KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAMÄÄRÄYKSET 2012

Transkriptio

1 LUOTTAMUKSELLINEN KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAMÄÄRÄYKSET 2012 Päivitetty * * Keski-Pohjanmaan IT-Aluekeskuksen (KPA) tietoturvamääräykset perustuvat Kirkkohallituksen asettamiin Kirkon yleisiin tietoturvamääräyksiin, joita päivitetään ja tarkastellaan säännöllisesti.

2 Suomen evankelis-luterilainen kirkko Sivu 2 / 36 Sisältö 1. Tietoturvallisuuden hallinta Resursointi Ohjeistus resursointiin liittyen Tietoturvapolitiikka ja ohjeistukset Yhteistyökumppanit ja ulkoisten palveluiden hallinta Toimintaprosessit Tietoverkkojen tietoturvallisuus Tietoverkkojen käyttäminen ja kehittäminen Tietoverkon lokitietojen kerääminen Työasemien tietoturvallisuus Työasemien sovellukset ja käyttöjärjestelmät Työasemien käyttäminen Työasemien hallinta Palvelinten tietoturvallisuus Palvelinten sovellukset ja käyttöjärjestelmät Palvelinten hallinta Varmistaminen ja dokumentointi Käyttöoikeuksien turvallisuus Käyttöoikeuksien elinkaaren hallinta Käyttöoikeuksien henkilökohtaisuus...35

3 Suomen evankelis-luterilainen kirkko Sivu 3 / Tietoturvallisuuden hallinta Osa-alueen nimi Tavoitteet Siirtymätaso 1.1 Resursointi Tietoturvallisuuteen liittyvien käytännön tehtävien hoitoon on varattu riittävä määrä resursseja. Myös varahenkilöratkaisut on otettu huomioon. 1. Jokaisella IT-alueella/seurakuntataloudella¹ tulee olla tietoturvaryhmä. Sen tehtävänä on laatia ja ylläpitää oman alueensa tietoturvapolitiikkaa ja tietoturvallisuuteen liittyviä määräyksiä ja -ohjeita koko kirkkoa koskevien linjausten mukaisesti. Lisäksi se valvoo tietoturvamääräysten ja -ohjeiden noudattamista, käsittelee ajankohtaisia tietoturvallisuutta koskevia kysymyksiä sekä suunnittelee ja järjestää tietoturvallisuuteen liittyvää koulutusta yhteistyössä tietoturvavastaavan ja tietoturvan yhdyshenkilöiden kanssa. Suuressa seurakuntataloudessa voidaan tarvittaessa perustaa oma tietoturvaryhmä, jos toiminnan laajuuden ja erityistarpeiden katsotaan sitä edellyttävän. Tällöin tietoturvaryhmä tarkentaa IT-alueen tietoturvaryhmän laatimia määräyksiä ja ohjeita paikallisia tarpeita vastaaviksi ja käsittelee paikallisia ja ajankohtaisia tietoturvallisuutta koskevia kysymyksiä. 2. Jokaisella IT-alueella/seurakuntataloudella tulee olla nimettytietoturvavastaava. Hänen tehtävänä on kehittää jatkuvasti ja aktiivisesti alueen seurakuntien tietoturvallisuutta. Hän vastaa tietoturvallisuuteen liittyvien määräysten ja ohjeiden tiedottamisesta tietoturvan yhdyshenkilöille, esimiehille ja kaikille työntekijöille. Lisäksi hän ottaa vastaan havaintoja tietoturvallisuuteen liittyvistä tapahtumista ja poikkeamista ja raportoi ne säännöllisesti tietoturvaryhmälle ja kirkkohallitukselle. Perustaso 3. Jokaisella seurakuntataloudella tulee olla nimetty tietoturvan yhdyshenkilö. Hän huolehtii tietoturvallisuuteen liittyvien määräysten ja -ohjeiden tiedottamisesta kaikille työntekijöille ja osallistuu esimiesten tukena uusien työntekijöiden perehdyttämiseen tietoturvallisuutta koskevissa kysymyksissä. Lisäksi hän ottaa vastaan ilmoituksia seurakuntataloudessaan havaituista tietoturvallisuuteen liittyvistä tapahtumista ja poikkeamista ja raportoi niistä tietoturvavastaavalle ja oman seurakuntataloutensa esimiehille. 1. Tietoturvallisuustyötä tekevien työntekijöiden toimenkuvauksiin on päivitettävä tieto työntekijän rooleista ja vastuista. 2. IT-alueella ja seurakuntataloudessa on oltava riittävästi ammattitaitoista henkilöstöä, jotta tässä dokumentissa esitettyjen turvallisuusvaatimusten käytännön toteuttaminen on realistisesti mahdollista, ottaen huomioon mm. henkilöstön lo-

4 Suomen evankelis-luterilainen kirkko Sivu 4 / 36 mat ja muut poissaolot. 3. Tietoturvallisuuden resursointi huomioidaan IT-alueen ja seurakuntatalouden talousarviossa ja toimita ja taloussuunnitelmassa. ¹ IT-alue on kahden tai useamman itsenäisen seurakuntatalouden sopimuspohjainen IT-yhteistyöalue. Seurakuntatalous on itsenäinen seurakunta tai seurakuntayhtymä. Mitä tässä asiakirjassa sanotaan seurakuntataloudesta, koskee vastaavasti myös tuomiokapitulia ja kirkkohallitusta. Merkinnällä IT-alue/seurakuntatalous tarkoitetaan tässä asiakirjassa sitä, että asia koskee kaikkia seurakuntatalouksia, mutta asia on järkevä järjestää yhteisenä koko IT-alueella. Esimerkiksi tietoturvaryhmän on järkevää olla yhteinen IT-alueen kaikkien seurakuntien kanssa.

5 Suomen evankelis-luterilainen kirkko Sivu 5 / Ohjeistus resursointiin liittyen Vastuu tietoturvan järjestämisestä Tietoturvallisuusvastuut kuvataan Tietoturvapolitiikassa. Erityisesti organisoinnissa tulee kiinnittää huomioita seuraaviin kokonaisuuksiin: Johdon sitoutuminen tietoturvallisuuteen, joka tarkoittaa selkeää suuntaa ja näkyvää johdon tukea turvallisuusaloitteille. Varmistetaan seurakunnan tasolla, että tietoturvatavoitteet yksilöidään henkilötasolle asti, toisin sanoen kerrotaan jokaiselle henkilölle hänen tavoitteensa tietoturvallisuuden suhteen. Tarjotaan tarvittavat resurssit ja riittävästi aikaa tietoturvallisuuden kehittämiseen. Tämä tarkoittaa tietoturvan yhteyshenkilön nimeämistä ja työn kuvaamista siten. Hyväksytään tietoturvallisuutta koskevat erityiset tehtävät ja velvollisuudet koko organisaatiota varten Varmistetaan että tietoturvamekanismit on koordinoitu koko organisaatiossa Määritellään seurakunnan toimivalta- ja vastuusuhteet Määritellään seurakunnan tiedotus- ja koulutuspolitiikka Keski-Pohjanmaan IT-aluekeskuksen tietoturvallisuuden organisointikaavio

6 Suomen evankelis-luterilainen kirkko Sivu 6 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 1.3 Tietoturvapolitiikka ja ohjeistukset Tarvittavat politiikat ja ohjeistukset ovat olemassa, ne pidetään ajan tasalla ja käyttäjien saatavilla. Käyttäjiä koulutetaan ja informoidaan säännöllisesti uusista ohjeista ja määräyksistä. 1. IT-alueella/seurakuntatalouksilla on oltava ajantasainen tietoturvapolitiikka ja sitä tarkentavat ohjeistukset, jotka ovat linjassa koko kirkon tietoturvamääräysten kanssa. Em. ajantasaisten asiakirjojen tulee olla aina työntekijöiden saatavilla. 2. Tieto olemassa olevista tietoturvapolitiikoista, -määräyksistä ja - ohjeista on välitettävä koko henkilökunnalle. Esimiehet ovat velvollisia välittämään tietoa alaisilleen. 3. Tietoturvallisuuteen liittyviä riskejä on arvioitava säännöllisesti ja säännönmukaisesti. Uusiin ja muuttuneisiin riskeihin on reagoitava asian mukaisesti. 4. Seurakuntataloudella on oltava toimivat käytännöt tietojen elinkaaren hallintaa varten, kattaen tietojen luokittelun, säilyttämisen, välittämisen ja tuhoamisen. 5. Työntekijöille järjestetään säännöllistä tietoturvakoulutusta. 6. Työntekijöiden on allekirjoitettava salassapitositoumus ennen töiden aloittamista. 1. Tietoturvallisuuteen liittyvien ohjeiden ja määräysten noudattamista valvotaan ja poikkeamiin puututaan. 2. Seurakuntatalous on velvollinen auditoimaan² tietoturvallisuutensa tason säännöllisesti ulkopuolisen tahon tekemänä. ² Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) on laatinut laajan tietoturvasanaston. Sen mukaisia ja tietoturva-alan vakiintuneita käsitteitä on käytetty myös tässä asiakirjassa. Auditointi on arviointi/testaus, jonka tarkoituksena on tarkastella esimerkiksi tietoturvamekanismien toimivuutta. KPA:n ohjeistus tietoturvapolitiikan, määräysten ja tietoturvaohjeiden osalta Ajantasainen tietoturvapolitiikka, tietoturvamääräykset, liitteet, esimerkkitiedostot ja käsiohje ovat saatavilla verkossa: Q:\Aluekeskuksen yhteinen\tietoturva

7 Suomen evankelis-luterilainen kirkko Sivu 7 / 36 Tietoturvariskien kartoittaminen, tarkastelu ja määrittely Tietoturvariskien määrittely tehdään kirkon tietoturvaryhmän toimesta. IT-alueiden ja seurakuntien tulee arvioida omaa toimintaa tunnistettujen riskien kautta. Lisäksi seurakuntien tulee arvioida riskien toteutumisen todennäköisyys ja vaikutus omaan toimintaan. Arviointia tehdään tarpeen mukaan, mutta vähintään kerran vuodessa. Ajantasainen koko IT-aluetta koskettava riskianalyysi löytyy verkosta: Q:\Aluekeskuksen yhteinen\tietoturva (LIITE1 - KPA - Riskianalyysitaulukko vuodelle 2012.pdf) Esimerkki riskianalyysitaulukosta: Riskialue Riskin kuvaus Todennäköisyys (asteikko 1-5) Johtaminen Toimitilojen suojaus Johdolla ei ole riittävää osaamista tai tietoa organisaation tietoturvariskeistä. Seurakunta ei ole rajannut tietojenkäsittelytiloja yleisistä tiloista ja näin ollen pääsy luottamukselliseen tietoon ei ole asianmukaisesti suojattu Vaikutus (asteikko 1-5) Riskialue Riskin kuvaus Todennäköisyys (asteikko 1-5tus ( Tietoturvasitoumus Osana työsopimuksen allekirjoitusta, työntekijän tulee hyväksyä ja allekirjoittaa ehdot, joissa ilmaistaan työntekijän vastuut tietoturvallisuudesta ja että hän on ymmärtänyt tehtävänkuvansa tietoturvavastuut. Mikäli työntekijän työnkuva niin edellyttää, hänen tulee lisäksi allekirjoittaa myös erillinen salassapitositoumus (LIITE3). Ne työntekijät jotka eivät ole suorassa työsuhteessa seurakunnan kanssa (esim. vapaaehtoistyöntekijät) allekirjoittavat sitoumuksen noudattaa samoja yleisiä tietoturvaohjeita sekä määräyksiä. Yhteistyötahojen velvoitteita on kuvattu kohdassa 1.3 (Yhteistyökumppanit ja ulkoisten palveluiden hallinta). Tietoturvakoulutus Työnantaja vastaa ja huolehtii siitä että henkilöstö saa asianmukaista tietoturvakoulutusta. Koulutuksessa tulee keskittyä siihen mikä on työntekijän henkilökohtainen vastuu ja oleelliset tietoturva-asiat omien työtehtävien suorittamisen kannalta.

8 Suomen evankelis-luterilainen kirkko Sivu 8 / 36 Tietotyyppien luokittelu ja niiden elinkaaren hallinta Kaikki suojattava tieto tulee luetteloida ja luokitella seurakunnan toimesta aihealueittain (esim. Johtoryhmän pöytäkirjat). Luetteloissa tulee olla myös maininta miten tietoa säilytetään, välitetään ja hävitetään. Julkista sisältöä ei tarvitse luetteloida erikseen. IT-alueen tietoturvaryhmä hyödyntää luetteloita kartoittaessaan tietoturvariskejä. Suojattavien aineistojen käsittelytavat ja elinkaaren hallinta tulee myös antaa tiedoksi tietoturvakoulutuksen yhteydessä työntekijöille. IT-alueen tietoturvaryhmä on nimennyt suojattaville tiedoille alueen yhtenäiset turvaluokat. Tietoaineiston tietoturvallisuuden luokitteluvastuu on pääsääntöisesti aineiston laatijalla. Luokittelu koskee myös luonnosasiakirjoja. Tietosisällön tietoturvallisuustasot ovat: Erittäin salainen Salainen Luottamuksellinen Julkinen Kaikki turvaluokitellut ja muut salassa pidettävät asiakirjat ja tiedot on pidettävä salassa, eikä tietoja saa antaa sivullisten käyttöön. Kyseisten asiakirjojen eri turvaluokkien mukaiset käsittelyvaatimukset riippuvat asiakirjojen sisältämien tietojen paljastumisen aiheuttaman haitan merkittävyydestä kirkolle tai sille kohteelle, jonka etujen suojaamiseksi asiakirja on luokiteltu salassa pidettäväksi. Salaista tietoaineistoa ovat esimerkiksi henkilöstörekisteri sekä palkkahallinnon tietovarat.

9 Suomen evankelis-luterilainen kirkko Sivu 9 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 1.4 Yhteistyökumppanit ja ulkoisten palveluiden hallinta Ulkopuolisilta toimijoilta vaaditaan samaa tietoturvallisuuden tasoa kuin mitä omassa toiminnassa pyritään toteuttamaan. Tietoturvallisuus otetaan huomioon jo uusien hankkeiden ja hankintojen alkumetreillä. 1. Ulkoistusten ja IT-palveluiden mahdollisen hankinnan yhteydessä ulkopuolisilta työntekijöiltä on edellytettävä riittävää koulutusta ja ammattitaitoa. 2. Ulkopuolisilta työntekijöiltä tulee vaatia salassapitositoumuksen allekirjoittamista ennen töiden aloittamista. 3. Ulkopuolisia työntekijöitä sitovat samat tietoturvamääräykset ja ohjeet kuin kirkon omaa henkilöstöäkin. Ulkopuolisen työntekijän palkkaava taho on velvollinen saattamaan tiedoksi kaikki asiaan liittyvä ohjeistus. 1. Yhteistyökumppaneille asetetaan tarvittavat tietoturvavaatimukset jo tarjouspyyntö- tai sopimusneuvotteluvaiheessa. 2. Yhteistyökumppaneiden kanssa järjestetään riittävän usein kokouksia, joissa käsitellään tietoturvallisuuteen liittyviä asioita kuten havaittuja ja toteutuneita riskejä sekä tulevaisuuden tarpeita. KPA:n ohjeistus yhteistyökumppanien ja ulkoisten palveluiden hallinnasta Ulkoiset työntekijät Ulkoisia työntekijöitä ovat ne työntekijät joilla ei ole virkamääräystä, työsopimusta tai palkallista harjoittelusopimusta seurakunnan kanssa. Näille työntekijöille (esim. vapaaehtoistyöntekijät tai TETharjoittelijat) perustetaan erillinen tunnus, jolla on pääsy vain tarkkaan rajattuun aineistoon. Käyttäjätunnus haetaan samalla lomakkeella kuin työsuhteisten työntekijöiden käyttäjätunnukset (LIITE2). Kaikille ulkoisille työntekijöille ei tule hakea käyttäjätunnusta. Tehtävä jossa ulkoinen työntekijä toimii, tulee edellyttää perusteltua pääsyä kirkon yhteiseen verkkoon. Lisäksi ulkoisten työntekijöiden tunnuksissa tulee huomioida seuraavat asiat: Tunnus on aina määräaikainen ja enintään vuoden voimassa yhtäjaksoisesti. Ulkoisten työntekijöiden käyttäjätunnuksilla on aina nimetty vastuuhenkilö (esimies tai työntekijä). Ulkoisten toimijoiden tietoturvasitoumus Seurakunnan johdon vastuulla on varmistaa että ulkopuoliset toimijat ovat tietoisia tietoturvallisuuteen kohdistuvista uhkista ja niiden merkityksestä ja tunnistavat omat velvollisuutensa sekä vastuunsa. Johdon tulee myös edellyttää, että ulkopuoliset toimijat noudattavat turvallisuutta organisaation luotujen periaatteiden ja menettelytapojen mukaisesti. Osana sopimuksen allekirjoitusta, ulkopuolisen toimijan tulee hyväksyä ja allekirjoittaa ehdot, joissa ilmaistaan ulkopuolisen toimijan vastuut tietoturvallisuudesta. Tietoturvasitoumukseen voidaan sisällyttää myös salassapitosopimus (LIITE3).

10 Suomen evankelis-luterilainen kirkko Sivu 10 / 36 Palvelutasosopimus Vastuuhenkilö tarkastaa ulkopuolisten toimijoiden kanssa tehtyjen sopimusten toteuttamisen, noudattamisen, muutosten hallinnan ja varmistaa, että toimitetut palvelut täyttävät kaikki ulkopuolisen tahon kanssa sovitut vaatimukset. Kolmannen osapuolen toimittamat palvelut sisältävät sovitut turvallisuusjärjestelyt, palvelumäärittelyt, ja palvelunhallinnan näkökohdat niiltä osin kuin tehtävä työ sitä edellyttää. Kolmannen osapuolen palveluiden tarkkailun ja katselmoinnin osalta varmistetaan, että sopimusten tietoturvaehtoja noudatetaan, ja että tietoturvaan vaikuttavia tapauksia ja ongelmia hallitaan asianmukaisesti. Tietoturvallisuuden osalta palvelutasosopimuksessa on määritettävä: Tietoturvallisuuteen liittyvän raportoinnin laajuus ja raportointiväli. Tiedottamiseen liittyvät vastuut ja reagointiaika tietoturvapoikkeaman havaitsemisesta tiedottamiseen. Palvelutasosopimusten mukaisesti palvelutoimittaja on velvollinen raportoimaan tietoturvan tasosta säännöllisin väliajoin. Ulkopuolisten toimittajien vastuu Ulkoisten toimittajien osalta palvelun tilaajan vastuulla on: Varmistaa tehdyn työn laatu ja täsmällisyys. Tarkistaa palveluun liittyvät turvallisuustoiminnot. Mahdolliset lisenssijärjestelyt. Mahdolliset asennusta tai käyttöönottoa edeltävät testausvaiheet tietoturvapuutteiden havaitsemista varten.

11 Suomen evankelis-luterilainen kirkko Sivu 11 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso KPA:n ohjeistus toimintaprosessien osalta Prosessien kuvaus ja dokumentointi 1.5 Toimintaprosessit Seurakuntatalouden toiminta on suunnitelmallista ja toistettavaa. Poikkeamatilanteisiin reagoidaan määrätietoisesti ja tietoa jaetaan ITalueiden välillä. 1. IT-alueella/seurakuntatalouksilla on toimivat prosessit ITtoimintojensa hoitamiseen. Prosesseja on tarpeen mukaan päivitettävä. Prosesseissa on otettu huomioon tietoturvallisuusnäkökulma. 2. Seurakuntataloudella on valmiussuunnitelma, jonka toimivuutta testataan säännöllisesti. 3. Avaintoimintojen ja prosessien toiminnan kannalta suojeltavat kohteet on tunnistettu ja luokiteltu. 4. Seurakuntatalous tuntee toimintaansa säätelevät lait ja muut säädökset ja määräykset 1. IT-alueella/seurakuntatalouksilla on oltava toimivat prosessit, joiden avulla tietoturvapolitiikkaa ja ohjeistusta arvioidaan vuosittain ja päivitetään tarpeen mukaan. 2. IT-alueella/seurakuntatalouksilla on oltava prosessit ja ohjeistukset tietoturvapoikkeamien varalta. Näiden tulee ottaa kantaa tietoturvapoikkeamien havaitsemiseen, niihin reagoimiseen, seuraamusten käsittelyyn ja normaalitoimintaan palaamiseen. 3. Tietoturvapoikkeamat tulee raportoida ja analysoida jälkikäteen poikkeamien syntymissyiden tunnistamiseksi ja korvaavien toimenpiteiden toteuttamiseksi. 4. Tietoturvapoikkeamista vaihdetaan tietoa muiden IT-alueiden tietoturvaryhmien kanssa ja muiden alueiden kokemuksia hyödynnetään. IT-alueella ja seurakuntatalouksilla on yhteiset kuvatut toimintatavat tietojenkäsittelyyn liittyvien prosessien osalta. Nämä prosessit ovat kuvattuna ja ylläpidettävänä Keski-Pohjanmaan IT-aluekeskuksella. Kuvattuja toimintatapoja ovat tietohallinnon operatiiviseen toimintaan liittyvät asiat, kuten: IT-laitteiden hankinta ja elinkaari tukipalvelujen järjestäminen virhetilanteiden hallinta ongelmanhallinta muutoshallinta

12 Suomen evankelis-luterilainen kirkko Sivu 12 / 36 tiedon varmistaminen sekä palauttaminen Prosessikaavioiden ulkoisen auditoinnin hoitaa IT-tilintarkastaja, eivätkä kaikki kuvaukset ole tarkoitettujulkiseen jakeluun, sillä osa niistä sisältää luottamuksellista aineistoa. Esimerkki IT-tukipalveluprosessin yleiskuvauksesta

13 Suomen evankelis-luterilainen kirkko Sivu 13 / 36 Esimerkki muutoshallintaprosessin kuvauksesta:

14 Suomen evankelis-luterilainen kirkko Sivu 14 / 36 Tietoturvallisuuden arviointi ja ylläpito Jokainen työntekijä on velvollinen ilmoittamaan havaitsemastaan tietoturvapoikkeamasta viipymättä. Raportointitietoturvatapahtumasta on suoritettava välittömästi kun tapahtuma havaitaan. Tietoturvatapahtumista raportoidaan joko seurakunnan tietoturvallisuuden yhteyshenkilölle tai esimiehelle. Raportoinnissa voidaan hyödyntää tapauskohtaisesti yleistä esimerkkiä tietoturvapoikkeaman dokumentoinnista (LIITE5). Tietoturvallisuuden tasoa voidaan arvioida IT-alueella tietoturvaryhmän puolelta seuraavilla menetelmillä: Tietoturvapoikkeamien lukumäärä tarkastelujaksolla Tietoturvatietoiskujen lukumäärä tarkastelujaksolla Allekirjoittamattomien tietoturvasitoumusten määrä suhteessa työntekijämäärään Tietoturvallisuuden katselmointi seurakunnissa (pistotestit) Tietoturvallisuuspoikkeamien luokittelu Tietoturvapoikkeamat luokitellaan niiden järjestelmälle aiheuttaman vaikutuksen mukaan: Ei tietoturvapoikkeamaa: Havaittu ilmiö on tietojärjestelmän tai verkon normaalia häiriötoimintaa, joka ei sisällä tietoturvaa vaarantavia ominaisuuksia. Lievä: Tietoturvapoikkeama vaikuttaa lähinnä yksittäiseen käyttäjään. Vaikutus ei estä normaalia työntekoa. Tietojen eheys ja luottamuksellisuus eivät ole vaarassa. Hyökkääjä ei ole päässyt ohi verkon turvajärjestelmistä. Esimerkkejä: Palomuurijärjestelmä havaitsee tunkeutumisyrityksen. Kohtalainen: Tietoturvapoikkeama uhkaa yksittäisen palvelun tai käyttäjän toimintakykyä. Tietojen eheys tai luottamuksellisuus on vaarassa. Esimerkkejä: Virus saastuttaa yksittäisen käyttäjän työaseman. Sähköposti täyttyy roskapostista. Vakava: Tietoturvapoikkeama on rikkonut Kirkon tietojenkäsittelyrauhaa. Poikkeamatilanne saattaa laajeta ilman käyttöhenkilöstön toimenpiteitä. Esimerkkejä: Hyökkääjä kaappaa yksittäisen käyttäjän ja/tai pääkäyttäjän oikeudet tietojärjestelmään esimerkiksi haittaohjelman avulla. Hyökkääjä pystyy etsimään haavoittuvuuksia organisaation tietoverkosta käyttämällä hyväkseen kaappaamiaan käyttöoikeuksia. Palkanmaksujärjestelmän käyttämä henkilöstötietokanta korruptoituu. Kriittinen: Poikkeamalla on organisaation toimintakyvyn lamaannuttava vaikutus. Poikkeaman hallinta ei onnistu ilman radikaaleja palveluiden käytettävyyteen vaikuttavia toimenpiteitä. Esimerkkejä:

15 Suomen evankelis-luterilainen kirkko Sivu 15 / 36 Kirkon verkkoliikenteeseen kohdistuva palvelunestohyökkäys lamaannuttaa kaiken ulos suuntautuvan tietoliikenteen. Hyökkäys vaikuttaa myös yhteydet toimittaneen palveluntarjoajan verkkoon. Haittaohjelmaepidemia saastuttaa valtaosan kirkon työasema- ja palvelinkannasta. Palvelintila vahingoittuu esimerkiksi tulipalossa tai vesivahingon yhteydessä. Tietoturvallisuuspoikkeamiin reagointi Kaikkien tietoturvapoikkeamien osalta tulee raportoida tietoturvan yhteyshenkilölle tai esimiehelle. Tietoturvapoikkeamat tulee kirjata seurantaa varten. Tietoturvapoikkeamien raportoinnissa aika on kriittinen tekijä. Mitä nopeammin tieto poikkeamasta saadaan eteenpäin asianomaisille, vältytään suurilta vahingoilta ja käyttökatkoilta. Tietoturvapoikkeamien ratkaisutyöhön kuuluvat seuraavat vaiheet turvaluokituksesta riippumatta: Häiriöstä tai poikkeamasta tiedottaminen henkilöstölle, tietoturvan yhdyshenkilölle, esimiehille ja IT -aluekeskukselle. Raportointi väliaikaisista hätätoimista IT-alueen tietoturvavastaavalle tai IT-aluekeskukselle. Häiriön/poikkeaman rajoittaminen, jonka tekee IT-alueen tietoturvavastaava yhdessä ITaluekeskuksen henkilöstön kanssa. Häiriön/poikkeaman syyn analysointi ja yksilöinti, jonka tekee IT-alueen tietoturvavastaava yhdessä IT-aluekeskuksen henkilöstön kanssa. Korjaavien toimenpiteiden dokumentoiminen, joka kuuluu kaikkien tietoturvapoikkeaman poistamiseen osallistuville tahoille. Jokainen dokumentoi oman työnsä parhaalla näkemällään tavalla, josta asia siirretään IT-alueen yhteiseen arkistoon. Jotta tilanne ei toistu, suunnitellaan ja toteutetaan tarvittavat jatkotoimenpiteet. Tarvittaessa konsultoidaan koko kirkon tietoturvavastaavaa. Yhteydenpito niihin joihin poikkeustilanteesta toipuminen vaikuttaa tai jotka muuten ovat sen kanssa tekemisissä. Tarvittaessa raportointi viranomaiselle tehdään kirkon tietoturvavastaavan toimesta. Tietoturvahäiriöiden arvioinnista saatua tietoa käytetään apuna toistuvien tai vaikutukseltaan merkittävien häiriöiden tunnistamisessa. Siksi on tärkeää, että koko tietoturvapoikkeaman elinkaaren ajalta löytyy dokumentaatiota sen aiheuttamista haitoista ja haittojen korjaamiseksi tehdyistä toimenpiteistä.

16 Suomen evankelis-luterilainen kirkko Sivu 16 / 36 2.Tietoverkkojen tietoturvallisuus Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 2.1 Tietoverkkojen käyttäminen ja kehittäminen Tietoturvallisuusvaatimukset otetaan huomioon tietoverkkoja suunniteltaessa ja niitä käytettäessä. 1. Kaiken tietoliikenteen KIRKKO -verkon³ ja ulkopuolisten verkkojen välillä on kuljettava KIRKKO -verkon keskitetyn palomuurin kautta. Suoria yhteyksiä Internettiin tai muihin verkkoihin saa muodostaa vain erityisen painavista syistä. Jos suoria yhteyksiä muodostetaan (esimerkiksi hallintayhteys palvelimeen ulkoiselle toimijalle) on kyseinen liikenne eristettävä KIRKKO -verkosta (esimerkiksi erillisiä Internet-liittymiä käyttämällä) ja dokumentoitava huolellisesti. 2. Seurakuntatalouden tietoverkkoon ei saa liittää muita kuin seurakuntatalouden omia, annetut vaatimukset täyttäviä laitteita. Mahdollista vierailijakäyttöä varten on hankittava erillinen Internet-liittymä tai rakennettava vierailijaverkko, joka on eristetty KIRKKO-verkosta. 3. Langattomia verkkoja toteutettaessa on otettava huomioon niihin kohdistuvat tietoturvariskit. Päätelaitteiden tunnistaminen ja liikenteen salaaminen on toteutettava varmenteita ja vahvoja salausalgoritmeja käyttäen 802.1x standardin suositusten mukaisesti. 1. Pääsy verkon aktiivilaitteiden hallintakäyttöliittymiin on suojattava vahvalla salasanalla. KPA:n ohjeistus tietoverkkojen tietoturvallisuuden osalta Verkon aktiivilaitteiden käyttäminen, säilyttäminen ja ylläpito KIRKKO -verkon aktiivilaitteiden (kytkimet, reitittimet, kytkentärimat ja jne.) tulee olla suojatussa ja lukitussa tilassa siten että niihin on pääsy vain rajatulla henkilöstöryhmällä. Kyseisiä aktiivilaitteita ei myöskään saa hankkia ilman IT-aluekeskuksen lupaa. Kaikki seurakunnan tiloissa olevat verkkokaapeleiden kytkentärasiat tulee olla henkilöstön valvonnan piirissä. Teknisistä ja ohjelmallisista rajoituksista liittyen KIRKKO verkkoon kytkeytymisestä vastaa IT-aluekeskus. ³ KIRKKO -verkko on Suomen evankelis-luterilaisen kirkon suojattu sisäverkko, johon kaikkien seurakuntatalouksien paikalliset verkot kuuluvat. Vahva salasana on vähintään 8 merkkiä pitkä, se sisältää vähintään kolmea merkkityyppiä (numeroita, isoja kirjaimia ja pieniä kirjaimia), eikä se ole vuosiluku, päivämäärä, minkään kielen sana tai nimi tai sanan tai nimen muunnelma.

17 Suomen evankelis-luterilainen kirkko Sivu 17 / Tietoverkon lokitietojen kerääminen IT-aluekeskus kerää tapahtumalokeihin seuraavat asiat yhteisen tietojärjestelmän käytön tarkkailua varten: Käytetyt ohjelmat ja apuohjelmat konekohtaisesti. Laajojen käyttöoikeustunnusten käyttö. Epäonnistuneet ja hylätyt tapahtumat, sekä kirjautumisyritykset. Virus- ja palomuurihälytykset. Palvelinten ja käyttöjärjestelmien virhetilanteiden lokitiedot. Lokeja kerätään mm. tästä syystä Käyttöjärjestelmän ja tietokantojen lokit ovat tarpeen muun muassa ylläpitäjien ja sovellusten tekemien toimien seuraamiseksi ja mahdollisten väärinkäytösten selvittämiseksi. Palomuurin ja tunkeutumisenestojärjestelmien lokitiedostoja on mahdollista käyttää ulkoisten uhkien, kuten portti- ja haavoittuvuusskannausten seuraamiseen. Verkkopalvelujen käyttö Pääsyä sekä kirkon sisäisiin että ulkoisiin verkkopalveluihin tulee valvoa myös seurakunnan toimesta. Käyttäjille tulee sallia pääsy vain niihin palveluihin joihin heillä on erityisesti myönnetty pääsyoikeudet. Sisäisistä verkkopalveluista esimerkkinä: Intranet ja extranet Matkalaskusovellukset Kirjuri Identiteetin hallinta (IHA) Ulkoisista verkkopalveluista esimerkkinä: Sharepoint Webmail Kalenterijärjestelmät Kiinteistöhuollon ja hautatoimen selainkäyttöiset sovellukset Sosiaalisessa mediassa tulee toimia noudattaen seurakunnan toimintaa sääteleviä lakipykäliä, kirkon yleisiä linjauksia ja seurakunnan sisäistä toimintaohjeistusta. Mikäli seurakunnassa ei ole sisäisiä pelisääntöjä sosiaalisen median käyttämisestä, sellainen tulee laatia.

18 Suomen evankelis-luterilainen kirkko Sivu 18 / 36 Henkilöstön etätyöskentely Kirkon käyttöön on hankittu Juniper SSL-VPN. Etäyhteyttä voidaan käyttää mistä tahansa. Verkkopalvelujen käyttö rajataan käyttäjäryhmien sekä ohjelmistojen mukaan. Etäkäytön yhteydessä on noudatettava seuraavia käytännön periaatteita: Työasemaa käytettäessä on varmistuttava siitä, että ulkopuolinen taho ei näe työaseman ruudulta mitä toimenpiteitä käyttäjä työasemallaan tekee. Etäyhteys tulee sulkea asianmukaisesti. Etäyhteyden välityksellä ladattuja tiedostoja ei saa jättää paikallisesti kirkon ulkopuoliselle koneelle. Etäyhteydessä olevan työaseman tulee täyttää tekniset vaatimukset. Nämä vaatimukset tarkastetaan automaattisesti etäyhteyttä muodostettaessa. Etäyhteydellä pystyy käyttämään ainoastaan verkkolevyjä, kalenteriohjelmistoa ja niitä sisäverkossa olevia selainsovelluksia jotka eivät sisällä luottamuksellista tietoa. Käyttäjä on vastuussa siitä että käytettävää aineistoa käsitellään asianmukaisesti. Palveluntuottajalle ja omalle henkilöstölle on perehdytettävä yllä kuvatut etäkäytön periaatteet tietoturvan yhteyshenkilön toimesta. Lisäksi etätyöskentely ja siihen liittyvä henkilöstöpolitiikka tulee käsitellä sopimusluontoisesti työnantajan ja työntekijän välillä. Palveluntuottajalle luovutettava etäyhteysmahdollisuus rajataan need-to-know -periaatteen mukaan, eli palveluntuottajalla on pääsy vain siihen tietoon joka hänen tarvitsee nähdä pystyäkseen suorittamaan työtehtävänsä. Palveluntuottajan tulee allekirjoittaa salassapitositoumus (LIITE3) ennen etäkäytön sallimista

19 Suomen evankelis-luterilainen kirkko Sivu 19 / Työasemien tietoturvallisuus Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 3.1 Työasemien sovellukset ja käyttöjärjestelmät Työasemien käyttöjärjestelmien säännöllisestä päivittämisestä huolehditaan. Valmistajan tuen piiristä poistuneita käyttöjärjestelmiä käyttävät työasemat on poistettava käytöstä. 1. Kaikkien seurakuntatalouden käytössä olevien KIRKKO verkkoon liitettyjen työasemien käyttöjärjestelmäversioiden tulee olla valmistajan tuen piirissä ja yrityskäyttöön tarkoitettuja. Windowskäyttöjärjestelmien osalta tämän dokumentin kirjoitushetkellä tämä tarkoittaa Windows XP SP3, Windows Vista SP1 tai Windows 7 käyttöjärjestelmiä. 2. Työasemissa on oltava ajanmukaiset ja automaattisesti päivittyvät tuotteet virusten ja haittaohjelmien torjuntaan, sekä ohjelmistotason palomuuri. 3. Työasemien käyttöjärjestelmien ja sovellusten turvallisuuspäivitykset on asennettava kaikkiin työasemiin automaattisesti ja ajallaan. 1. Kaikki vanhentuneita käyttöjärjestelmiä käyttävät työasemat on päivitettävä tai poistettava verkosta. 2. Työasemien sovellusten toiminta päivitysten jälkeen on syytä varmistaa testityöasemilla ennen päivitysten jakamista.

20 Suomen evankelis-luterilainen kirkko Sivu 20 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso 3.2 Työasemien käyttäminen Työasemia käyttävät vain seurakuntatalouden työntekijät työtehtävien suorittamiseen. Luvattomien ja tarpeettomien ohjelmien asentaminen estetään paikallisten järjestelmänvalvojan oikeuksien rajoittamisella. 1. Seurakuntatalouden työasemia saa käyttää vain työnantajan määräämien työtehtävien suorittamiseen (poikkeuksena erikseen muuhun käyttöön nimetyt laitteet). Perustaso 2. Henkilökohtaista työasemaa ei saa koskaan luovuttaa ulkopuolisten, esimerkiksi perheenjäsenten tai vierailijan käyttöön. Työaseman haltija on itse vastuussa huolimattomuudestaan aiheutuvista seurauksista. 3. Asianmukaisesti suojatun ja ajantasaisesti päivitetyn työaseman käyttäminen julkisissa verkoissa on sallittua (esimerkiksi hotellien vierasverkot ja kotiverkot). 4. Muiden kuin työtehtävien kannalta välttämättömien ohjelmien (kuten pelien) asentaminen työasemiin on kiellettyä. 5. Työasemien työpöydän automaattiset lukkiutumisasetukset on otettava käyttöön. 1. Työasemien levyresursseja ja palveluita ei saa jakaa verkossa muiden laitteiden tai palveluiden käyttöön. 2. Luottamuksellista tietoa kuljetettaessa on käytettävä salausominaisuuksilla varustettuja UBS-muistilaitteita. Muiden kuin työnantajan omistuksessa olevia muistilaitteita työasemiin liitettäessä on niiden tietoturvallisuudesta varmistuttava. Järjestelmän ylläpitorooli, johon kuuluvilla käyttäjillä on laajoja käyttöoikeuksia kohdejärjestelmään, palvelimeen tai työasemaan.

21 Suomen evankelis-luterilainen kirkko Sivu 21 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 3.3 Työasemien hallinta Työasemien hallintaoikeuksia annetaan vain ammattitaitoisille ITammattilaisille. Seurakuntataloudet huolehtivat siitä, että sovitut tietoturva-asetukset ovat käytössä kaikissa työasemissa. 1. Päällekkäisten nimien aiheuttamien ristiriitatilanteiden välttämiseksi tietoverkkoon liitettävät työasemat on nimettävä yhteisten sääntöjen mukaisesti. 2. Tietoturva- ja selainasetukset tulee asettaa työasemiin keskitetysti siten, että käyttäjät eivät pysty niitä muuttamaan. 3. Käytössä olevista ohjelmistoista pidetään yllä ajantasaista dokumentaatiota. 4. Vain määrätyillä IT-henkilöillä saa olla ohjelmistojen asennukset mahdollistavat oikeudet työasemiin. 1. Työasemissa ei tule olla paikallisia käyttäjätunnuksia tai ryhmiä työntekijöiden käyttöön. Näitä on oikeus käyttää vain ylläpitotarkoituksiin. 2. Työasemien mahdollinen etähallinta on rajoitettava suoritettavaksi vain tietyiltä määrättyjen IT-henkilöiden käytössä olevilta työasemilta tai tukipalvelimilta. Etäyhteyksien muodostaminen työasemiin tulee sallia vain asiaan oikeutetuilta nimetyiltä ylläpitäjiltä. Työntekijää tulee informoida ennen etätukitoimenpiteiden suorittamista ja tarvittaessa pyytää työntekijän suostumus toimenpiteen suorittamiseen. 3. Työasemien perustason koventamisesta tulee huolehtia. Esimerkiksi työasemien tarpeettomat palvelut tulee poistaa käytöstä. 4. Kannettavien työasemien kiintolevyt tulee soveltuvin osin salata. Erityishuomiota tulee kohdistaa työasemiin, joiden käyttäjät tyypillisesti käsittelevät luottamuksellista ja salaista materiaalia työasemillaan. 5. Työasemavarmenteiden käyttöä seurakuntatalouden omistamissa työasemissa suositellaan työasemien tunnistamista mahdollisia palveluita käytettäessä. Järjestelmän asetusten muuttaminen niin, että järjestelmän tietoturvallisuuden tekninen taso paranee. Esimerkiksi käyttöjärjestelmän tarpeettomien palveluiden sammuttaminen ja tarpeettomien sovellusten poistaminen. KPA:n ohjeistus työasemien tietoturvallisuudesta, käytöstä ja hallinnasta Tietoturva ja ohjelmistopäivitykset Työasemien tietoturva- ja ohjelmistopäivitykset sekä virustorjuntaohjelmistot asennetaan keskitetysti

22 Suomen evankelis-luterilainen kirkko Sivu 22 / 36 IT-aluekeskuksen toimesta. IT-aluekeskus tarkkailee päivitysten sekä virustorjunnan tilaa teknisillä apuvälineillä. Suojautuminen haittaohjelmia sekä viruksia vastaan Haittaohjelmien suojautuminen perustuu haittaohjelmien havaitsemis- ja korjausohjelmistoihin, henkilöstön turvallisuustietoisuuteen, sekä pääsyoikeuksien riittävään valvontaan. Virustorjuntaohjelmistojen asennuksen jälkeen ohjelmistot päivitetään säännöllisesti ja automaattisesti ennaltaehkäisevää ja säännöllistä valvontaa varten. Näiden ohjelmistojen käyttö sekä tilanteet, joissa käyttäjän tulee reagoida virustorjuntaohjelman ilmoituksiin, koulutetaan henkilöstölle perehdyttämisen yhteydessä. Käyttäjän huomioitava omassa käytössä olevasta tietokoneesta: Selvitä epäselvissä tilanteissa IT-aluekeskukselta tai IT-lähitukihenkilöitä onko tietokoneessasi virustorjunta. Opettele tutkimaan epäilyttävien tiedostojen tai medioiden luotettavuus tarkistamalla ne virustorjuntaohjelmistolla. Voit myös kääntyä asiassa IT-aluekeskuksen puoleen. Yhteiskäytössä/lainakäytössä olevat työasemat tulee liittää säännöllisesti verkkoon, jotta haittaohjelmien torjuntaohjelmistot sekä sovellusten ja käyttöjärjestelmän ohjelmistot päivittyvät uusimpien tietoturvakäytäntöjen mukaisiksi. Työaseman kytkeminen työnantajan verkkoon määräajoin on jokaisen työntekijän vastuulla. Lue loppukäyttäjän tietoturvaohjeistus (LIITE4) ja noudata sovittuja periaatteita. Työasemien käytön periaatteet Työasemat on tarkoitettu vain seurakuntatalouden työntekijöiden työtehtäviin. Käyttäjän on noudatettava työaseman käytössä seuraavia periaatteita: Käyttäjän tulee kirjautua ulos järjestelmästä työpäivän päätteeksi. Lisäksi työasema on lukittava tai siltä on kirjauduttava ulos kun käyttäjä poistuu työpisteeltään. Työasemaa ei saa luovuttaa kenenkään ulkopuolisen käyttöön (esim. asentajat) ilman asianmukaista lupaa tietoturvan yhteyshenkilöltä tai IT-aluekeskukselta. Sovellusten asentamiseen tulee pyytää asianmukainen lupa IT-palvelutuesta, joka myös asentaa sovellukset. IT-alueet listaavat luvattomat sovellukset, joiden asentaminen on kiellettyä seurakuntien tietokoneille. Kirkon yhteisen tietojärjestelmän tietoturvaa vaarantavista ohjelmistoista on olemassa erikseen ylläpidettävä lista(liite6). Tutustu tähän listaan. Älä anna lupaa etäyhteyteen koneellesi, ellet ole asiasta sopinut IT-tuen tai tietoturvan yhteyshenkilön kanssa. Varovaisuutta tulee noudattaa käytettäessä kannettavia tietojenkäsittelylaitteita julkisilla paikoilla, kokoustiloissa ja muilla kirkon toimitilojen ulkopuolisilla alueilla. Käyttäjien jotka käyttävät kannettavia tietojenkäsittelylaitteita julkisilla paikoilla tulisi välttää riskiä, että luvattomat henkilöt pystyvät seuraamaan työskentelyä.

23 Suomen evankelis-luterilainen kirkko Sivu 23 / 36 Siirrettävien medioiden ja älypuhelinten käyttö Siirrettäviä medioita, kuten USB -muisteja, muistikortteja tai DVD -levyjä käytetään yleisesti tiedon siirtämiseen ja tallentamiseen. Huomioi että nämä välineet ovat suuri tietoturvariski ja niiden käyttöä tulee välttää. Siirrettäville medioille saatetaan erityisesti matkoilla tallentaa varmuuskopioita esimerkiksi tietokoneen sisällöstä tai tärkeistä dokumenteista tai muusta luottamukselliseksi määritellystä materiaalista. Tällaisissa tilanteissa tulee huolehtia siitä, että tiedot siirrettävällä medialla ovat asianmukaisesti suojattuja ja tikku tai muistikortti visusti tallessa, jotta ulkopuoliset eivät saa pääsyä tietoaineistoon. Käytännön ohjeita tallennusmedioiden käsittelyyn: Käytä ensisijaisesti suojattua etäyhteyttä tiedostojen hankkimiseen. Mikäli tämä ei ole mahdollista, noudata alla olevia ohjeita ja tapoja. Luottamuksellisen aineiston varastoimista siirrettävälle medialle tulee välttää kaikin tavoin. Mikäli kyseistä aineistoa on välttämätöntä säilyttää siirrettävällä medialla esim. varmuuskopioinnin yhteydessä, suojaamiseksi tulee käyttää tiedostosalausta. Lisäohjeita aiheesta saat ITaluekeskukselta. Siirrettävä tallennusmedia on sijoitettava kuljetuksen ja taukojen ajaksi siten, että se ei näy ulkopuolisille. Muistivälineitä ei saa jättää esimerkiksi ajoneuvoon yön ajaksi. Aina kun mahdollista, siirrä muistitikulle tallennetut tiedostot verkkoasemalle. Silloin niistä otetaan varmuuskopiot säännöllisesti. Tallenna muistitikulle vain ne tiedostot, joita sinun tarvitsee kuljettaa mukana. Älä säilytä tiedostoja ainoastaan muistitikulla, vaan tallenna ne myös muualle. Käytä mahdollisuuksien mukaan salattuja muistilaitteita. Kaikki työasemaan kiinnitettävät USB -laitteet tulee tarkistaa viruksilta ennen käyttöönottoa. Erityistä huolellisuutta tulee noudattaa seurakunnan ulkopuolisten laitteiden suhteen. Älypuhelimiin liittyvä ohjeistus: Tarkista, että älypuhelimen suojakoodin kysely on päällä. Vältä ylimääräisten palvelujen aktivointia, esimerkiksi multimediaviestipalvelu, jos et niitä työtehtävien tekemiseen tarvitse. Älypuhelinta tulee säilyttää turvallisessa paikassa, suojattuna varkauksilta ja fyysiseltä vahingoittumiselta. Älypuhelimen ohjelmistopäivitykset tulee pitää ajan tasalla. Vältä puhelimella dataverkkoon kytkeytymistä ulkomailla mahdollisten tukiasemaverkon tietoturvapuutteiden ja kalliiden datan siirtomaksujen vuoksi. Älypuhelimen Bluetooth- ja WLAN -yhteyksien käyttöä tulee välttää niiden helpon vakoilun vuoksi. Älypuhelinten Bluetooth asetukset tulee olla niin, että laite ei näy muille laitteille oletuksena, eikä bluetooth ole oletuksena päällä. Tuntemattomia Bluetooth-yhteydenottopyyntöjä ei tule hyväksyä. Mikäli käytät älypuhelinta toistuvasti konkreettisten työasioiden hoitamiseen, siihen tulee

24 Suomen evankelis-luterilainen kirkko Sivu 24 / 36 asentaa erillinen tietoturvaohjelmisto, josta saat lisätietoa IT-aluekeskukselta. Henkilökohtaisiin älypuhelimiin työsähköpostin tai muiden seurakunnan omien järjestelmien synkronointi on kielletty.

25 Suomen evankelis-luterilainen kirkko Sivu 25 / Palvelinten tietoturvallisuus Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 4.1 Palvelinten sovellukset ja käyttöjärjestelmät Palvelinten käyttöjärjestelmien säännöllisestä päivittämisestä huolehditaan. Valmistajan tuen piiristä poistuneita käyttöjärjestelmiä käyttävät palvelimet on poistettava käytöstä. 1. IT-alueella/seurakuntatalouksilla käytössä olevien palvelinten käyttöjärjestelmäversioiden tulee olla valmistajan tuen piirissä. Windows-käyttöjärjestelmien osalta tämän dokumentin kirjoitushetkellä tämä tarkoittaa Windows 2003 SP2 ja Windows 2008 palvelinkäyttöjärjestelmiä. Mahdollisia vanhentuneita käyttöjärjestelmäversioita käyttävät palvelimet tulee verkkoteknisesti (esimerkiksi virtuaaliverkkoja käyttämällä) eristää muusta työasema- ja palvelinympäristöstä. 2. Palvelinten käyttöjärjestelmien turvallisuuspäivitykset on asennettava kaikkiin palvelimiin automaattisesti ja ajallaan. 3. Palvelimissa on oltava ajanmukaiset ja automaattisesti päivittyvät tuotteet virusten ja haittaohjelmien torjuntaan tai verkkosegmentti, jossa palvelimet sijaitsevat, on suojattava erikseen palomuurilla, joka kykenee suodattamaan tietoliikenteen haittaohjelmistojen varalta. 1. Kaikki vanhentuneita käyttöjärjestelmiä käyttävät palvelimet on päivitettävä tai poistettava verkosta. 2. Palvelinten tietoturvaan vaikuttavien asetusten oletusarvojen koventamisesta tulee huolehtia. Esimerkiksi tarpeettomat palvelut tulee poistaa käytöstä.

26 Suomen evankelis-luterilainen kirkko Sivu 26 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 4.2 Palvelinten hallinta Palvelimet on sijoitettu siten, että palvelun keskeytymätön jatkuminen ja palvelinten fyysinen turvallisuus ovat taatut. Palvelinten ylläpitotunnuksia ei käytetä päivittäisessä työasemakäytössä. 1. Tietoverkkoon liitettävät palvelimet on nimettävä yhteisten sääntöjen mukaisesti, jotta päällekkäisten nimien aiheuttamat ristiriitatilanteet vältetään. 2. Palvelinten hallintaa varten on määrätyillä IT-henkilöillä oltava henkilökohtaiset tunnuksensa, joita ei käytetä normaaliin päivittäiseen työasemakäyttöön. 3. Palvelimet tulee sijoittaa asianmukaisiin lukittuihin laitetiloihin. Tarpeen mukaan laitetiloissa on oltava toimiva kulunvalvonta ja joiden jäähdytys ja palonsammutusjärjestelmät on mitoitettu laitemäärään. 1. Kriittisiä palvelimia varten on turvattava häiriötön virransaanti akkuja tai varavirtalaitteita käyttämällä. 2. Kriittiset palvelimet tulee toteuttaa vikasietoisesti, ottaen huomioon palvelinten kahdentaminen, kuormantasaus, varalaiteratkaisut sekä huoltosopimukset.

27 Suomen evankelis-luterilainen kirkko Sivu 27 / 36 Osa-alueen nimi Tavoitteet Siirtymätaso Perustaso 4.3 Varmistaminen ja dokumentointi Palvelinten toiminta dokumentoidaan kattavasti ja varmistetaan säännöllisesti. Dokumentoinnilla ja varmistuksilla edistetään vakavista ongelmatilanteista toipumista ja järjestelmämuutoksiin varautumista. 1. Palvelimista on otettava säännöllisesti riittävät varmuuskopiot. Varmistusten palauttamista varten tulee olla olemassa prosessit ja selkeät ohjeistukset. 2. Jokaisesta palvelimesta on laadittava yksityiskohtainen palvelindokumentti josta käy ilmi muun muassa palvelimen sijainti ja käyttötarkoitus, oleellisimmat tekniset laite- ja ohjelmistotiedot, tietoliikenneasetukset, turvallisuusmääritykset, riippuvuussuhteet toisten palvelinten palveluista ja resursseista sekä nimetyt vastuuhenkilöt yhteystietoineen. Dokumentin ajan tasalla pysymisestä on huolehdittava koko palvelimen elinkaaren ajan. 1. Palvelinten palauttamista varmistuksista on testattava säännöllisesti. 2. Kopiota varmistusmediaa tulee säilyttää eri palotilassa kuin palvelinta josta varmistus on otettu. 3. Toimialueen GPO (Group Policy Object) ryhmäkäytäntöobjektit on dokumentoitava huolellisesti, jotta niiden kohdennusta ja yhteisvaikutuksia voidaan helpommin seurata. 4. Toimialueen ryhmien Description-kenttiin on ylläpidon helpottamiseksi syytä kirjoittaa lyhyt selostus ryhmän käyttötarkoituksesta. Toimialue (Active Directory; AD) on Microsoftin Windows-toimialueen käyttäjätietokanta ja hakemistopalvelu, joka sisältää tietoa käyttäjistä, tietokoneista ja verkon resursseista. Se mahdollistaa keskitetyn resurssien jakamisen käyttäjille ja sovelluksille sekä tarjoaa tavan nimetä, kuvata, paikallistaa, hallita ja suojata käytössä olevia verkon resursseja. KPA:n ohjeistus palvelinten tietoturvallisuuden osalta Palvelinten fyysinen tietoturvallisuus KIRKKO -verkon palvelinten tulee olla suojatussa ja lukitussa tilassa siten että niihin on pääsy vain rajatulla henkilöstöryhmällä. Tilan tulee myös ylläpitää palvelinlaitteiston hyvinvointia sopivan lämpötilan ja asianmukaisen ilmanvaihdon avulla. Lisäksi palvelinten laitteisto tulee suojata ulkoisella varavirtajärjestelmällä, joka tasaa virtapiikkejä ja sähkökatkoksissa sammuttaa palvelinlaitteiston asianmukaisesti. Varavirtajärjestelmistä, palvelinhankinnoista ja palvelintilan kelpoisuudesta tulee olla yhteydessä aina IT-aluekeskukseen. Laitteiden ja ohjelmistojen päivittäminen Seurakunnissa tulee noudattaa kirkon ja IT-alueiden palvelimiin liittyviä teknisiä vähittäisvaatimuksia. IT-aluekeskus ylläpitää palvelinluetteloa, josta käy ilmi palvelimen yksityiskohtaiset tiedot mukaan lukien tietoturvapäivitysten ja ohjelmistopäivitysten nykytila.

28 Suomen evankelis-luterilainen kirkko Sivu 28 / 36 Kaikkien ohjelmisto- ja tietoturvapäivitysten osalta tulee noudattaa muutoshallinnan prosessia (asennuksia, muutoksia ja päivityksiä ei tehdä harkitsematta), jonka mukaan muutokset valtuutetaan, testataan, hyväksytään ja siirretään tuotantoon. Tämä edellyttää joissakin tapauksissa asianmukaista testausympäristöä, jonka käytöstä IT-aluekeskus vastaa. IT-aluekeskus koventaa palvelinten tietoturvaa seuraavin toimin: Turhien käyttämättömien palveluiden poistaminen käytöstä (esim. IIS). Salasanavaatimukset ovat voimassa olevan tietoturvapolitiikan mukaiset, myös paikallisilla tunnuksilla. Ylimääräisten tiedosto-oikeudet poistetaan ja tunnuksilla on pääsy vain sille tarkoitettuun sisältöön tai palveluihin. Lokia palvelinten toiminnasta kerätään kohdassa Tietoverkon lokitietojen kerääminen määritetyn periaatteen mukaisesti. Myös lokiin pääsy on kontrolloitu siten että loki on saatavilla vain palvelimen ylläpidosta vastaavilla henkilöillä. Etenkin palvelinten lokit koostuvat usean ylläpitojärjestelmän tiedoista (WSUS, SQL, F-Secure Policy Manager ja jne.). Järjestelmän ylläpitotunnukset tulee olla yksilöllisiä ja henkilökohtaisia. Ryhmätunnuksia ei saa käyttää. Seurakunnan henkilöstöltä rajataan pääsy heidän tiloissaan oleville palvelimille ja mahdollisten vanhojen järjestelmien ylläpitotunnukset poistetaan. Palvelinympäristön dokumentointi Palvelinten dokumentoinnissa tulee noudattaa hyviä käytäntöjä. IT-aluekeskus vastaa alueen palvelinten kartoittamisesta. Tietoturvan näkökulmasta palvelinympäristön dokumentoinnissa tulee kiinnittää erityistä huomiota kriittisyyden, käyttötarkoituksen ja rajapintojen osalta. Dokumentointi tulee tehdä keskitettyyn ylläpidettävään sijaintiin, esim. tietokantaan. Palvelindokumentointi tulee sisältää ainakin seuraavat tiedot: Otsikko Sijainti Käyttötarkoitus Laitteen tiedot Tietoliikenneasetukset Ohjelmat Input muista palvelimista (palvelin palvelu) Output muihin palvelimiin (palvelin palvelu) Tietoturvan kannalta oleelliset asiat Nimetyt vastuuhenkilöt Kuvaus

29 Suomen evankelis-luterilainen kirkko Sivu 29 / 36 Palvelinympäristöjen varmistaminen ja palauttaminen IT-alueen ja seurakuntatalouden tulee suunnitella toiminnan jatkuvuutta ja arvioida tietojärjestelmien kriittisyyttä toiminnalleen. Jatkuvuussuunnittelussa otetaan huomioon ainakin nämä asiat: 1. Jatkuvuussuunnittelun tavoitteiden määrittely, jossa sovitaan jatkuvuuden laajuudesta, siitä mitkä organisaation toiminnot otetaan jatkuvuussuunnittelun piiriin (Mitkä ovat siis seurakunnalle kriittisimmät sovellukset ja asiat). 2. Vaikuttavuusanalyysi, jossa arvioidaan keskeytyksen tai riskien realisoitumisen vaikutuksia organisaation toiminnalle (Miten toimitaan tositilanteessa? Korvaavat järjestelmät?). 3. Suunnitelmaa kehitetään tarpeiden mukaisesti ja aktiivisesti. 4. Testataan jatkuvuus testaamalla toimintamalleja säännöllisesti (esim. hätäjärjestelmien toiminta). Tarvittava varmuuskopiotietojen taso linjataan jatkuvuussuunnittelun vaikuttavuusanalyysissä, jossa määritellään kriittisten toimintojen palautuspiste, piste johon toiminnan tulee vähintään palata, jotta toimintaa voidaan jatkaa ilman merkittävää haittaa. Varmistusten osalta on huomioitava seuraavat asiat: Varmuuskopiointi suoritetaan määrätyin väliajoin, ja määrätyltä laajuudelta (esim. täydellinen vai osittainen kopio järjestelmästä). Varmuuskopiot varastoidaan varmistustilasta erillään olevaan paikkaan, joka on riittävän kaukana varsinaisesta konesalista, mikäli konesalille aiheutuisi merkittävä vahinko. Varmuuskopioinnin onnistumista tulee seurata säännöllisesti erillisistä lokeista. Varmuuskopioiden toimivuutta tulee testata tekemällä testipalautuksia aika ajoin.

30 Suomen evankelis-luterilainen kirkko Sivu 30 / Käyttöoikeuksien turvallisuus Osa-alueen nimi Tavoitteet Siirtymätaso 5.1 Käyttöoikeuksien elinkaaren hallinta Käyttöoikeuksien elinkaaresta huolehditaan, käyttäjille jo myönnettyjen oikeuksien tarpeellisuutta arvioidaan säännöllisesti ja tarpeettomat oikeudet poistetaan. 1. Käyttöoikeuksien elinkaaren hallinnasta (tilaus, muutos, poisto) on huolehdittava pääsääntöisesti kirkon yhteisen IHA järjestelmän kautta. 2. Kirjuri -järjestelmän käyttöoikeudet hallitaan ainoastaan IHAjärjestelmän kautta. 3. Esimies on velvollinen tilaamaan tunnuksia alaisilleen ja huolehtimaan tarpeettomien tunnusten poistamisesta ajallaan. 4. Esimiehet ovat velvollisia tarkistamaan alaistensa käyttöoikeuksien tilanteen säännöllisesti. Perustaso 5. Lähtökohtaisesti käyttäjille myönnetään järjestelmiin vähäisimmät mahdolliset työtehtävien suorittamisen mahdollistavat oikeudet. 6. Päällekkäisten käyttäjätunnusten aiheuttamien ristiriitatilanteiden välttämiseksi on toimialueiden käyttäjätunnukset luotava yhteisten sääntöjen mukaisesti. Päällekkäisyyksien käsittelyssä noudatetaan JHS 161-suositusta. 1. Seurakuntataloudella on toimivat prosessit jo myönnettyjen käyttöoikeuksien tarpeellisuuden arvioimiseen. Tarpeettomaksi jääneet käyttöoikeudet poistetaan. 8 IHA-järjestelmä on Kirkkohallituksen TYP (Työasemien Yhteiset Palvelut) hankkeessa toteutettu identiteettienhallintajärjestelmä. 9 JHS-suositukset hyväksyy julkisen hallinnon tietohallinnon neuvottelukunta JUHTA. KPA:n ohjeistus käyttöoikeuksien hallinnasta Kokonaisuuden organisoiminen ja kuvaaminen Käyttöoikeuksien myöntäminen, muuttaminen ja poistaminen tulee tehdä jokaisen järjestelmän osalta saman hallitun periaatteen mukaisesti. Periaate ei ole riippuvainen järjestelmästä, vaan sopii kaikille järjestelmille. Kirkon yhteisissä tietojärjestelmissä käyttöoikeuksien hallintaan käytetään IHA -järjestelmää (esim. työasemat ja Kirjuri). Ne sovellukset joita ei voida yhdistää IHA:n (kuten pankkiohjelmat), tulee hoitaa saman ideologian mukaisesti. Seurakunnan tulee siis itse tiedostaa käytettävien järjestelmien käyttöoikeushallinta ja

31 Suomen evankelis-luterilainen kirkko Sivu 31 / 36 niihin liittyvät haasteet. Yleisesti käyttöoikeushallinnassa tulee määrittää vaiheet käyttöoikeuksien pyynnölle, hyväksymiselle, toteuttamiselle sekä valvonnalle. Seurakunta voi hyödyntää kaikissa omissa järjestelmissään alla olevaa käyttövaltuushallinnan esimerkkiprosessia: 1. Uuden käyttäjän ja muuttuvien käyttöoikeuksien tapauksessa esimies tai käyttäjä täyttää määrämuotoisen lomakkeen, jossa määritetään käyttöoikeudet, joita henkilö tulee tehtävässään käyttämään. 2. Käyttöoikeus lähtee käyttöoikeusroolin mukaiseen hyväksyntäkäsittelyyn. Käyttöoikeus voidaan myöntää myös automaattisesti käyttöoikeuden laajuudesta riippuen. Perusoikeudet voidaan myöntää nopeasti, mutta laajojen oikeuskokonaisuuksien arviointi edellyttää tarkempaa arviointia. 3. Oikeuden hyväksyjän velvollisuus on varmistua siitä, että oikeudet eivät ole liian laajat ja että käyttäjä saa hänen työkuvaansa vastaavat oikeudet. Mikäli hyväksyjä näkee että käyttöoikeutta ei voi hyväksyä, käyttäjätietojen myöntäminen keskeytetään. 4. Ylläpidosta vastaava taho käsittelee pyynnön ja määrittää oikeudet, jotka henkilö tarvitsee. Tämän jälkeen hyväksyvä taho myöntää oikeudet. Ristiriitatilanteissa esimies ottaa kantaa siihen, mitä oikeuksia käyttäjä tarvitsee työssään. 5. Käyttäjä saa tiedon uusista oikeuksista sähköpostiinsa. Ilmoitus tallennetaan käyttöoikeuksien läpikäyntiä varten. 6. Kun käyttäjä poistuu kirkon palveluksesta, käyttäjän esimies tai henkilöstöosasto ilmoittaa tästä ylläpitäjälle joka poistaa käyttäjän käyttöoikeudet välittömästi. Käyttöoikeuskonseptissa hyväksyjän roolissa olevat henkilöt ottavat kantaa siihen, mitkä ovat organisaatiossa sellaisia työtehtäviä, joista aiheutuu ns. vaarallinen työyhdistelmä. Mikäli resurssien puutteen takia käytetään vaarallisia työyhdistelmiä, näiden osalta tulee määrittää erityisiä seurantamekanismeja, joiden avulla varmistutaan tietojenkäsittelyn luotettavuudesta. Käyttöoikeudet tulee katselmoida säännöllisesti vaarallisten työyhdistelmien varalta.