakäytännöt: oikeuksien ja kulkuavaimien hallinta: hakeminen, myöntäminen, muuttaminen ja poistaminen, sekä kirjanpito, lokitus ja valvonta Rakenteelliseen turvallisuuteen ja lukitukseen liittyvät ratkaisut: seinä-, katto- ja lattiarakenteiden palon- ja murronkesto (mukaan lukien ovet, ikkunat ja muut kuoressa olevat aukot). Tilat ja turvallisuusvyöhykkeet: esim. yleiset tilat, neuvottelutilat, toimisto, tuotekehitys, tietojärjestelmät, laboratorio ja varasto. Vartiointikäytännöt ja vastuut. LVIS -tekniikkaan liittyvät ratkaisut. Palontorjunnan järjestelyt Tilaajalla on niin halutessaan oikeus suorittaa tarkastus Toimittajan tiloissa. 6 Käytön ja ylläpidon tietoturva Käyttöön ja ylläpitoon liittyvä tietoturva tarkoittaa mm. valmiutta siirtää tietotekninen ratkaisu tuotantoon, hallita tarvittavaa kapasiteettia ja muutoksia, sekä kuvata menettelyt poikkeamatilanteissa.

7 7(10) 6.1 Käyttäjähallinta Toimittaja kuvaa käyttäjähallinnan järjestelynsä. Kuvaukseen sisältyvät käyttäjätunnusten, käyttö- ja pääsyoikeuksien sekä käyttövaltuuksien hallintakäytännöt luonti-, muutos- ja poistotilanteissa. Palvelutuotantoon liittyvä pääsynhallinta toteutetaan roolipohjaisesti siten, että Toimittajan omalla henkilökunnalla on työroolinsa mukaiset oikeudet eri tietojärjestelmiin ja alihankkijoilla on oikeudet ainoastaan niihin järjestelmiin, joista ne ovat vastuussa. 6.2 Kapasiteetin hallinta Toimittaja kuvaa tuottamiinsa palveluihin liittyvät kapasiteetin hallintatoiminnot. Toimittaja valvoo kapasiteettia ja sen käyttöä. Tilaajalla on oikeus saada kuormitusraportit tai vastaavat, joista Tilaaja voi arvioida Toimittajan ratkaisujen turvallisuutta ja kyvykkyyttä. Toimittajan päivittää palvelujen tuotantoon liittyvien järjestelyiden kapasiteettilaskelmat aina palveluihin tehtyjen kapasiteettiin vaikuttavien muutosten jälkeen. 6.3 Muutoksenhallinta Muutoksenhallinnan tulee ulottua kaikkeen palvelutuotantoon liittyvään toimintaan niin, että muutokset tietojärjestelmiin, järjestelmäympäristöihin, tiloihin ym. saadaan toteutettua hallitusti, ja tarvittaessa voidaan palata alkuperäiseen tilanteeseen. Toimittaja kuvaa muutoksenhallintamenettelyt kattavasti (prosessi, työkalut, ohjeet) sekä kouluttaa / tiedottaa niiden mukaiset käytännöt tarvittaville sidosryhmille. Muuttuneista kuvauksista ja käytännöistä tiedotetaan koko organisaatiolle sekä tarvittaville sidosryhmille viipymättä. Huoltokatkosten toteutuksesta ja ajankohdista sovitaan erikseen palvelusopimuksessa. Toimittaja testaa muutokset sovitun ja dokumentoidun testausmenettelyn avulla. Toimittaja ylläpitää lokikirjaa tai muutoksenhallintajärjestelmää, johon kaikki muutospyynnöt kirjataan (miksi, mitä, kuka, hyväksyntä, toimenpide). 6.4 Poikkeamatilanteiden hallinta Toimittajalla on sovitut, dokumentoidut ja koulutetut toimintatavat turvallisuuspoikkeamien, häiriöiden sekä väärinkäytöksien hallinnoimiseksi ja käsittelemiseksi. Poikkeamatilanteet raportoidaan Tilaajalle viivytyksettä. Palvelun tuottamiseen liittyvän henkilöstön tulee tietää, kenelle tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa.

8 8(10) Molempien osapuolten tulee välittömästi raportoida havaitsemansa (sekä omasta että muiden toiminnasta aiheutuneet) virheet, uhkat ja riskit, jotka saattavat vaikuttaa turvallisuuteen, palvelujen toimintaan tai jatkuvuuteen. Toimittaja kuvaa toimintaa ja palvelujen tuotantoa uhkaavat tekijät tietoturvasuunnitelmassa tai riskienhallintasuunnitelmassa. Uusien tietoteknisten ratkaisujen toteutuksen yhteydessä Toimittaja arvioi ratkaisuun ja sen käyttöön liittyvät riskit ja täydentää jatkuvuus- ja toipumissuunnitelmia tämän mukaisesti. 7 Tietoverkkojen ja tietoliikenteen turvallisuus Tiedon siirron turvallisuus koostuu laitteista, palvelurakenteesta ja käyttäjistä, sekä niitä ja niiden toimintaa kuvaavasta dokumentaatiosta. Tiedon siirtämisen ja liikkumisen on oltava tunnistettavaa. Tämä edellyttää että tietojen siirrossa käytettävät siirtotiet ja reitit tunnetaan, ja niiden rakenteet (arkkitehtuurit) on kuvattu. Toimittaja ylläpitää käytettävien tietoverkkojen rakenteesta ajantasaista kuvausta. Lisäksi Toimittaja valvoo tietoliikenteen toimivuutta ja kapasiteettia erillisen tietoverkon hallintajärjestelmän avulla. 8 Laitteistoturvallisuus Laitteiston elinkaarta turvataan laitteistoturvallisuudella, johon kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Toimittaja määrittelee ja kuvaa laitteistoturvallisuuteen liittyvät tietoturvamenettelyt vähintään seuraavilta osin: laiterekisteri ja sen ylläpito (mm. omistajuus ja ylläpitotoimenpiteet) laitteiden ja järjestelmien toipumissuunnitelmat varusohjelmistot, niiden versiot, sekä käyttöoikeudet / lisenssit. Palvelutuotannossa tarvittavat laitteet hankitaan tunnetuilta valmistajilta. Hankinnan yhteydessä varmistetaan niiden rakenteellinen soveltuvuus tarkoitukseen sekä tekniseen arkkitehtuuriin. Palvelujen toimittamiseen käytettävien laitteistojen osalta Toimittaja kuvaa niiden suunnitellun elinkaaren. Kuvaukseen sisältyvät laitteistojen poistamiseen liittyvät menettelytavat. Toimittaja valvoo palvelujen tuotantoon käytettäviä laitetta ja niiden toimivuutta ennakkoon kuvatuilla menetelmillä. Valvontaan käytetään erillisiä valvontaohjelmistoja ja laitteiden omia lokitiedostoja. Tilaajalla on oikeus saada käyttöönsä Toimittajalta omaa toimintaansa koskevia lokitietoja sellaisessa muodossa, että Tilaaja tai Tilaajan määrittelemä henkilö kykenee tulkitsemaan saatua tietoa.

9 9(10) 9 Ohjelmistoturvallisuus Ohjelmistoturvallisuuteen kuuluvat. ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt sekä laadunvarmistus. Ohjelmistoturvallisuuden tavoitteena on turvata ohjelmistojen käytettävyys kaikissa olosuhteissa. Tarjotessaan ohjelmistoja Tilaajan käyttöön Toimittajan tulee kyetä: esittämään luettelo käytössä olevista ohjelmistoista ja niiden lisensseistä, esittämään kuvaus ohjelmistojen käytön valvonnasta, esittämään henkilö/henkilöt, jotka toimivat tarjottujen ohjelmistojen osalta omistajan roolissa, kuvaamaan miten havaittuja tietoturvauhkia käsitellään sekä miten poikkeamat hallitaan, kuvamaan miten versio- ja revisiohallinta toteutetaan. 9.1 Järjestelmäarkkitehtuuri 9.2 Versiohallinta Järjestelmäarkkitehtuuriin lasketaan kehitysohjelmistot, varusohjelmistot ja tarvittavat integraatioratkaisut. Valittujen ratkaisujen tulee olla yleisesti käytössä olevia ja standardien mukaisia. Harvinaisten, suljettujen ratkaisujen käyttöä tulee välttää. Ohjelmistoihin liittyvien aineettomien oikeuksien ja niihin liittyvien määritysten tulee olla kaikkien osapuolten tiedossa. Toimittajan tulee tiedottaa Tilaajaa viipymättä kaikista turvallisuuteen vaikuttavista muutoksista. Tehtyjen valintojen vaikutus palvelujen kokonaisturvallisuuteen tulee hyväksyä Tilaajan toimesta. Versiohallinnan osalta Toimittajan tulee varmistaa, että tuotanto- ja kehitysversiot ovat samalla tasolla. Toimittajan tulee arvioida versiovaihdon merkitys koko järjestelmäarkkitehtuuriin ennen ratkaisun käyttöönottoa. Toimittajan tulee huomioida eri rajapintojen mahdolliset päivitystarpeet. Versiovaihdosta sovittaessa Toimittajan tulee kuvata ratkaisun riskit ja niiden hallinta. Toimittajan tulee ylläpitää tietoa palvelujensa elinkaaresta esim. tiekartan muodossa. 10 Tietoaineiston turvallisuus Tietoaineiston turvallisuus koostuu aineiston koko elinkaaren kattavista, tiedon luokittelu- / suojaustason huomioivista käsittelykäytännöistä ja niiden noudattamisesta. Tietoaineiston käsittelyllä tarkoitetaan mm. tiedon luomiseen, tallentamiseen, jatkokäsittelyyn, arkistointiin, tuhoamiseen ja lähettämiseen liittyviä toimenpiteitä.

10 10(10) 11 Asiakirjat Toimittajan tulee huolehtia, että Tilaajan tietoaineiston käsittely tapahtuu tilaajan tietoturvapolitiikan ja määriteltyjen luokittelu- / suojaustasojen mukaisesti (esim. kunnan oma tiedon luokittelu- ja käsittelyohje.) Toimittaja ylläpitää mm. seuraavia turvallisuuteen, riskienhallintaan ja varautumiseen liittyviä dokumentteja: Tietoturvapolitiikka Tietoturvasuunnitelma Pääkäyttäjän tietoturvaohje Tietojärjestelmän omistajan ohje Sähköpostin käyttöohje Tiedon käsittely- ja luokitteluohje Koulutussuunnitelma Koulutusmateriaali (tietoturvan perusteet, ym.) + osallistujarekisteri Riskikartoitus Riskienhallintasuunnitelma Jatkuvuussuunnitelma (palveluille, toiminnoille) Toipumissuunnitelma (järjestelmille, konesaliympäristölle) Valmiussuunnitelma Pelastussuunnitelma Tietovälineiden tuhoamisohjeet Tietosuojaohje Tilaturvallisuusohje (fyysinen pääsynhallinta, vierailijakäytännöt, hälytys-järjestelmät) Käyttövaltuushallinta (politiikka / ohje) Lokitiedostojen käsittelyohje Varmuuskopiointi (varmistusten ottaminen ja palauttaminen) Konesaliympäristöjen kuvaus Tuotantotilojen LVIS -järjestelyjen tekniset kuvaukset, huolto- / testausohjeet Tietoverkkoarkkitehtuuri / -topologia Muut arkkitehtuurikuvaukset Muutoksenhallintaprosessi + ohjeet Tietoturvapoikkeamien hallintaprosessi + ohjeet Henkilöstöluettelo Omaisuuden / inventaarion hallintaan liittyvä dokumentaatio (luettelot järjestelmistä, laitteista, ohjelmistoista, lisensseistä) Ohjeet hälytysjärjestelmien, kulunvalvontajärjestelmän ja kameravalvonnan operoimiseksi Avaintenhallinta (luettelo + kuittaus metalliavaimista ja kulkuavaimista / -korteista).