Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Transkriptio

1 Yleistä hallinnollisesta tietoturvallisuudesta Tukikoulutus joulukuu 2007 Tuija Lehtinen

2 Tieto Tieto on suojattava kohde, jolla on tietty arvo organisaatiossa Tieto voi esiintyä monessa muodossa: painettuna tai kirjoitettuna sähköisesti talletettuna postin kuljettamana nähtynä, kuultuna tai puhuttuna Joulukuu

3 Tietoturvatavoitteet Eheys Käytettävyys (Saatavuus) Luottamuksellisuus Tunnistettavuus Todennettavuus Kiistämättömyys Joulukuu

4 Hyvä tietoturvallisuus Tarkoittaa tilannetta, jossa tietojen, järjestelmien, palveluiden ja tietoliikenteen Luottamuksellisuuteen Eheyteen ja Käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä Lähde: Valtiovarainministeriö Joulukuu

5 Tietoturvavahingot Puutteellinen tietoturvallisuus vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaa lisätyötä ja kustannuksia Mahdollisia syitä Uhkaa ei ole tiedostettu Oikeita menettelyjä ei ole tiedetty Ohjeita ei ole noudatettu Ihminen on suurin uhka Joulukuu

6 Mitä me voimme tehdä?

7 Tietokoneen käyttö työpaikalla Vastaat käyttäjänä omasta koneestasi Ohjelmien asentaminen ja päivittäminen kuuluu tietohallinnolle Kirjaudu koneelle aina omilla käyttöoikeuksillasi Lukitse työasema (Ctrl+Alt+Del ja valitse Lukitse tietokone) Käytä välitallennuksia Käytä tallentamiseen verkkolevyä Kirjaudu ulos sekä ohjelmistoista että koneeltasi ja sammuta tietokoneesi työpäivän päättyessä Joulukuu

8 Käyttöoikeudet ja salasanat Älä luovuta henkilökohtaisia käyttäjätunnuksiasi, salasanojasi, toimikorttiasi tai PIN-koodejasi toisen henkilön käyttöön Vaihda salasanat riittävän usein Käytä riittävän monimutkaisia salasanoja Älä käytä organisaation antamaa käyttäjätunnusta ja salasanaa Internetin palveluihin rekisteröityessäsi Älä käytä yhteistunnuksia Joulukuu

9 Sähköpostiviestien luotettavuus ja luottamuksellisuus Suhtaudu terveen epäluuloisesti sähköpostin luotettavuuteen Varo kalasteluviestejä - älä koskaan luovuta omia henkilökohtaisia tunnuslukuja tai muita tietoja, jos niitä pyydetään sähköpostiviestillä Sähköpostiviestit liikkuvat salaamattomana julkisessa verkossa Älä lähetä sähköpostilla luottamuksellista tietoa, jos käyttämäsi sähköpostiohjelma ei tue viestin salausta Varo haittaohjelmia Kohdista sähköposti oikeille henkilöille ja oikeisiin osoitteisiin, myös valmiita jakelulistoja käyttäessäsi Lähde:Valtiovarainministeriö Joulukuu 2007 tuija.lehtinen@mavi.fi 9

10 Sähköpostin virkakäyttö Sähköposti on työpaikalla tarkoitettu ensisijaisesti työtehtävien suorittamiseen Viranomaisella on velvollisuus käsitellä virkasähköposti Työhön liittyvä sähköposti vastaanotetaan ja ohjataan oman organisaation sähköpostijärjestelmään Työsuhteen päättyessä sähköpostiosoite ja -laatikko poistetaan Lähde:Valtiovarainministeriö Joulukuu

11 Internet Internet on työpaikalla tarkoitettu pääsääntöisesti työkäyttöön Internetin käyttö ei saa vaarantaa organisaation tietoturvallisuutta Internetin palveluissa käytettävä eri salasanoja kuin työpaikan palveluissa Joidenkin ohjelmien käyttö ei ole sallittua työpaikalla tutustu organisaatiosi ohjeisiin Salassa pidettävä ja yksityisyyden suojan piiriin kuuluvat tiedot, viestit ja liitetiedostot on lähtökohtaisesti aina salattava Lähde:Valtiovarainministeriö Joulukuu

12 Toimitilojen turvallisuus Noudata kulunvalvonnasta annettuja ohjeita Älä jätä vierasta yksin tai ilman valvontaa Ohjaa vieraat tai eksyneet henkilöt oikeisiin paikkoihin Pyri käyttämään vierailuihin neuvottelutiloja Huolehdi, ettei neuvottelutiloissa ole esillä asiaankuulumatonta materiaalia Noudata puhtaan pöydän periaatetta Älä jätä suljettuina pidettäväksi tarkoitettuja ovia auki Käytä organisaation toimitiloissa kuvallista henkilökorttiasi Joulukuu

13 Etä- ja matkatyö Huolehdi siirrettävistä laitteista ja tietoaineistoista Älä lataa tai asenna laitteisiin mitään työhön kuulumatonta Huolehdi varmuuskopioinnista Huolehdi käyttäjätunnuksista, salasanoista ja toimikorteista Varmistu, etteivät asiattomat näe käsittelemiäsi tietoja Älä puhu luottamuksellisista asioista julkisilla paikoilla Muista, että kaikkea organisaatiossa tehtävää työtä ei voida tehdä tietoturvallisesti etätyönä Joulukuu

14 Ongelmatilanteet Ilmoita aina ongelmatilanteista välittömästi Tietoturvaloukkaus tai haittaohjelmatartunta: kirjaa muistiin mahdollinen ilmoitus tai varoitus ota yhteys tietohallintoon tai tietoturvavastaavaan noudata saamiasi ohjeita Seuraamukset Joulukuu

15 Pienet asiat suuret vaikutukset Lukitse tietokoneen näyttö Huolehdi vieraistasi Pidä pöytä puhtaana Älä jätä papereitasi kokoustiloihin / kopiokoneille / faxeille Käytä kuvallista henkilökorttia Joulukuu 2007 tuija.lehtinen@mavi.fi 15

16 Jokainen on omalta osaltaan vastuussa tietoturvallisuudesta Joulukuu

17 Tietoturvallisuuden erityiskysymyksiä Tietoturvallisuus hallinnollisessa ohjeessa

18 Yleistä Komission asetus (EY) N:o 885/2006 Ohje koskee kaikkia kuntia Ei huomioitu kuntakohtaisia erityiskysymyksiä riskien arviointi välttämätöntä Joulukuu

19 Sisältö Tietoturvapolitiikka Organisointi ja vastuut Suojattavat kohteet ja hyväksyttävä käyttö Riskien arviointi ja käsittely Tiedot Henkilöstö Toimitilat ja laitteet Tietoliikenne ja käyttötoiminnot Telefax ja sähköposti Kopiot ja tulosteet Pääsyoikeudet Tietoturvahäiriöt Toiminnan jatkuvuus Vaatimustenmukaisuus Joulukuu

20 Tietoturvapolitiikka Ehdoton vaatimus Johdon tuki Tavoitteet Organisointi Seuranta Voimassaolo Politiikan tulee olla julkaistu ja tiedotettu henkilöstölle Malli liitteenä Joulukuu

21 Joulukuu

22 Organisointi ja vastuut Vastuut ja tehtävät sekä niiden jakautuminen eri henkilöille Jokaisella on vastuu tietoturvallisuudesta Kenelle ilmoitetaan puutteista, väärinkäytöksistä tai tietoturvallisuutta vaarantavista seikoista Salassapito- tai vaitiolositoumus Sopimus palvelutoimittajien kanssa Tarvitaanko mallia? Joulukuu

23 Suojattavat kohteet ja hyväksyttävä käyttö Tehtävien hoitamisen kannalta kriittiset resurssit Yksilöitävä, luetteloitava, nimettävä vastuuhenkilö Esim. asiakirjat, tiedot, henkilöstö, infra Tarkistettava säännöllisesti Päivitettävä tarvittaessa Hyödynnetään riskien arvioinnissa Malli? Joulukuu

24 Riskien arviointi ja käsittely Tehdään ensisijaisesti suojattavista kohteista Yksilöidään riskit ja arvioidaan niiden suuruus / vaikuttavuus Ohjaa tietoturvajärjestelyjä Arviointi / tarkistaminen vähintään kerran vuodessa Huom! Tarkoituksenmukaisuus Ohje? Malli? Joulukuu 2007 tuija.lehtinen@mavi.fi 24

25 Tiedot Tiedot suojattava riittävästi Ei-julkiset asiakirjat pois näkyvistä Asiakirjojen toimittaminen Asioiden käsittely puhelimessa Paloturvallisuus Hävittäminen Huom! Vuoden 1995 hakemukset ja päätökset säilytettävä pysyvästi Joulukuu

26 Tiedot Jos maataloushallinnon alkuperäisiä hakemuksia ja asiakirjoja siirretään kunnan virastosta / arkistosta muualle, on niistä otettava kopiot ennen siirtoa Kopiot tulee säilyttää ko. kunnan virastossa / arkistossa, kunnes alkuperäiset hakemukset ja asiakirjat on palautettu takaisin kunnan virastoon Joulukuu 2007 tuija.lehtinen@mavi.fi 26

27 Henkilöstö Tietoturvatietoisuus Tietoturvakoulutus Toimet palvelusuhteen päättyessä asiakirjat pääsy tietojärjestelmiin pääsy tietojen säilytystiloihin Joulukuu

28 Toimitilat ja laitteet Ovien ja ikkunoiden lukitus Paloturvallisuus Asiointitilat erillinen palvelupiste asiakirjojen säilytys työhuoneissa näytön suuntaus kopiokoneet, telefaksit Tietojenkäsittelylaitteiden suojaus Joulukuu

29 Tietoliikenne ja käyttötoiminnot Päivitykset, huollot ja korjaukset säännöllisesti Haittaohjelmilta suojautuminen (virustorjunta) Palomuurit Lokitiedot Tietovälineiden hävitys Ohjeistus ohjelmien asentamisesta ja tallennusvälineiden käytöstä Joulukuu

30 Telefax ja sähköposti Ei-julkisen tiedon lähetys telefaksilla vältettävä, jos mahdollista varmistuttava vastaanottajasta Ei-julkisen tiedon lähetys sähköpostilla varmennettuna sisäverkossa salattuna sisäverkon ulkopuolelle Joulukuu

31 Kopiot ja tulosteet Samat suojausvelvoitteet kuin alkuperäisillä dokumenteilla Kopiointi ja tulostaminen yhteisellä laitteella Joulukuu

32 Pääsyoikeudet Työtehtävien mukaisesti Haku, ylläpito ja poisto maksajaviraston ohjeistamalla tavalla Käyttäjätunnus, salasana ja avainlukulista ovat henkilökohtaisia Käyttäjätunnuksen, salasanan ja avainlukulistan säilytys Salasana vaihdettava riittävän usein Kompleksisuus Erillinen salasana rekisteröidyttäessä avoimiin palveluihin Joulukuu

33 Tietoturvahäiriöt Ongelmatilanteet ja epäilyttävät havainnot on kirjattava ja niistä on ilmoitettava vastuuhenkilölle Tietojärjestelmän tekniset ongelmat Mavin tietojärjestelmätukeen Tietojärjestelmän ja tietoturvallisuuden vaarantuminen ja uhka ilmoitetaan Mavin tietoturvapäällikölle Joulukuu

34 Toiminnan jatkuvuus Häiriöihin ja keskeytyksiin varauduttava Riskien arviointi, jatkuvuussuunnitelmat ja suunnitelmien testaus Tukihakemuslomakkeiden säilytys tallennusjärjestyksessä Joulukuu

35 Vaatimustenmukaisuus Säädökset ja määräykset julkisuuslaki ja -asetus henkilötietolaki ja asetus jne. Joulukuu

36 Kunnista tulleita kysymyksiä Voiko koko kuntaa koskeva tietoturvaohjeistus korvata Mavilta delegoitujen tehtävien tietoturvaohjeistuksen? Tarvitaanko lisäksi maaseutupuolta koskevaa lisädokumentaatiota? Kuinka tehdään riskien arviointi ja käsittely? Johdon tuki / ylimmän johdon sitoutuminen? Voiko tietoturvallisuudesta vastata joku muu kuin ylin johto? Pitääkö tietoturvaohjeet hyväksyttää johdolla? Voidaanko kunnassa noudattaa naapurikunnan antamaa tietoturvaohjetta? Joulukuu 2007 tuija.lehtinen@mavi.fi 36

37 Kiitos! Joulukuu