METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS. Versio

Transkriptio

1 METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS Versio

2 METROPOLIA AMMATTIKORKEAKOULU... 1 TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS Hallinnolliset turvallisuustoimenpiteet ja johtaminen Tietoturvallisuusohjeistuksen tarkoitus ja tavoitteet Turvallisuusjohdon organisaatio Tietoturvavastuut Ydinliiketoiminta ja tietotekniikka, riippuvuus tietotekniikasta Tarve henkilöstön tietoturvaosaamisen ylläpitämiseksi Ulkoa ostetut tietotekniikkapalvelut, sopimukset Elintärkeät toiminnot ja palvelut Rekisteri-ilmoitukset, henkilöllisyyden suoja Raportointi johdolle Tietoturvallisuustoimenpiteet ja menettelyt Tietoaineistoturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Käyttöturvallisuus Ohjelmistoturvallisuus Tietoaineistoturvallisuus, varmuus- ja suojakopiointi Tietoturvallisuustoimenpiteiden toteuttaminen hankintojen yhteydessä Tietoturvallisuuden seuranta, valvonta, tarkastus ja testaus Toiminnan jatkuvuuden varmistaminen kaikissa olosuhteissa Koulutus Suunnitelman päivitys ja toimenpiteiden ylläpito

3 1. Hallinnolliset turvallisuustoimenpiteet ja johtaminen 1.1 Tietoturvallisuusohjeistuksen tarkoitus ja tavoitteet Metropolian tietoturvallisuusohjeistus on jatkuvasti ylläpidettävä ja päivitettävä kokonaisuus, joka sisältää korkeakoulun ydintoiminnan tarpeista lähtevän pelkistetyn tietoturvapolitiikkaohjeistuksen (= tämä dokumentti) sekä siihen liitettävät ohjeet, kaaviot ja ohjelmistot. Ohjeistuksen avulla pyritään varmistamaan Metropolian elintärkeiden toimintojen jatkuvuutta tunnistamalla toimintaa uhkaavat riskit ja uhat sekä niiden vaikutukset, suunnittelemalla etukäteen niiden eliminointi- tai vaikutuksen vähentämistoimenpiteet sekä toipumistoimenpiteet. Ohjeistuksen sisältö seuraa pääpiirteissään Valtiovarainministeriön julkaisemaa tietoturvaperiaatteiden ja tietoturvakäytäntöjen rakennetta. Henkilökunnalle ja opiskelijoille on tietoturvapolitiikkaohjeistuksesta julkaistu tiivistetympi tietoturvaohje (löytyy sivustolta Turvallisuusjohdon organisaatio Metropoliassa kokonaisvastuu operatiivisen toiminnan turvallisuudesta kuuluu toimitusjohtaja-rehtorille ja huolehtimisvastuu talous- ja hallintojohtajalle. Turvallisuustoiminnan operatiivisesta johtamisesta ja kehittämisestä vastaa turvallisuuspäällikkö. Turvallisuusorganisaatio koostuu turvallisuusjohdosta ja turvallisuusryhmästä. Turvallisuusjohdon muodostavat toimitusjohtaja-rehtori, talous- ja hallintojohtaja, viestintäpäällikkö, tietohallintojohtaja, ensihoidon asiantuntija ja opintopsykologi. Turvallisuusjohdon puheenjohtajana on rehtori/toimitusjohtaja ja sihteerinä turvallisuuspäällikkö. Turvallisuusjohdon tehtävänä ja vastuulla on yleisen strategian luominen, turvallisuuden eri osaalueiden koordinointi ja resursointi. Turvallisuustoiminnasta vastaa ja sitä johtaa toimitusjohtaja-rehtori. Muut turvallisuusjohdon jäsenet toimivat rehtorin päätöksenteon tukena. (Turvallisuusjohdon tehtävät on määritelty tarkemmin rehtorin päätöksessä 18, ). Turvallisuusryhmä hoitaa kiinteistökohtaista turvallisuustoimintaa. Turvallisuusryhmää johtaa turvallisuuspäällikkö ja siihen kuuluvat kiinteistökohtaiset turvallisuusvastaavat. 3

4 1.3 Tietoturvavastuut Tietoturvallisuus tarkoittaa tietojen käsittelyn turvaamista. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä. Tietoturvallisuus nähdään yleensä laajana kenttänä, johon tietojärjestelmien lisäksi kuuluvat myös mm. henkilöturvallisuus ja fyysinen tietoturvallisuus. Tietoturvan johtamisessa korostetaan ylimmän johdon vastuuta siten, että johdolla on oltava selkeä näkemys tietotekniikan roolista ydintoiminnoille, ja että noudatettava tietohallintostrategia on riittävän liiketoimintalähtöinen. Tämän vuoksi tietoturvasta (kuten muustakin turvallisuustoiminnasta) on viime kädessä vastuussa toimitusjohtaja-rehtori, mutta sen käytännön organisointi on tarkoituksenmukaisinta hoitaa tietohallinnossa. Tietohallintojohtaja raportoi tietoturvapolitiikasta toimitusjohtaja-rehtorille ja turvallisuusjohdolle. Koska henkilöriskien merkitys tietoturvassa on suuri, on myös jokaisella työntekijällä ja opiskelijalla vastuu tietoturvasta hänen käyttäessään tietotekniikkaa ja tietoverkkoja. Johdon ja tietohallintoyksikön vastuulla on antaa henkilöstölle riittävät tiedot ja ohjeet tietoturvasta. 1.4 Ydinliiketoiminta ja tietotekniikka, riippuvuus tietotekniikasta Metropolian ydintoimintaa on opetus- ja opiskeluprosessin toteuttaminen. Tieto- ja viestintätekniikan merkitys tässä ydinprosessissa on jatkuvasti kasvussa. Syitä tähän ovat mm. seuraavat: kriittiset opetuksen suunnittelun, toteutuksen ja oppilashallinnon prosessit tukeutuvat tietojärjestelmiin aikuisopiskelijoiden osuus kasvaa (ml. täydennyskoulutus, ylempi amk, työssä oppiminen osaksi opintoja jne.). Tämä lisää tietotekniikasta riippuvaa etäopiskelua sosiaalisen median (toisen www-sukupolven) käyttäjien tulo opiskelijoiksi henkilöstön etätyötarpeet ovat kasvussa Kannettavien tietokoneiden, älypuhelimien ja langattomien yhteyksien käytön lisääntyminen luo haasteita tietoturvalle. Myös muiden uusien palvelujen sekä etäyhteyksien lisääntyvä tarve kasvattaa tietoturvallisuuteen liittyvien seikkojen painoarvoa. 4

5 1.5 Tarve henkilöstön tietoturvaosaamisen ylläpitämiseksi Tietohallinnon työntekijät Metropoliassa ovat yleensä viihtyneet työssään pitkään. Tämä on vähentänyt tietoturvariskiä. Tietoturvariskit kuitenkin tulevat jatkuvasti moninaisimmiksi ja tietoturvaosaamisen ylläpito vaatii jatkuvasti enemmän. Siksi tietohallinnon henkilöstön täydennyskoulutukseen on panostettava entistä enemmän myös tietoturva-asioissa. 1.6 Ulkoa ostetut tietotekniikkapalvelut, sopimukset Koska tietotekniikkatuki ja tietoverkkojen ylläpito hoidetaan omana työnä, voidaan ylläpitää omaa osaamista, joka vähentää IT -riskiä. Toisaalta tietoturvaosaaminen ei välttämättä tällä toimintatavalla ole samalla tasolla kuin jos ulkopuolinen korkeatasoinen palveluntarjoaja hoitaisi kaikki tietotekniikkapalvelut. Tärkeimmille tietoliikennelaitteille on toistaiseksi voimassa oleva huoltosopimus. Tiettyjä laitetyyppejä pidetään pieni määrä varastossa vikatilanteiden varalta. Keskeisimmät ulkopuolisten toimittajien kanssa solmitut palvelu- ja ohjelmistosopimukset on lueteltu erillisessä dokumentissa "Metropolian tietojärjestelmät sekä tietotekniikka-sopimuskumppanit". 1.7 Elintärkeät toiminnot ja palvelut Metropolian toiminnan kannalta tärkeitä ovat opetus- ja oppimisprosessin jatkuvuuteen vaikuttavat palvelut. Kriittisimpiä ovat tällöin tietoliikenneverkon (kattaen verkon, palomuurin, reitityksen, nimipalvelimen, kertakirjautumisen) ja opetusta palvelevien palvelinten toimivuus. Kriittiset järjestelmät ja niiden vastuuhenkilöt sekä lista kriittisistä sopimuskumppaneista on lueteltu erillisessä dokumentissa "Metropolian tietojärjestelmät sekä tietotekniikkasopimuskumppanit". 1.8 Rekisteri-ilmoitukset, henkilöllisyyden suoja Rekisteri-ilmoitukset (esim. tietosuojavaltuutetulle henkilötietolain 10 :n mukainen rekisteriseloste) hoitaa kunkin rekisterin pääkäyttäjä ja ne arkistoidaan tietohallintoon. 1.9 Raportointi johdolle Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle ja turvallisuusjohdolle tarvittaessa. 5

6 2. Tietoturvallisuustoimenpiteet ja menettelyt 2.1 Tietoaineistoturvallisuus Tietosuoja Olennaisimmat lait, jotka säätelevät henkilökunnan ja opiskelijoiden tietosuojaa ja joiden perusteella Metropolian ylläpitohenkilöstö toimii, ovat seuraavat: Perustuslaki (731/1999) Yksityiselämän suoja 2.luku 10 - Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Henkilötietolaki(523/1999) - henkilötietojen käsittely - rekisteri-ilmoitus (mm. opintorekisteri, HR, palkkahallinto, kirjastojärjestelmä, kulunvalvonta) Sähköisen viestinnän tietosuojalaki (516/2004, 125/2009) - Metropolia on yhteisötilaaja, koska käsittelee tietoverkossaan käyttäjien luottamuksellisia tietoja ja viestejä - tunnistamistietoja saa käsitellä siinä määrin kuin on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelujen toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi - muutettu v.2009 lain 13 : yhteisötilaajalla on oikeus käsitellä tunnistamistietoja mm. viestintäverkon tai viestintäpalvelun luvattoman käytön tai yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi. Tämän toiminnan aloittaminen vaatii kuitenkin yhteisötilaajalta useita tiedotus- ja ilmoittamisvelvollisuuksia ja muita toimenpiteitä ennen kuin luvatonta käyttöä voidaan alkaa selvittämään - mahdollisuus estää roskaposteja ja poistaa haittaohjelmia jos palvelut vaarantuvat - ei saa kuitenkaan vaarantaa sananvapautta eikä luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä viestinnän turvaamiseksi Laki yksityisyyden suojasta työelämässä (759/2004) - työnantajan on kerättävä työntekijää koskevat henkilötiedot ensisijaisesti työntekijältä itseltään - ohjeet työnantajalle kuuluvien sähköpostiviestien hakemisesta ja avaamisesta - ennen kuin voi avata posteja niin työnantajan hoidettava: 1) että työntekijä voi laittaa automaattisen poissaoloviestin ja ilmoittaa sijainen tai 2) ohjata viestit sijaiselle tai käytössänsä olevaan toiseen osoitteeseen tai 6

7 3) antaa suostumuksen että työnantajan hyväksymä toinen henkilö voi lukea postia - Tietyin edellytyksin (esim. jos työnantaja on huolehtinut edellisen kohdan toimenpiteistä ja työntekijän suostumusta ei ole mahdollista kohtuullisessa ajassa saada) työnantajan pääkäyttäjä voi ottaa selville onko työntekijälle poissaolon aikana tullut työnantajalle kuuluvia tärkeitä viestejä. Otsikkotietojen käsittelystä on tehtävä allekirjoitettu selvitys, joka on toimitettava työntekijälle - avaamisesta on laadittava siihen osallistuneiden henkilöiden (ainakin pääkäyttäjä + toinen henkilö) allekirjoittama selvitys - ohjeet kuolemantapauksessa Laki viranomaisten toiminnan julkisuudesta (621/1999) Viranomaisten asiakirjojen julkisuus 2.luku Viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta Muut lait (mm): Rikoslaki 39/1889(38 luku Tieto- ja viestintärikoksista) Tekijänoikeuslaki Painovapauslaki Arkistolaki (831/1994) Hallintolaki (434/2003) Ammattikorkeakoululaki (932/2014 mm. luku 6:31, 38, 40 ; luku 10:65 ) Vahingonkorvauslaki (412/1974, luku 4; luku 5:5-6 ; luku 6) Työsopimuslaki (55/2001, luku 7:1-2 ; luku 8:1 ;) Esimerkkejä rikkomuksista Rikoslain alaisen materiaalin oikeudeton levittäminen rikoslain alaista materiaalia ovat esimerkiksi lapsiporno, eläimiin sekaantuminen, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali Tekijänoikeuslain alaisen materiaalin oikeudeton levittäminen Tekijänoikeuslain alaista materiaalia on esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot. Tunnuksen luovuttaminen toiselle käyttäjälle Tunnuksen luovuttamista on esim. salasanan kertominen toiselle käyttäjälle tai istunnon auki jättäminen niin, että joku toinen pääsee valvomattomasti käyttämään toisen tunnusta. Tiedon luottamuksellisuuden vaarantaminen, esim. ei-julkiseksi luokitellun tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä, esim. palvelinten käyttäjätietojen luovutus 7

8 ei-julkiseksi luokitellun tiedon tietoturvan laiminlyönti, esim. puutteelliset suojaukset järjestelmässä, jossa tietoa käsitellään salassapitorikokset henkilötietolain rikkominen Henkilökohtaisen tietoturvan laiminlyönti, esimerkiksi salasanan jättäminen näkyviin. 2.2 Fyysinen turvallisuus Palvelin- ja muut tietoliikennehuoneet on asiallisesti suojattu vesivahingoilta, sähkö- ja jännitehäiriöiltä sekä lämpötilan ja kosteuden vaihteluilta. Palvelinhuoneisiin on kulkuoikeus vain nimetyillä tietohallinnon henkilöillä. Kiinteistöjen sähkönsyöttöä ei ole varmistettu. Turvallisuusryhmä tekee toimipistekohtaisia sisäisiä turvallisuus- ja palotarkastuksia vähintään yksi (1) / kiinteistö ja /aina tarpeen mukaan. Tarkastuspöytäkirja liitetään turvallisuus- ja pelastussuunnitelman liitteeksi. Kulunvalvonta Pääosassa Metropolian kiinteistöjä on käytössä kulunvalvonta sekä tallentava kameravalvonta. Kulkutunnisteet annetaan opiskelijoille opintojen alkaessa ja henkilökunnalle työsuhteen alkaessa. Kulkutunnisteiden luovuttamisesta ja vastaanottamisesta vastaavat vahtimestarit. Kulkutunnisteen vastaanottajan on todistettava henkilöllisyytensä ennen kulkutunnisteen luovuttamista. Opintojen ja työsuhteen päätyttyä kulkutunniste palautetaan sen toimipisteen vahtimestarille mistä se on kuitattu vastaanotetuksi. Kulkutunnisteen katoamisesta tulee ilmoittaa välittömästi toimipisteen vahtimestarille. Kameravalvonnan tallenteiden katseluoikeus on vain turvallisuuspäälliköllä. 2.3 Tietoliikenneturvallisuus Tietoliikenteen häiriöt vaikuttavat eniten Metropolian elintärkeisiin toimintoihin, koska ne voivat lamauttaa kaikki palvelut. Vakavat häiriöt voivat olla seuraavanlaisia: - Runkoverkon tai ulkoisten yhteyksien valokaapelin katkeaminen - Runkoverkon tietoliikennelaitteiden vikaantuminen - Verkon ylikuormittuminen joko tahallisen hyökkäyksen, asiattoman käytön, tai normaalin toiminnan johdosta. 8

9 Runkoverkko on rakenteeltaan neljän runkopisteen muodostama vikasietoinen neliö. Runkopisteiden aktiivilaitteet ovat modulaarisia, joissa kaikki aktiivikomponentit ovat kahdennettuja. Muut toimipisteet liittyvät runkopisteisiin. Toimipisteiden yhteyksiä ei ole varmennettu. Verkon toimintaa ja kuormitusta valvotaan niin että verkon häiriöihin voidaan puuttua jo ennakolta. Lisäksi valvonta auttaa suunnittelemaan verkon konfiguraatiomuutoksia ajoissa. Verkkolaitteiden konfiguraatiot varmuuskopioidaan automaattisesti joka yö. Ylläpidosta vastaavat seuraavat järjestelmien toimintaa, päivitystarvetta ja mahdollisia tietoturvaongelmia aktiivisesti. 2.3 Laitteistoturvallisuus Lähiverkon ja konesalien laitteilla on voimassa olevat takuut tai huoltosopimukset. Kriittisimmät palvelut on toteutettu vikasietoisesti siten, ettei yksittäisen komponentin vikaantuminen estä palvelun saatavuutta. Tuotantokäytössä käytetään vain tuettuja laitteita ja ohjelmisto, sisältäen vähintään valmistajan tuen tietoturvapäivityksille. Verkkolaitteita on aina varmuusvarasto yllättävien vikatilanteiden varalta. 2.5 Käyttöturvallisuus Ammattikorkeakoulun kiinteään verkkoon ei saa kytkeä omia laitteita ilman verkon ylläpitäjän myöntämää lupaa. Liittämisessä tulee noudattaa annettuja ohjeita. Käyttäjien omille laitteille on varattu ensisijaisesti langaton verkko. Salasanojen minimipituus on oltava 8 merkkiä (erikoismerkkien ja numeroiden käyttö on suositeltavaa, mutta ei saa käyttää skandeja). Salasanan vaihto tapahtuu selaimen kautta osoitteessa Kaikkien Metropolian tietoverkkoa ja tietojärjestelmiä käyttävien on hyväksyttävä Tietojärjestelmien käyttösääntö. Tämä on luettavissa tietohallinnon tukisivustolla Metropolia on hankkinut joitain internetpohjaisia pilvipalveluja. Näiden pilvipalveluiden käyttöönotto edellyttää, että käyttäjä ilmoittaa lukeneensa ja hyväksyneensä pilvipalveluiden käyttöehdot Metropoliassa ja suostuu seuraavien tietojensa siirtämiseen EU/ETA-alueen ulkopuolelle: nimi, sähköpostiosoite, rooli- ja ohjelmatiedot. Henkilökunnalta lisäksi nimike, yksikkö ja Metropolian yhteystiedot. 9

10 Tietohallinnon työntekijät allekirjoittavat Tietojärjestelmien ylläpitosäännöt. Sähköpostin käsittelyssä noudatetaan Sähköpostin käsittelysääntöjä. Kaikki ym. säännöt on luettavissa tietohallinnon tukisivustolla Säännöt noudattavat yliopistojen ja korkeakoulujen yhteisiä käytäntöjä, ja ne on hyväksytty yt- komiteassa. Käyttäjätunnukset Metropolian verkkoon ja tietojärjestelmiin annetaan opiskelijoille opintojen alkaessa kuoressa. Opiskelija saa käyttäjätunnustiedot helpdeskistä, opintotoimistosta tai opintojen alkaessa tutor-opiskelijalta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista. Käyttäjä hyväksyy tietojärjestelmien käyttösäännön aktivoidessaan ensimmäisen kerran käyttäjätunnuksensa. Työntekijä saa käyttäjätunnustiedot helpdeskistä, opintotoimistosta tai lähiesimieheltä. Työntekijän henkilöllisyys tarkistetaan työsopimuksen teon yhteydessä ja aina, jos henkilö ei ole ennestään tuttu. Kaikilla käyttäjillä on käytössään henkilökohtainen tunnus ja salasana sekä pääsy avointen palvelujen lisäksi toimenkuvan edellyttämiin palveluihin. Erityistä painoarvoa on annettava yleisellä tasolla (mm. erillisinä tiedonantoina) sekä perehdyttämisen yhteydessä nk. Social engineering ongelmaa vastaan: tunnuksia, tietoja, avointa ohjelmistoa/työasemaa tai pääsyä suljettuun tilaan ei anneta ilman asiaankuuluvia tarkistuksia henkilöstä. Käyttäjähallinta Käyttäjähallinnassa noudatetaan korkeakoulujen yhteisen HAKAluottamusverkoston sääntöjä. Käyttäjähallinta (mm. kotiorganisaation käyttäjähallinnon kuvaus ja henkilökunnan sekä opiskelijoiden käyttäjätunnusten hankintaprosessit) on kuvattu tietohallinnon tukisivustolla: Henkilökunnan vastuut Jokainen opiskelija ja henkilökuntaan kuuluva on velvollinen varmistamaan että kiinteistöjen tilat (erityisesti atk-luokat ja laitetilat) ovat lukittu. Jokaisen on myös varmistettava, että laitteet ja ohjelmat on sammuttu/lukittu kun työpisteistä poistutaan. Tällä mm. voidaan estää asiaton ohjelman käyttö, asiaton urkkiminen tai tiedonsiirto. Henkilökunnalla on käytössään kuvallinen henkilökortti. Koska opiskelijoilla ei ole käytössä näkyvillä pidettäviä henkilön tunnistavia kulkukortteja, niin jokaisen henkilökuntaan kuuluvan velvollisuus on tarvittaessa tarkistaa tuntemattoman henkilön oikeus käyttää tiloja. 10

11 Henkilökunnan tulee vastaanottaa vierailijat ja saattaa heidät ulos kiinteistön tiloista. Vierailijoiden valvontavastuu on kutsujalla. Sen lisäksi mitä käyttösäännössä on sanottu, on jokaisen opiskelijan ja henkilökuntaan kuuluvan ilmoitettava heti esimiehelleen/tietohallinnolle havaitsemistaan tietoturvallisuusriskeistä ja vaaratilanteista. Henkilökunnan ja opiskelijoiden perehdyttämiseen sisällytetään tietoturvaan liittyvä osuus, jossa käydään läpi tietoturvaohje (löytyy tietohallinnon tukisivustolta: ) Vastuu henkilökunnan opastamisesta on kullakin esimiehellä omien alaistensa osalta. 2.6 Ohjelmistoturvallisuus Tietohallintopalvelut huolehtii ohjelmistojen päivityksistä Metropolian työasemiin, joihin ne jaetaan mahdollisimman nopeasti tietoturvajulkaisun jälkeen. Tietoturvapäivitykset Metropolian tietojärjestelmiin tehdään yhteistyössä ao. järjestelmän toimittajan suositusten kanssa. Kaikkien tietohallinnon tarjoamien palveluiden huoltotyöt suoritetaan huoltopolitiikan mukaisesti. Tietojärjestelmien käyttöönotot ja isommat huoltotyöt pyritään soveltuvin osin ajoittamaan opetuksettomaan tai toiminnan kannalta muutoin hiljaiseen aikaan. Lukuvuoden mittaan tehtävät pakolliset huoltotyöt suoritetaan kustannussyistä pääsääntöisesti arkisin, poikkeuksena pitkiä katkoja tai muutoin kohtuutonta haittaa laajalle käyttäjämäärälle aiheuttavat työt. Tärkeimmät laitteiden ja käyttäjän palveluiden saatavuutta valvotaan automaattisella valvontajärjestelmällä. 2.4 Tietoaineistoturvallisuus, varmuus- ja suojakopiointi Henkilökunta ohjeistetaan tallentamaan omat dokumenttinsa ja muu aineisto niihin hakemistoihin, joista otetaan säännöllisesti varmistussuunnitelman mukaiset varmuuskopiot (esim. Tuubi ja verkkolevyt). Aineistojen tallettamista yksinomaan käyttäjän oman koneen kovalevylle pyritään välttämään ja tästä on annettu ohjeistus. Tietojen tallettaminen työaseman kovalevylle (tai paikkaan, josta ei oteta varmuuskopioita) on henkilön omalla vastuulla. Kannettavien päätelaitteiden (ml. älypuhelimet) varmuuskopioinnista ja tietoturvasta vastaa kannettavan käyttäjä itse. Tietohallinto avustaa arkaluontoisen materiaalin suojaamisessa sekä salausohjelmien hankinnassa. 11

12 Seuraavien tärkeimpien palvelinten tietokannat ja tiedostot varmistetaan: sähköpostipalvelimet kotihakemistopalvelimet nimi- ja hakemistopalvelimet sovelluspalvelimet virtuaalipalvelimet sellaisenaan 3. Tietoturvallisuustoimenpiteiden toteuttaminen hankintojen yhteydessä Uusien palvelujen ja sovellusten käyttöönoton yhteydessä suunnitellaan ja toteutetaan myös niiden tietoturva-, varmistus- ja toipumisratkaisut. Tietoturvaominaisuuksia käytetään myös valintakriteerinä valmisohjelmistojen hankinnassa. 4. Tietoturvallisuuden seuranta, valvonta, tarkastus ja testaus Tietohallinnossa käydään kerran vuodessa läpi tietoturvaan liittyvät asiat eli kaikki ohjeistuksessa olevat osa-alueet. Ohjeistus päivitetään vastaavasti. Tietoturvakartoituksia ja auditointeja teetetään ulkopuolisilla toimijoilla tarvittaessa. Teknisiä tietoturvatarkastuksia tehdään käyttäen mm. Nessus- ohjelmistoa. 5. Toiminnan jatkuvuuden varmistaminen kaikissa olosuhteissa Kaikilla tietojärjestelmillä pitää olla pääkäyttäjä ja hänellä varamies sekä tekninen ylläpitäjä ja hänellä varamies. Toipuminen erilaisista häiriöistä on kirjattu erilliseen Riskit, uhat ja niistä toipuminen - taulukkoon. Kriittisistä häiriöistä toipumista on harjoiteltava säännöllisesti. Toipumisharjoitusten aikataulu kirjataan em. taulukkoon. Jokaisen järjestelmän pääkäyttäjän on tehtävä suunnitelma miten toiminnan jatkaminen hoidetaan pitempiaikaisessa keskeytystilanteessa esim. manuaalisesti. Käyttäjien esimiesten tulee tarkistaa näiden vararutiinien järkevyys. Kaikista häiriöistä tiedotetaan välittömästi häiriön havaitsemisen jälkeen käyttäjille. Toipumisen jälkeen käyttäjille tiedotetaan toipumisen onnistumisesta sekä annetaan lyhyt selvitys häiriön syystä. Tarvittaessa käyttäjille annetaan myös väliaikatietoja. Tietojärjestelmien huoltotöistä tiedotetaan noin viikkoa ennen työn suorittamista. Huoltotöistä tiedotetaan tietohallinnon sivustossa ja kohdennetulla Tuubi-tiedotteella. Palvelun tai tietojärjestelmän pääkäyttäjä vastaa palvelukohtaisten erityispiirteiden viestinnästä tietohallintoon. Näitä ovat mm. tiedotuksen kohdentaminen ja 12

13 mahdolliset rauhoitusajat. Rauhoitusaikana mahdollisesti tehtävistä pakollisista huoltotöistä sovitaan tapauskohtaisesti. Tekninen ylläpitäjä lähettää tiedoteluonnoksen tietohallinnon viestintäryhmälle, joka vastaa lopullisen tiedotteen laatimisesta ja kohdentamisesta. Poikkeusolojen toiminta pohjautuu toipumissuunnitelman varajärjestelmä-ratkaisuun (ml. Manuaaliset ratkaisut) ja viranomaisilta saatavaan lisäohjeistukseen, koska toiminnan luonne poikkeusoloissa ei muutu eikä ole kriittistä. 6. Koulutus Tietoturvan perusasiat (Tietoturvallisuusohjeet tietojärjestelmien käyttäjille) käydään läpi uuden työntekijän perehdyttämiskoulutuksessa (myös tietojärjestelmien käyttösääntö). Kaikessa tietotekniikkaan liittyvissä henkilöstökoulutustilaisuuksissa käsitellään myös tietoturva-asioita. Tietohallinto järjestää erillisen henkilökohtaiseen tietoturvaan liittyvän koulutuksen vähintään kerran vuodessa. Opiskelijoille käydään käyttösääntöön liittyvät asiat läpi opintoihin orientoitumisen yhteydessä. Tietohallinnon ylläpitäjien koulutukseen on panostettava riittävästi. Tietohallinnon henkilöstön osaamista ylläpidetään mm. osallistumalla Funetin CERT- verkoston toimintaan ja sen järjestämiin koulutustilaisuuksiin. 7. Suunnitelman päivitys ja toimenpiteiden ylläpito Tämä ohjeistus katselmoidaan ja päivitetään kerran vuodessa valmiussuunnitelman mukaisesti. Vastuu katselmoinnista on tietohallintojohtajalla. Päivitetty dokumentti hyväksytään tuvallisuusjohdossa. Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle normaalin toiminnan arvioinnin ja suunnittelun yhteydessä ja aina muulloin kun on aiheellista. Tätä asiakirjaa tukevat seuraavat dokumentit: Riskit, uhat ja niistä toipuminentaulukko (sisäinen dokumentti: wpage.action?pageid= Katselmointi ja päivitys Vastuu katselmoinnista 1 krt/vuosi Järjestelmäylläpidon päällikkö Hyväksyminen Tietohallintojohtaja Metropolian tietojärjestelmät ja tietotekniikkasopimuskumppanit 1 krt/vuosi Järjestelmäylläpidon päällikkö Tietohallintojohtaja 13

14 Kotiorganisaation käyttäjähallinnon kuvaus Katselmointi ja päivitys tarvittaessa Vastuu katselmoinnista Järjestelmäylläpidon päällikkö Hyväksyminen Tietohallintojohtaja Tietojärjestelmien käyttösäännöt tarvittaessa Järjestelmäylläpidon päällikkö, tietohallintojohtaja Sähköpostin käsittelysäännöt tarvittaessa Järjestelmäylläpidon päällikkö, tietohallintojohtaja Tietojärjestelmien ylläpitosäännöt tarvittaessa Järjestelmäylläpidon Tietoturvarikkomusten seuraamuskäytäntö hallitus hallitus Tietohallintojohtaja päällikkö tarvittaessa Tietohallintojohtaja Rehtori Tietoturvaohje (henkilökunnalle ja opiskelijoille) Metropolia- ammattikorkeakoulun valmiussuunnitelma tarvittaessa Atk-palvelupäällikkö Tietohallintojohtaja 1 krt/vuosi Turvallisuuspäällikkö Turvallisuusjohto Rekisteriselosteet tarvittaessa Järjestelmän pääkäyttäjä Tietohallintojohtaja 14