Sopimuksen tietoturvaliite

Transkriptio

1 LIITE 3 Varhaiskasvatuksen sähköisten palveluiden kehittäminen/ Tietopyyntö Kirkkonummen kunta Ervastintie Kirkkonummi puh. (09)

2 Hyväksyntä Julkisuusluokka Sijainti Versio 1.0 2/11

3 Sisällys 1 Johdanto Palvelun laatu Hallinnollinen tietoturvallisuus Dokumentointi Riskienhallinta Varautuminen Henkilöstöturvallisuus Turvallisuusosaaminen Roolit ja vastuut Taustaselvitykset ja salassapito Resursointi Sidosryhmien hallinta Fyysinen turvallisuus Käytön ja ylläpidon tietoturva Kapasiteetin hallinta Muutoksenhallinta Poikkeamatilanteiden hallinta Tietoverkkojen ja tietoliikenteen turvallisuus Laitteistoturvallisuus Laitehallinta Ohjelmistoturvallisuus Järjestelmäarkkitehtuuri Versiohallinta Tietoaineiston turvallisuus Asiakirjat /11

4 1 Johdanto Tämä liite kuvaa ne tietoturvaperiaatteet ja -käytännöt sekä osapuolten menettelyt ja minimivaatimukset, joilla sopimus x (myöh. Palvelu) ja siihen liittyvien projektien tietoturvallisuus varmistetaan normaalioloissa ja normaaliolojen häiriötilanteissa. Tämä liite perustuu pääosin Kirkkonummen kunnan (myöh. Tilaaja) tietoturvaperiaatteisiin ja -vaatimuksiin, sekä VAHTI -ohjeistuksessa (Valtionhallinnon Tietoturvallisuuden Johtoryhmä) ja KATAKRI -kriteeristössä (Kansallinen Turvallisuusauditointikriteeristö) kuvattuihin Perustason vaatimuksiin ja käytäntöihin. Tämän liitteen kuvaamat vaatimukset ja käytännöt arvioidaan, ellei toisin mainita, Tilaajan toimesta, Palvelun tarkastuksen yhteydessä yhteisesti erikseen sovittavana ajankohtana. X Oy:n, Y-tunnus , (myöh. Toimittaja) tulee kuvata tässä asiakirjassa esitettyjen vaatimusten toteutuminen joko Palvelun Tietoturvasuunnitelmassa tai muissa turvallisuuden hallintaan liittyvissä asiakirjoissa. Toimittajan tulee pitää asiakirjat jatkuvasti ajan tasalla sekä Tilaajan saatavissa koko Palvelun ajan. Tässä liitteessä kuvatut menettelyt ja vaatimukset koskevat Palvelusopimuksen mukaista Toimittajan tuottamaa Palvelua. Palvelun piiriin kuulumattomat kokonaisuudet kuten z-laitteiden ja qohjelmistojen hankinta sekä niiden hallinnointi eivät kuulu tämän liitteen mukaisten velvoitteiden piiriin. 2 Palvelun laatu Toimittajan tulee tuottaa ja toimittaa Palvelua hyvien tiedonhallinta- ja tietoturvallisuuskäytäntöjen mukaisesti. Toimittaja on Palvelua tuottaessaan velvollinen noudattamaan Tilaajan kanssa sovittuja turvallisuusperiaatteita, -ohjeita ja -käytäntöjä. 3 Hallinnollinen tietoturvallisuus Hallinnolliset tietoturvatoimet sisältävät menettelyitä tietoturvan osa-alueiden ohjaamiseksi ja seuraamiseksi. Toimittajan tulee johtaa ja kehittää tietoturvatoimintoja samoin kuin muitakin prosesseja ja toimintaa sekä dokumentoida seuraavat tuotokset jotka todennetaan Tilaajan tekemässä tarkastuksessa: Johdon hyväksymä tietoturvapolitiikka ja periaatteet on dokumentoitu ja saatettu koko henkilökunnan ja tarvittavien sidosryhmien tiedoksi. Politiikassa kuvataan muut tietoturvan osa-alueet sekä riskienhallinta ja varautuminen minimivaatimuksineen. 4/11

5 Tietoturvatoiminnalle on asetettu realistiset mitattavat tavoitteet joita seurataan vähintään vuositasolla. Tietoturvaan liittyvät roolit ja vastuut on määritelty ja dokumentoitu. Liiketoiminnan kannalta kriittisimmät toiminnot ja -prosessit on tunnistettu, luokiteltu turvallisuustason mukaisesti ja niille on nimetty omistaja joka on vastuussa prosessien riskienhallinnasta, turvallisuudesta ja jatkuvuudesta. Tietoturvaa käsitellään säännöllisesti yhteistyöryhmässä jonka toimintaan osallistuvat sekä johto että tietoturvallisuuden vastuuhenkilöt. 3.1 Dokumentointi Toimittajan tulee laatia ja ylläpitää Palveluun liittyvä dokumentaatio riittävän kattavalla tasolla, sekä käsitellä dokumentaatiota sen luokittelun mukaisesti. Dokumentoinnista ja yhteisistä käytännöistä dokumentointiin liittyen on sovittu tarkemmin Palvelusopimuksessa. Dokumentoinnin yhteiset menettelytavat pitävät sisällään mm. määräykset aineiston käsittelystä ja hallinnasta, materiaalin luokittelusta, säilytyksestä sekä historiatietojen ja muutosten kirjaamisesta. 3.2 Riskienhallinta Kokonaisvaltaisilla riskienhallintakäytännöillä luodaan perusta turvallisuustyölle ja -suunnittelulle. Toimittajan tulee kuvata riskienhallintakäytännöt prosessina tai muuten havainnollisella tavalla, niin että kuvauksesta käy ilmi vähintään: Riskienhallintaan liittyvät toiminnot Vastuuhenkilöt Tuotokset (esim. riskienhallintasuunnitelma) Turvallisuusdokumentaation tulee sisältää Palvelun yleinen riskikartoitus (mahdolliset, tunnistettavissa olevat riskit). Toimittajan tulee ylläpitää jatkuvia riskien hallintakäytäntöjä, kattaen myös tietoon liittyvät riskit, koko sopimuskauden. 3.3 Varautuminen Toimittajan tulee kuvata varautumiseen liittyvät menettelyt, joilla varmistetaan Palvelun tuottamiseen tarkoitettujen tilojen, laitteiden ja henkilökunnan toimintaedellytykset normaaliolojen häiriö- ja poikkeamatilanteissa niin, että Palvelun tuotanto ei häiriinny. Toimittajalla on oltava vähintään Varautumissuunnitelma, joka kattaa sekä Toimittajan oman toiminnan että Palvelun tuottamiseen liittyvän toiminnan jatkuvuuden varmistamisen. Havainnollisempaa on kuitenkin käyttää esim. seuraavan kaltaista rakennetta: Jatkuvuussuunnitelma kaikille toiminnan kannalta kriittisille palveluille, tiloille ja toiminnoille niiden jatkuvuuden turvaamiseksi Toipumissuunnitelmat kriittisille tietojärjestelmille (erityisesti Palvelun tuotantoa ajatellen) niiden mahdollisimman nopean toipumisen sekä toiminnan uudelleenaloittamisen ja jatkamisen varmistamiseksi Pelastussuunnitelma: Ihmisten ja omaisuuden suojelemiseksi ja pelastamiseksi onnettomuustilanteissa 5/11

6 4 Henkilöstöturvallisuus Henkilöstöturvallisuus koostuu työsuhteen koko elinkaaren aikana henkilöstöön liittyvistä ja henkilöstön suorittamista toimenpiteistä. 4.1 Turvallisuusosaaminen Toimittajan tulee huolehtia turvallisuuteen, riskienhallintaan ja varautumiseen liittyvän osaamisen ja tietoisuuden kehittämisestä sekä kannustaa ja motivoida henkilöstöään ja käyttämiään kolmansia osapuolia noudattamaan ja kehittämään turvallisuuskäytäntöjä. Toimittajan tulee huolehtia siitä, että uusien työntekijöiden perehdytysprosessi kattaa myös turvallisuuteen, riskienhallintaan ja jatkuvuuteen liittyvät järjestelyt ja määräykset. Toimittaja vastaa sekä omasta että käyttämiensä kolmansien osapuolten puolesta siitä, että Palvelussa käytettävä henkilökunta on osallistunut vähintään kerran vuodessa turvallisuuskoulutukseen, joka kattaa tässä liitteessä esitetyt minimivaatimukset ja niistä johdetut käytännöt. Koulutukset tulee dokumentoida vähintään niissä käytetyn materiaalin ja osallistujien osalta. 4.2 Roolit ja vastuut Palvelun tuotantoon osallistuvien henkilöiden ja heidän varahenkilöidensä roolit ja vastuut tulee kuvata ennalta ja henkilöt tulee nimetä ennalta sovitun tehtäväjaon mukaisesti. Toimittajan tulee varmistaa, että vaarallisia työketjuja tai -yhdistelmiä ei pääse syntymään. Mikäli vaarallista työketjua tai -yhdistelmää ei voida välttää, tulee asiasta tiedottaa Tilaajan yhteyshenkilöitä viipymättä. 4.3 Taustaselvitykset ja salassapito Henkilöihin liittyviin taustaselvityksiin ja salassapitosopimuksiin liittyvät käytännöt tulee toteuttaa ennen Palvelun tuotannon alkamista sekä Palvelun tuotantoaikana seuraavasti: Taustaselvitykset: Uusien työntekijöiden opinto- ja työhistoria tulee tarkistaa oppilaitoksista ja edellisiltä työnantajilta. Toimittajan henkilöstöä koskevan turvallisuusselvityksen tekoa viranomaisilta pyytää tarvittaessa Tilaaja. Salassapitosopimukset: Salassapitosopimus (vaitiolositoumus) tulee tehdä jokaisen, sekä nykyisen että uuden, työntekijän kanssa. Sopimus voi sisältyä työsopimukseen tai olla erillinen. Toimittajan (työnantajan) alkuperäiset kappaleet tulee säilyttää niiden luottamuksellisuusvaatimusten mukaisesti. Salassapitosopimuksen tulee vastata Palvelusopimuksessa sovittuja salassapitovelvoitteita. 6/11

7 4.4 Resursointi Avainhenkilöiden vaihtamiseen liittyvistä ehdoista tulee sopia palvelusopimuksessa. Toimittajan tulee hyväksyttää Tilaajalla ennalta kaikki Palvelun tuotantoon osallistuvat henkilöt. Kaikista Palvelun tuotantoon osallistuvista henkilöistä tulee pitää ajantasaista henkilöstöluetteloa joka on jatkuvasti myös Tilaajan saatavilla. Toimittajan tulee kuvata resursointimallinsa Toimitusprojektiin sekä Palvelutuotantoon ja varmistaa, että resurssien ristiin käytettävyys on olemassa (projektin työntekijät voivat toimia toistensa tehtävissä, rooleissa ja vastuissa). 4.5 Sidosryhmien hallinta Toimittaja vastaa siitä, että kaikki Palvelun tuotantoon osallistuvat sidosryhmät (kuten alihankkijat, ja muut sisäiset ja ulkoiset toimijat) noudattavat omalta osaltaan tässä liitteessä sekä Palvelusopimuksessa ja sen liitteissä kuvattuja vaatimuksia. Toimittajan tulee määritellä ulkoisia ja sisäisiä sidosryhmiä koskevat yhteiset ja yksilölliset vastuut ja tavoitteet tietoturvan toteuttamiseksi. Palvelun käyttöönottoon ja Palvelutuotantoon liittyvä pääsynhallinta (oikeudet, myöntämisperusteet, muutokset, poisto) tulee kuvata vähintään Toimittajan, hallinnan / valvonnan sekä Tilaajan ja käyttäjäorganisaatioiden osalta. Lisäksi tulee kirjata saman käyttäjän usean tunnuksen hallinta sekä menettelyt usean käyttäjän jakaman tunnuksen suhteen. 5 Fyysinen turvallisuus Tietoturvan näkyy myös fyysisen turvallisuuden ratkaisuissa, tietovälineiden käsittelyssä, sekä henkilökunnan ja vieraiden pääsyoikeuksien hallinnassa. Toimittajan tulee huolehtia vähintään niiden omistamiensa ja hallinnoimiensa toimitilojen turvallisuudesta joissa, tai joista käsin, käsitellään Tilaajan tietoa tai tietojärjestelmiä. Toimittajalla tulee olla kuvattuna edellä mainittujen tilojen osalta vähintään seuraavat: Kulunvalvonnan hallintakäytännöt: Oikeuksien ja kulkuavaimien (kortti, metalliavain) hallinta: hakeminen, myöntäminen, muuttaminen ja poistaminen, sekä kirjanpito ja valvonta Rakenteelliseen turvallisuuteen ja lukitukseen liittyvät ratkaisut: Seinä-, katto- ja lattiarakenteiden palon- ja murronkesto (mukaan lukien ovet, ikkunat ja muut kuoressa olevat aukot) Tilat ja turvallisuusvyöhykkeet: Esim. yleiset tilat, neuvottelutilat, toimisto, tuotekehitys, tietojärjestelmät, laboratorio ja varasto Vartiointikäytännöt ja vastuut LVIS -tekniikkaan liittyvät ratkaisut ovat riittävän vikasietoisia Palontorjunnan järjestelyt, jotka täyttävät vähintään lakisääteiset vaatimukset Tilaajalla on niin halutessaan oikeus suorittaa tarkastus toimittajan tiloissa. 7/11

8 6 Käytön ja ylläpidon tietoturva Käyttöön ja ylläpitoon liittyvä tietoturva tarkoittaa mm. valmiutta siirtää tietotekninen ratkaisu tuotantoon, hallita tarvittavaa kapasiteettia ja muutoksia, sekä kuvata menettelyt poikkeamatilanteissa. Palvelusopimuksessa kuvatun lisäksi tulee turvallisuuden osalta huolehtia, että tietoturvallisuusominaisuuksien testaussuunnitelma on dokumentoitu ja että on sovittu menettelystä, jolla hyväksytään testien havainnot. Käytettävien kehitys-, tuotanto- ja testiympäristöjen tulee olla erilliset ja Toimittajan tulee kuvata ne selkeästi. 6.1 Kapasiteetin hallinta Toimittajan tulee kuvata Palveluun liittyvät kapasiteetin hallintatoiminnot. Toimittajan tulee valvoa kapasiteettia ja tarvittavista korvaavista menettelyistä (kuten ratkaisun skaalautuvuus käytön huippukohdissa) tulee sopia. Tilaajalla on oikeus saada kuormitusraportit tai vastaavat, joista Tilaaja voi arvioida Toimittajan ratkaisujen turvallisuutta ja kyvykkyyttä. Toimittajan tulee päivittää Palvelun tuotantoon liittyvien järjestelyiden kapasiteettilaskelmat aina Palveluun tehtyjen muutosten jälkeen. 6.2 Muutoksenhallinta Muutoksenhallinnan tulee ulottua kaikkeen Palveluun liittyvään toimintaan niin, että muutokset tietojärjestelmiin, järjestelmäympäristöihin, tiloihin ym. saadaan toteutettua hallitusti, ja tarvittaessa voidaan palata alkuperäiseen tilanteeseen. Toimittajan tulee kuvata muutoksenhallintamenettelyt kattavasti (prosessi, työkalut, ohjeet) sekä kouluttaa / tiedottaa niiden mukaiset käytännöt tarvittaville sidosryhmille. Muuttuneista kuvauksista ja käytännöistä tulee tiedottaa koko organisaatiolle sekä tarvittaville sidosryhmille viipymättä. Toimittajan tulee toimittaa suunniteltujen huoltokatkosten ajankohdat ja tehtävien sisällöt etukäteen Tilaajalle ja nämä hyväksytään yhteisesti. Käyttäjähallinnasta, sisältäen käyttöoikeuksien hallinnan ja päivityksen, on aina sovittava osapuolten kesken ennen tehtäviä muutoksia. Toimittajan on huomioitava, että erityisen kriittisiä tilanteita syntyy mm. varusohjelmien ja ratkaisun versionvaihdon yhteydessä. Toimittajan tulee testata muutokset sovitun ja dokumentoidun testausmenettelyn avulla. Toimittajan tulee ylläpitää lokikirjaa tai muutoksenhallintajärjestelmää, johon kaikki muutospyynnöt kirjataan (miksi, mitä, kuka, hyväksyntä, toimenpide). 8/11

9 6.3 Poikkeamatilanteiden hallinta Toimittajalla tulee olla sovitut, dokumentoidut ja koulutetut toimintatavat turvallisuuspoikkeamien, häiriöiden sekä väärinkäytöksien hallinnoimiseksi ja käsittelemiseksi. Poikkeamatilanteet tulee raportoida Tilaajalle viivytyksettä. Palvelun tuottamiseen liittyvän henkilöstön tulee tietää, kenelle tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa. Molempien osapuolten tulee välittömästi raportoida havaitsemansa (sekä omasta että muiden toiminnasta aiheutuneet) virheet, uhkat ja riskit, jotka saattavat vaikuttaa turvallisuuteen, Palvelun toimintaan tai jatkuvuuteen. Toimittajan tulee kuvata toimintaa ja Palvelun tuotantoa uhkaavat tekijät (Esim. Tietoturvasuunnitelmassa tai Riskienhallintasuunnitelmassa). Jokaisen tietoteknisen ratkaisun yhteydessä Toimittajan tulee määritellä ratkaisun toimivuuteen ja organisaation toimintaan mahdollisesti vaikuttavat häiriöt, niiden hallinta ja tarvittava dokumentointi. Määritysten tulee pitää sisällään kriittisyysluokitukset ja niitä vastaavan toipumisen sekä ratkaisun jatkuvuussuunnitelma. Dokumentoinnin tulee kattaa ongelman tunnistaminen, ratkaisun kuvaukset, palautuminen sekä tarvittavat varajärjestelyt. 7 Tietoverkkojen ja tietoliikenteen turvallisuus Tiedon siirtämisen ja liikkumisen on oltava tunnistettavaa. Tämä edellyttää että tietojen siirrossa käytettävät siirtotiet ja reitit tunnetaan, ja niiden rakenteet (arkkitehtuurit) on kuvattu. Tiedon siirron turvallisuus koostuu laitteista, palvelurakenteesta ja käyttäjistä, sekä niitä ja niiden toimintaa kuvaavasta dokumentaatiosta. Toimittajan tulee kuvata käytettävän tietoverkon rakenne. Tilaaja hyväksyy kuvauksen. 8 Laitteistoturvallisuus Laitteistoturvallisuuteen liittyvät seikat on tarpeen määritellä kokonaisuuden hallinnoimiseksi (kuten laitehallinta ja häiriöistä toipuminen). Toimittajan tulee määritellä ja kuvata laitteistoturvallisuuteen liittyvät tietoturvamenettelyt vähintään seuraavilta osin: Laiterekisteri ja sen ylläpito (mm. omistajuus ja ylläpitotoimenpiteet) Laitteiden ja järjestelmien toipumissuunnitelmat Varusohjelmistot, niiden versiot, sekä käyttöoikeudet / lisenssit 8.1 Laitehallinta Tarvittavat laitteet tulee hankkia tunnetuilta valmistajilta ja samalla varmistaa niiden rakenteellinen soveltuvuus tarkoitukseen sekä tekniseen arkkitehtuuriin. Palvelun toimittamiseen käytettävän laitteiston osalta Toimittajan tulee kuvata 9/11

10 suunniteltu elinkaari, joka kattaa vähintään toipumisen ja laitteiston turvallisen käytöstä poistamisen. Toimittajan tulee valvoa jokaista laitetta ja sen toimivuutta ennakkoon kuvatulla menetelmällä. Valvontaan käytetään mm. laitteiden omia lokitiedostoja. Tilaajalla on oikeus saada käyttöönsä Toimittajalta em. lokitietoja sellaisessa muodossa, että Tilaaja tai Tilaajan määrittelemä henkilö kykenee tulkitsemaan saatua lokitietoa. 9 Ohjelmistoturvallisuus Ohjelmistoturvallisuuden tavoitteena on turvata ohjelmistojen käyttöoikeuksien lisäksi ohjelmistojen käytettävyys kaikissa olosuhteissa. Toimittajan tulee kyetä: Esittämään luettelo käytössä olevista ohjelmistoista ja niiden lisensseistä sekä kuvaus käytön valvonnasta Esittämään henkilö/henkilöt, jotka toimivat palvelussa käytettävien ohjelmistojen osalta omistajan roolissa Kuvaamaan miten havaittuja uhkia käsitellään, sekä miten poikkeamat hallitaan Kuvamaan miten versio- ja revisiohallinta toteutetaan Pitämään ajan tasalla riskikarttaa liittyen versiohallintaan. 9.1 Järjestelmäarkkitehtuuri Järjestelmäarkkitehtuuriin lasketaan kehitysohjelmistot, varusohjelmistot ja tarvittavat integraatioratkaisut. Valittujen ratkaisujen tulee olla yleisesti käytössä olevia ja standardien mukaisia. Harvinaisten, suljettujen ratkaisujen käyttöä tulee välttää. Ohjelmistoihin liittyvien aineettomien oikeuksien ja niihin liittyvien määritysten tulee olla kaikkien osapuolten tiedossa. Toimittajan tulee tiedottaa Tilaajaa viipymättä kaikista turvallisuuteen vaikuttavista muutoksista. Tehtyjen valintojen vaikutus Palvelun kokonaisturvallisuuteen tulee hyväksyä Tilaajan toimesta. 9.2 Versiohallinta Versiohallinnan osalta Toimittajan tulee varmistaa, että tuotanto- ja kehitysversiot ovat samalla tasolla. Toimittajan tulee arvioida versiovaihdon merkitys koko järjestelmäarkkitehtuuriin ennen ratkaisun käyttöönottoa. Toimittajan tulee huomioida eri rajapintojen mahdolliset päivitystarpeet. Versiovaihdosta sovittaessa Toimittajan tulee kuvata ratkaisun riskit ja niiden hallinta. Toimittajan tulee luoda elinkaari jokaiselle ratkaisulle ja kuvata sen hallinta. 10/11

11 10 Tietoaineiston turvallisuus 11 Asiakirjat Tietoaineiston turvallisuus koostuu aineiston koko elinkaaren kattavista, tiedon luokittelun huomioivista käsittelykäytännöistä ja niiden noudattamisesta. Fyysisten tietovälineiden käsittelyyn tulee kiinnittää erityistä huomiota. Tietovälineiksi luetaan sekä kiinteät (mm. palvelinten, työasemien ja levyjärjestelmien kiintolevyt) että kannettavat / siirrettävät välineet (mm. matkapuhelin, kannettava- / kämmentietokone, tabletti, erilaiset muistikortit ja -tikut, CD, DVD). Esimerkkejä turvallisuuteen, riskienhallintaan ja varautumiseen liittyvistä dokumenteista, joiden avulla Toimittaja voi ylläpitää vaadittujen järjestelyjen kuvauksia: Tietoturvapolitiikka Tietoturvasuunnitelma (+ strategia, kehityssuunnitelma, jne.) Koulutussuunnitelma Koulutusmateriaali (tietoturvan perusteet, ym.) + osallistujarekisteri Riskienhallintapolitiikka Riskienhallintasuunnitelma Jatkuvuudenhallintapolitiikka / Varautuminen Jatkuvuussuunnitelma (palveluille, toiminnoille) Toipumissuunnitelma (järjestelmille, konesaliympäristölle) Varautumissuunnitelma Pelastussuunnitelma Tiedon käsittely- ja luokitteluohje Tietovälineiden tuhoamisprosessi Tietosuojaohje Tilaturvallisuusohje (fyysinen pääsynhallinta, vierailijakäytännöt, hälytys-järjestelmät) Käyttövaltuushallinta (politiikka / ohje) Haavoittuvuuksien hallinta (prosessi / ohje) Lokien hallintaohje Varmuuskopiointi (varmistusten ottaminen ja palauttaminen) Konesaliympäristön minimivaatimukset (sisäiset ja kolmannen osapuolen salit) Tietoverkkoarkkitehtuuri / segmentoidun verkon turvallisuusohje Muut arkkitehtuurikuvaukset Järjestelmien koventamisohje + konfiguraatiotiedot Muutoksen- ja Poikkeamien hallintaprosessi + ohjeet Henkilöstöluettelo Omaisuuden / inventaarion hallintaan liittyvä dokumentaatio (luettelot järjestelmistä, laitteista, ohjelmistoista, lisensseistä) Olennaisten, kuten konesalien, LVIS -järjestelyjen tekniset kuvaukset, huolto- / testausohjeet sekä lokitiedot Aulapalvelu- / vartiointiohje Ohjeet hälytysjärjestelmien, kulunvalvontajärjestelmän ja kameravalvonnan operoimiseksi Avaintenhallinta (luettelo + kuittaus metalliavaimista ja kulkuavaimista / -korteista). 11/11