6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Transkriptio

1 6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA Tietoturvallisuuspolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet ja toimintatavat sekä ohjataan tietoturvallisuuden huomioon ottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Tietoturvapolitiikka on kunnan johdon kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Tietoturvapolitiikka annetaan tiedoksi kaikille kunnan hallintokunnille ja heidän tulee toimia sen mukaisesti. Politiikkaa tarkennetaan tietojenkäsittelyn säännöissä ja ohjeissa. Tiedon turvaaminen on oleellinen osa kunnan toiminnan ja palveluiden laatua, kokonaisturvallisuutta ja kunnassa tapahtuvaa päivittäistä tietojen käsittelyä. Tietoturvallisuuden hyvä hallinta edellyttää kaiken toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua, varautumista erilaisiin uhkatilanteisiin, sovittujen toimintatapojen noudattamista, ohjeita, koulutusta ja viestintää. 6.1 Tavoitteet Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä. Sulkavan kunnan tavoitteena on turvata toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen ja vääristyminen. Tietojen turvallisuudesta on huolehdittava niin manuaalisesti kuin tietotekniikankin avulla tapahtuvassa tiedon käsittelyssä, tiedon kaikissa olomuodoissa ja tiedon koko elinkaaren ajan. Kunnan kaikkien hallintokuntien perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon. Tietojen turvaamisesta tulee erityisesti huolehtia yksiköissä, jotka käsittelevät runsaasti luottamuksellista tai muuten

2 turvaluokiteltua tietoa. Tietojen turvaamisessa huomioidaan omina osa-alueinaan hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus. 6.2 Tietoturvan perustaso Hallinnollinen turvallisuus Hallinnollisella turvallisuudella tarkoitetaan tietoturvan yleistä organisointia, suunnittelua, tiedottamista ja valvontaa. Sulkavan kunnan hallinnollisen turvallisuuden perustaso edellyttää, että kunnassa on hyväksytty tietoturvaperiaatteet, laadittu tietoturva- ja toipumissuunnitelmat, järjestetty jatkuvaa tietoturvakoulutusta, määritelty tietoturvavastuut ja -tehtävät, nimetty vastuuhenkilöt ja heille varamiehet Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan tietojenkäsittelyohjelmien määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ennen käyttöönottoa tapahtuvaan toimintaan liittyvää turvallisuutta. Keskeisiä vaatimuksia ovat: saatavuuden turvaaminen käytettävyys luottamuksellisuus yhteensopivuus eheys Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuut ohjelmistotuotteista määräytyvät hankinta- ja käyttöoikeussopimusten mukaan. Sulkavan kunnan ohjelmistoturvallisuuden perustaso edellyttää: tietojärjestelmien ylläpidosta huolehtimista ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti ohjelmistotoimittajilta vaaditaan tuotteille tietosuojaselvitys, tietoturvasuunnitelma sekä atk-valmiussuunnitelma

3 järjestelmämuutokset toteutetaan käyttäjien toiveista ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan käyttäjien toimesta testaukset suoritetaan laaditun testaussuunnitelman mukaisesti Sulkavan kunnassa määritellään ohjelmistojen käyttöön liittyvät velvollisuudet seuraavasti: Mg-nauhat, levykkeet ja tulostusdokumentit säilytetään tilassa, joka täyttää arkistoinnin vaatimat vesi-, palo- ja tietoturvavaatimukset. Ohjelmiin kuuluvat alkuperäiset dokumentit ja käsikirjat tallennetaan tilassa, joka täyttää arkistoinnin vaatimat vesi-, palo- ja tietoturvavaatimukset. Erilliset operointikansiot säilytetään tietohallintoyksikössä. Kaikki ohjelmamuutokset ja -päivitykset kirjataan asiamukaisesti ja tehdyistä muutoksista tiedotetaan kirjallisesti käyttäjille. Ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia. Varmuuskopiointi keskuskoneille on sovittu järjestelmäkohtaisesti, kopioinnista ja säilytyksestä vastaa palvelun suorittava operaattori. Ohjelmien asentaminen ja hankinta on keskitetty tietohallintoon, joka hyväksyy kaikki työasemille asennettavat ohjelmat. Ohjelmien asennuslevyt ja niiden kopiot säilytetään tilassa, joka täyttää arkistoinnin vaatimat vesi-, palo- ja tietoturvavaatimukset. Työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojen varmistamisesta. Palvelimella on pääkäyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus Tietoaineistoturvallisuus Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojen käsittelyä. Näitä normeja ovat lait asetukset,

4 viranomaismääräykset, tietojärjestelmien käsittelysäännöt, tietojen luokitteluun liittyvät salassapitosäännökset ja arkistointiohjeet. Sulkavan kunnan tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilökunta tuntee ja noudattaa toiminnassaan: henkilötietojen käsittelyä koskevia yleisiä periaatteita, sääntöjä vaitiolovelvollisuudesta ja salassapidosta, salassapitositoumusmalli liitteessä 5 yksikkönsä toimintaa ohjaavia ja rajoittavia normeja, luottamuksellisten tietojen käsittelyohjeita tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä, yleiset tietoturvaohjeet liitteessä 6 tietojen ja asiakirjojen luokitteluohjeita Suojaamatonta sähköpostia ja faxia käytettäessä varmistetaan, että tieto menee oikeaan osoitteeseen, tunnistettavaa henkilötietoa ei välitetä ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö. Erityistä huomiota on kiinnitettävä asiakirjojen suojaamisvelvoitteeseen. Tiedot säilytetään ja hävitetään arkistonmuodostussuunnitelman mukaisesti. Huollettavasta, poistettavasta tai myyntiin luovutettavasta työasemasta poistetaan tai puhdistetaan aina kiintolevy. Salassa pidettävien tietojen osalta salassapitovelvollisuus säilyy palvelussuhteen päättymisen jälkeenkin Käyttöturvallisuus Käyttöturvallisuudella tarkoitetaan kunnassa olevan aineiston, tietojärjestelmien ja niiden käytön turvallisuutta. Sulkavan kunnassa käyttöturvallisuuden perustaso edellyttää: hyväksyttyä asiakirjojen suojelusuunnitelmaa tietojenkäsittelyn toipumis- ja valmiussuunnitelmaa vastuu- ja varahenkilöiden nimeämistä ohjeistoa päivittäin hoidettavista rutiineista

5 varasuunnitelmaa käyttökatkoihin turvallisuusohjeita ja käyttöoikeuskäytäntöjä tietojärjestelmiä käyttävien henkilöiden tunnistamista käyttäjätunnusten, salasanojen, toimikorttien ja PIN-koodimenettelyn käyttöä tietokonevirusten ja haittaohjelmien torjuntaohjeita suojausten riittävyyden varmistamista käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi tiedostojen sisällön käyttökelpoisuuden varmistamista, tietojen saatavuutta ohjelmien ylläpidon ja huollon saatavuutta Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan Sulkavan kunnan atk-laitteistojen, tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, varmistuksiin sekä pääsynsuojaukseen liittyvää turvallisuutta. Laitteistoturvallisuuden perustaso edellyttää: atk-laitteistojen ja tietoverkkojen dokumentoimista toipumissuunnitelmaan varajärjestelmien käytettävyyden varmistamista poikkeusoloja varten laitteistojen fyysisen kunnon ylläpitämistä huolto- ja ylläpitosopimusten ylläpitämistä Fyysinen turvallisuus Fyysisellä turvallisuudella tarkoitetaan Sulkavan kunnan tietoaineistojen, atk-laitteiden sekä niitä tukevien lämpö-, vesi-, ilmastointi- ja sähkölaitteiden fyysisen kunnon ja tilaratkaisuiden turvaamista. Fyysiseen turvallisuuteen liittyy myös atk-katastrofin ennaltaehkäisy, sattuneen vahingon haittojen minimointi, kulunvalvonta ja murtosuojaus. Sulkavan kunnan fyysisen turvallisuuden perustaso edellyttää, että:

6 tietojen luovuttaminen luvattomiin käsiin on estetty tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat työhuone lukitaan sen jäätyä tyhjäksi palvelimet on keskitetty atk-tiloihin atk-tila on erillinen lukittu tila ja sinne määritellään kulkuoikeudet työasemat on sijoitettu valvottuihin tiloihin laitteistot on merkitty yksilöidysti kriittiset työasemat on nimetty ja niille on tehty toipumissuunnitelma varmuuskopiot on sijoitettu fyysisesti eri palotiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti lähiverkon käytönvalvonta on järjestetty lähiverkolle on tehty toipumis- ja valmiussuunnitelma Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan Sulkavan kunnan tietoliikennelaitteiden, - ohjelmien ja tietoverkon turvallisuutta. Sulkavan kunnan tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden asennus tapahtuu suunnitellusti tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttöoikeudet tarkistetaan säännöllisesti luvaton käyttö on estetty tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalla noudatetaan annettuja ohjeita varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, tietoliikenneviestien sisällön muuttumattomuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen

7 sovitaan viestien tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattorien ja huollon välillä Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan sekä oman henkilökunnan että ulkopuolisten henkilöiden virka- tai työsuhteen alkaessa, sen aikana ja sen päättyessä sopimuksilla ja valvonnalla huomioon otettavaa turvallisuuden hallintaa. Sulkavan kunnan henkilöstöturvallisuuden perustaso edellyttää, että: kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt esimiesten ja työntekijöiden vastuista, velvollisuuksista ja oikeuksista on laadittu ohjeisto tietoturvakoulutus on pakollinen kaikille tietolaitteistojen ja -aineistojen käyttäjille uusille työntekijöille annetaan käyttäjätunnukset erikseen määritellyksi koeajaksi, jonka aikana työntekijä on perehdytettävä tietoturva-asioihin henkilökunta noudattaa annettuja tietoturvaohjeita ja -käytäntöjä ohjeiden noudattamista valvotaan ja väärinkäytösten varalle on laadittu tulkinta- ja seuraamussäännöstö, joka on esitetty liitteessä Tietoturvatehtävät ja tietoturvatyön organisointi Tietoturvallisuustyö on oleellinen ja kiinteä osa tietojärjestelmäkehittämisen tehtävistä. Kaikilla tietojärjestelmien käyttäjillä ja niiden kehittämiseen osallistuvilla tulee olla tietoturvallisuuden perustuntemus. Vastuunjakojen tarkka määrittely on organisaatiokohtainen. Tärkeää on, että organisaatiossa on jaettu selkeästi vastuut eri osapuolien kesken.

8 6.3.1 Johto Ylin johto määrittelee tietoturvallisuuden keskeiset periaatteet osana kunnan toimintaja tietohallintostrategiaa sekä päättää merkittävistä hankkeista ja hankinnoista sekä vastaa omalla hallinnonalallaan tieturvan valvonnasta ja tapahtuvien rikkomusten raportoinnista tietohallinnolle. Johto osallistuu myös toiminnalle kriittisten järjestelmäkehityshankkeiden tavoitteenasetteluun ja valvontaan. Johdon sitoutuminen tietoturvallisuuskulttuurin ja tietoturvallisuus-hankkeiden edistämiseen on ensiarvoisen tärkeää. Sulkavan kunnan tietoturvaperiaatteet hyväksytään kunnanhallituksessa, jonka pohjalta tietohuoltoa toteutetaan tietohallinnon toimesta. Tietohallinto on keskitetty teknisen toimen tehtäväalueeksi, jossa vastaavana viranhaltijana toimii tekninen johtaja apunaan mikrotukihenkilö ja tietohallintotyöryhmä. Tietohallinto ohjeistaa ja avustaa henkilöstöä tietoaineiston ja tietojärjestelmien käytössä sekä siihen liittyvässä tietoturvassa. Tietoturvaan liittyvät VAHTI tietoturvaohjeet ja -määräykset on esitetty liitteessä Tietojärjestelmien ja laitteistojen omistajat ja vastuuhenkilöt Kaikille tietojärjestelmille ja -laitteistoille sekä ulkoistetulle palvelulle on määritelty omistajat ja vastuuhenkilöt, jotka vastaavat niiden palvelutason varmistamisesta, kehittämisestä ja hyväksikäytöstä. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Tietoturvasuunnitelmaan sisältyvässä toipumista käsittelevässä osuudessa on määritelty tavoitteet poikkeustilanteiden toipumisajoille sekä yhteystiedot tahoihin, joiden kautta poikkeustilannejärjestelyt hoidetaan. Sulkavan kunnassa tietojärjestelmän vastuullinen omistaja on se hallintokunta, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu. Tietojärjestelmän omistajaa edustaa vastuualueen esimies. Omistajalla on velvollisuus huolehtia tietojensa ja tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja kunnassa voimassaolevien sääntöjen ja ohjeiden noudattamisesta. Vastuu on riippumaton siitä, hoidetaanko tietojen käsittely tai tietojärjestelmien ylläpito yksikössä vai hankitaanko se palveluna.

9 6.3.3 Arkisto Keskusarkistonhoitajan johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat kunnan arkistotoimen ja tietohallinnon yhteistyönä, jossa huomioidaan sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset Pääkäyttäjät Tietojärjestelmien pääkäyttäjien tietoturvallisuustehtäviä ovat huolehtiminen sovellusten käytettävyydestä ja kehittämisestä, käyttöoikeuksista sekä järjestelmän tietoturvallisuudesta. Pääkäyttäjä on mukana myös jatkuvuussuunnitteluun liittyvissä projekteissa Henkilöstö Henkilöstön on otettava huomioon järjestelmien ja tietojen käyttämisen yhteydessä niihin liittyvien salassapitovelvollisuuksien ja muiden tietoturvallisuusvelvoitteiden noudattaminen. Käyttöoikeuksien luovuttaminen eteenpäin on kielletty. Hallintokunnittain on huolehdittava siitä, että käyttäjät ovat saaneet työyhteisön ja tietojärjestelmän käytön edellyttämän tietoturvallisuusosaamisen kouluttautumis- ja kehittämistarpeiden perusteella. Järjestelmän käyttäjä arvioi järjestelmän käytettävyyttä ja raportoi ongelmista välittömästi omalle esimiehelleen. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset tietohallinnolle tiedoksi toimenpiteitä varten.