Tietoturvapolitiikka ja tietoturvasuunnitelma



Samankaltaiset tiedostot
Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä?

1. päivä ip Windows 2003 Server ja vista (toteutus)

KServer Etäohjaus Spesifikaatio asiakaspuolen toteutuksille

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Fennian tietoturvavakuutus

TIETOTURVA- POLITIIKKA

Tietoturvavinkkejä pilvitallennuspalveluiden

Memeo Instant Backup Pikaopas. Vaihe 1: Luo oma, ilmainen Memeo-tili. Vaihe 2: Liitä tallennusväline tietokoneeseen

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

2. Koetilan palvelin. 4. Varatietokoneet ja -kuulokkeet. 6. Kokelaan tikkuja osallistujille, varapäätelaitteille ja varalle

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

IDA-tallennuspalvelun käyttölupahakemus

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Liite verkkopalveluehtoihin koskien sähköntuotannon verkkopalvelua Tvpe 11. Voimassa alkaen

Novapoint Finnish Value Pack Asennusohje Mar-06 1(5)

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

ADENSY OY:N KÄYTTÖOIKEUSSOPIMUS

PK-yrityksen tietoturvasuunnitelman laatiminen

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Kymenlaakson Kyläportaali

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Fixcom Webmail ohje. Allekirjoitus. Voit lisätä yhden tai useamman allekirjoituksen.

Toshiba EasyGuard käytännössä: Portégé M300

Yleinen ohjeistus Windows tehtävään

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

TIETOTURVAPOLITIIKKA

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

IT BACKUP & RESTORE. Palvelimille, työasemille sekä mobiilipäätelaitteille

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

IT-järjestelmän kuntokartoitus. Sisällys. You Need IT We Do IT

Finnish Value Pack Asennusohje Vianova Systems Finland Oy Versio

Storage IT Automaattinen Tiedonvarmennuspalvelu. Palvelukuvaus 1 (5)

XEROXIN TURVATIEDOTE XRX Http-palvelimen haavoittuvuus ESS:ssä/verkko-ohjaimessa saattaa mahdollistaa järjestelmän luvattoman käytön.

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

Yleinen ohjeistus Linux tehtävään

Huoneistoremontit kohti toimivia käytäntöjä ja menettelytapoja

PIKAOPAS MODEM SETUP

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

Sähköisen ylioppilaskirjoituksen katastrofiharjoitus

Taitaja 2015 Windows finaalitehtävä

Espoon kaupunki Tietoturvapolitiikka

Sovelto Oyj JULKINEN

Tietoturvan Perusteet Yksittäisen tietokoneen turva

WordPress Multisiten varmuuskopiointi

Varmuuskopiointi ja palauttaminen Käyttöopas

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

LIITE VERKKOPALVELUEHTOIHIN KOSKIEN SÄHKÖNTUOTANNON VERKKOPALVELUA

Kyberturvallisuus kiinteistöautomaatiossa

Tapahtumat.infon käyttöehdot

Palvelukuvaus Datatalkkari LOUNEA DATATALKKARI PALVELUKUVAUS.

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

IT-palvelujen ka yttö sa a nnö t

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

1 YLEISKUVAUS Laajakaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

VISMA SOVELLUSPALVELU. Visman yritysohjelmistot pilvipalveluna

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Maatalouden Laskentakeskus Oy Minun Maatilani - ohjelmiston palvelusopimus

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

VALVO JA VARAUDU PAHIMPAAN

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Käyttöehdot, videokoulutukset

Verkostoautomaatiojärjestelmien tietoturva

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Romlab.com myy tuotteita myös alle 18-vuotiaille asiakkaille sillä ehdolla, että holhooja antaa suostumuksen ostosten tekemiseen.

Tämän ohjeen avulla pääset alkuun Elisa Toimisto 365 palvelun käyttöönotossa. Lisää ohjeita käyttöösi saat:

Nokia Lifeblog 2.5 Nokia N76-1

Kolmannen vuoden työssäoppiminen (10 ov)

Varmuuskopiointi ja palauttaminen Käyttöopas

Nokia langaton audioyhteyslaite AD-42W /1

Esimerkki: Uhkakartoitus

Office ohjelmiston asennusohje

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Kajaanin kaupungin joukkoliikenteen Waltti- nettilatauspalvelun käyttöehdot

Tikon Ostolaskujenkäsittely versio SP1

Tietokoneet ja verkot. Kilpailupäivä 2, torstai Kilpailijan numero. allekirjoitus. nimen selvennys. Sivu 1

Tietoturvapolitiikka turvallisuuden perusta

Visma Avendon asennusohje

10 parasta vinkkiä tietokoneongelmiin

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Transkriptio:

Tietoturvapolitiikka ja tietoturvasuunnitelma Sisällysluettelo Esipuhe.....2 Yrityksen kuvaus......2 Yrityksen organisaatio......2 Tämän asiakirjan lisenssi......2 KServer Interactive Oy Ltd:n tietoturvapolitiikka......3 Tietoturvallisuus......3 Päämäärät ja tavoitteet......3 Toteutuskeinot ja toteuttamisen organisointi......3 Vastuut......4 Tiedottaminen......4 Seuranta.....4 Voimaanastuminen......4 KServer Interactive Oy Ltd:n tietoturvasuunnitelma......5 Yleistä......5 Mitä voi sattua?......5 Miten voidaan välttää/ vähentää mahdollisuutta ja minimoida vahingot?...5 Yhteisiä toimenpiteitä yleisen turvallisuuden kehittämiseksi......8 Version Information Versiotiedot......9 1/10

Esipuhe Tämä on minun, Riku Eskelisen, työni Mäntän seudun koulutuskeskuksen datanomiopintoihin kuuluvan tietoturvakurssin tehtävään. Tässä esitelty yritys on puolifiktiivinen ja se perustuu joiltakin osin omiin kokemuksiin ja käytännön sovellutuksiin oman palvelimeni, KServerin (http://www.kserver.dy.fi), kanssa. Yrityksen kuvaus Tässä esitetty yritys on fiktiivinen yhtiö KServer Interactive Oy Ltd joka tuottaa räätälöityjä interaktiivisia websovelluksia asiakkaiden käyttöön omalla palvelimellaan. Se työllistää hallituksen, hallintoneuvoston ja toimitusjohtajan lisäksi 27 henkilöä: Tietoturva- ja laitteisto-osasto 10 henkilöä Suunnitteluosasto 5 henkilöä Ohjelmointiosasto 7 henkilöä Myynti- ja markkinointiosasto 5 henkilöä. Yritys ei ole tässä vielä aloittanut tuotannollista toimintaansa, eli tässä mainittu tietoturvastrategia on yrityksen aloitustietoturvastrategia, jonka pohjalta se alkaa kehittää toimintaansa. Yrityksen organisaatio Yrityksen organisaatio on kuvattu seuraavassa (yritys on niin pieni, ettei se pysty monimutkaisempaan ja hajautetumpaan organisointiin tarvittavissa kohdin seuraavia osia viitatessa yksikköön kerrotaan myös syy viittaukseen): Hallitus Hallintoneuvosto Toimitusjohtaja Tietoturva- ja laitteisto-osasto Suunnitteluosasto Ohjelmointiosasto Myynti- ja markkinointiosasto Työntekijät Työntekijät Työntekijät Työntekijät Työntekijät Työntekijät Tämän asiakirjan lisenssi Tämä asiakirja on lisensoitu GNU Free Document Licencen alaisena, joten tätä asiakirjaa saa vapaasti levittää ja muokata lisenssin ehtojen mukaisesti. Lisenssi on aina saatavilla osoitteesta http://www.gnu.org/licenses/fdl.txt. Jos olet saanut tämän asiakirjan muuten kuin Internetin välityksellä, sinun tulisi saada myös kyseinen lisenssi. 2/10

KServer Interactive Oy Ltd:n tietoturvapolitiikka Perustuu osittain Pirkanmaan Ammattikorkeakoulun tietoturvapolitiikka -asiakirjan rakenteeseen ja sisältöön. Tietoturvallisuus Tietoturvallisuus KServer Interactive Oy Ltd:ssä tarkoittaa viiden tukijalan; luottamuksellisuuden, eheyden, käytettävyyden, oikeuksienhallinnan ja kiistämättömyyden; ylläpitämistä teoriassa kaikissa tapauksissa, jotta oikeat palvelut olisivat sekä henkilökunnan, asiakkaiden että asiakkaiden asiakkaiden saatavissa tehokkaasti ja turvallisesti. Päämäärät ja tavoitteet Tietoturvallisuuden tavoitteena KServer Interactive Oy Ltd:ssä on taata tiedostojen, kansioiden, laitteiden ja muiden noodien käyttö missä tahansa tilanteessa luotettavasti. Huomioon otettavaa on myöskin oikeuksien hallinta: Järjestelmien käyttäjällä tulee olla oikeudet vain hänelle tarkoitettuihin tai hänen tarvitsemiinsa palveluihin, laitteisiin, tiedostoihin, kansioihin jne. Laitteiden ja muiden komponenttien rikkoutumiseen varaudutaan käyttämällä vaihtoehtoisia järjestelmiä, jotka on hajautettu ja joita vartioidaan. Näin minimoidaan myös mahdollisuus esimerkiksi kaapelivian tai luonnonilmiön aiheuttamiin palvelukatkoksiin. Kaikki tallennusmediat on kahdennettu joko paikallisesti tai käyttäen salattua tiedonsiirtoa. Tavoitteena on, ettei toisen median vikaantuminen tai muu poiskytkentä aiheuta järjestelmään mitään katkoksia tai vajaatoiminnallisuutta. Tämän lisäksi kaikki kiinteät tallennusmediat on tarkoitus varmuuskopioida säännöllisesti. Toteutuskeinot ja toteuttamisen organisointi Tätä politiikkaa käytetään soveltuvin osin KServer Interactive Oy Ltd:n päivittäiseen ja pitkäaikaiseen tietoturvan hoitoon. Tietoturvan päivittäisistä asioista huolehtii Tietoturva- ja laitteisto-osasto tämän politiikan ja hallinnon päätösten mukaisesti. Tietoturva- ja laitteisto-osasto huolehtii itsenäisesti pienistä tietoturvan parantamisista sekä tarvittavista toimenpiteistä poikkeusoloissa jollei hallinnolta saada soveltuvia toimintaohjeita tai sellaisia ei jo ennestään ole. Muutoin toimintaan sovittujen toimintatapojen, -periaatteiden ja -käytäntöjen mukaisesti, käyttäen aina ensisijaisesti tätä tietoturvapolitiikkaa. Jokainen KServer Interactive Oy Ltd:n työntekijä sekä asiakas on allekirjoittanut sopimuksen tietoturvan ylläpitämisestä tarvittavin toimin. Asiakkaiden palveluiden käyttäjät (jatkossa Loppukäyttäjät) ovat asiakkaiden vastuulla, ja mikäli Loppukäyttäjä teollaan aiheuttaa vahinkoa asiakkaalle tai KServer Interactive Oy Ltd:lle, on asiakas vastuussa, ellei syy ole KServer Interactive Oy Ltd:n puutteesta järjestelmässä. Tietoturva- ja laitteisto-osasto on valinnut ja KServer Interactive Oy Ltd:n hallitus hyväksynyt ko. osastolta henkilön IT-vastaavaksi. Tämän henkilön työhön kuuluu, muiden töidensä ohella (lisätietoa korvauksesta IT-vastaavana toimimisesta on asiakirjassa KServer Interactive Oy Ltd:n yleiset palkanmaksu- ja korvaustiedot, ei sisällytetty tähän asiakirjaan), kriittisten tietoturvan uhkatekijöiden poista- 3/10

minen sekä muiden nopeaa toimintaa vaativien toimenpiteiden suorittaminen, kuten osajärjestelmien eristäminen tai käyttäjätilin jäädyttäminen milloin se voidaan laskea kriittiseksi uhaksi KServer Interactive Oy Ltd:n tai sen asiakkaan tietoturvalle. Jokaisella KServer Interactive Oy Ltd:n työntekijällä on velvollisuus ilmoittaa havaitsemistaan tietoturvauhkista tai -loukkauksista välittömästi Tietoturva- ja laitteisto-osastolle, jonka tulee toimia sovittujen politiikkojen mukaisesti. Myös KServer Interactive Oy Ltd:n asiakkaita kehotetaan, joskaan ei ehdottomasti edellytetä, ilmoittamaan edellä mainituista asioista. Tämän politiikan pohjalta Tietoturva- ja laitteisto-osasto koostaa säännöllisesti ajantasaisen tietoturvastrategian, jonka KServer Interactive Oy Ltd:n hallitus hyväksyy tai palauttaa muutettavaksi tarpeen mukaan. Vastuut Tietoturvasta vastaa pääosin Tietoturva- ja laitteisto-osasto IT-vastaavan johdolla. Osaston velvollisuus on pitää kaikki järjestelmät ajantasalla tietoturvan osalta ja mahdollisissa poikkeusoloissa palauttaa järjestelmät tietoturvalliseen ja käytettävään tilaan. Osasto valmistelee tarvittaessa järjestelmämuutoksen (kuten uusien palveluiden tai työasemien käyttöönoton) ja se annetaan Hallitukselle käsiteltäväksi, joka joko hyväksyy tai hylkää muutosanomuksen. Järjestelmämuutosanomuksessa on selvitettävä toimen tarpeellisuus sekä mahdolliset riskit järjestelmille ja miten riskeihin on varauduttu. Lisäksi asiakkailla on, kuten voidaan olettaa asiakkaan tietotaidon mukaan kohtuullista tai kuten on sovittu, velvollisuus huolehtia sovellustensa tietoturvasta omalta osaltaan. Kuten aiemmin on mainittu, KServer Interactive Oy Ltd:n henkilöstöllä on velvollisuus ilmoittaa havaitsemistaan tietoturva-aukoista ja -uhkista. Tämän lisäksi sitä koskee tietoturvan toteuttaminen omalta osaltaan kuten on sovittu; tai jos ei ole sovittu, niin kuin voidaan pitää kohtuullisena. Tiedottaminen Tietoturva- ja laitteisto-osasto tiedottaa odotetuista ja ei-odotetuista muutoksista järjestelmiin ja niiden käytettävyyteen sekä ajankohtaisista tietoturva-asioista KServer Interactive Oy Ltd:n koko henkilöstölle sekä kaikille Asiakkaille, joita asia koskee. Seuranta Tietoturvan käytännön seurannasta ja tämän politiikan toteenkäymisen seurannasta vastaa Tietoturvaja laitteisto-osasto IT-vastaavan johdolla. Seurannoista tulee tehdä seurantaraportit, joiden oikeellisuudesta vastaa IT-vastaava. Voimaanastuminen KServer Interactive Oy Ltd:n hallitus hyväksyi tämän politiikan yksimielisesti kokouksessaan maanantaina 11.12.2006 ja se astuu voimaan välittömästi. Tästä politiikasta tiedotetaan kaikille KServer Interactive Oy Ltd:n työntekijöille sekä Asiakkaille välittömästi tai niin pian kuin mahdollista. 4/10

KServer Interactive Oy Ltd:n tietoturvasuunnitelma Yleistä Tämä on KServer Interactive Oy Ltd:n tietoturvasuunnitelma. Sen avulla KServer Interactive Oy Ltd:n henkilöstö ja asiakkaat voivat toimia tietoturvallisesti ja tehokkaasti jokapäiväisissä aktiviteeteissaan KServer Interactive Oy Ltd:n tietoverkossa. Tämä on ohjeellinen suunnitelma, ja sitä tulee soveltaa kuten sovellettavissa on. Mitä voi sattua? Tässä on listattu mahdollisia ongelma- ja uhkatilanteita, joihin on syytä varautua: (a) Fyysinen murtautuminen palvelintiloihin (b) Ohjelmallinen murtautuminen palvelinohjelmistoihin (c) Haittaohjelman toiminta työasemassa (d) Palvelimen ohjelmistovirhe (e) Palvelimen kaatuminen (f) Kaapelirikko (g) Kiintolevyrikko (h) Ohjelmistolisenssiongelma (ts. laittomat ohjelmistot) (i) Virus työasemassa (j) Virus palvelimessa (k) Asiakkaan virhe (l) Tietokantaongelma (m)vieras laite verkossa (n) Internet-yhteyden puuttuminen (o) Työntekijän virhe (p) Tietoa joutuu muuten talon ulkopuolelle Miten voidaan välttää/ vähentää mahdollisuutta ja minimoida vahingot? Fyysinen murtautuminen palvelintiloihin Palvelintilat pidetään lukittuina ja ne on elektronisesti valvottuja. Hälytyksen satuttua vartiointiyritys hoitaa loput. Hälytys toimitetaan myös Tietoturva- ja laitteisto-osaston tietoon, välittömästi IT-vastaavalle. Ohjelmallinen murtautuminen palvelinohjelmistoihin Palvelinohjelmistojen pääkäyttäjäoikeuksia ei saateta tarpeettomien tietoon palvelinohjel- 5/10

mistojen hoidosta vastaa Tietoturva- ja laitteisto-osasto. Salasanat pidetään vahvoina, turhat pääkäyttäjätunnukset poistetaan käytöstä jne. Pääkäyttäjänä kirjautuminen on sallittua vain paikallisesti, sama koskee myös muita tilejä, joilta ei ehdottomasti vaadita etäkirjautumistoimintoa (kuten sähköpostit). Salasanojen siirrossa käytetään sisäisessäkin liikenteessä salattua siirtotapaa. Käytetään erillisiä palvelinlaitteita eri tehtäviin vahinkojen minimoimiseksi. Kirjautumislokeja seurataan ja murtautumisen sattuessa kaikki salasanat ja vastaavat vaihdetaan välittömästi. Tällöin kartoitetaan myös se, mitä tietoa on saatu ulos palvelimilta ja siirrytään jatkotoimenpiteisiin. Haittaohjelman toiminta työasemassa Haittaohjelmien pääsyä KServer Interactive Oy Ltd:n työasemille pyritään välttämään käyttämällä vain julkisesti tuettuja pakettivarastoja (repositoryitä). Lisäksi työasemien eheys varmistetaan käyttämällä eheydentarkistusta (käytännössä se tarkoittaa, että työasemien kiintolevyjen on täsmättävä joka käynnistyksessä tai muuttuneet/ poistetut tiedostot palautetaan palvelimen kopioista ja ylimääräiset tiedostot siirretään palvelimen karanteeniin). Oikeuksienjaon avulla käyttäjä ei voi haittaohjelmalla tuhota pahimmassakaan tapauksessa kuin omat tiedostonsa, jotka on palautettavissa varmuuskopioista. Palvelimen ohjelmistovirhe Kun tieto ohjelmistovirheestä saadaan, Tietoturva- ja laitteisto-osasto määrittelee sen vakavuusasteen ja selvittää mahdolliset jatkotoimenpiteet, joiden perusteella joko: Kyseinen ohjelmisto ajetaan alas (varmuuskopioituna tottakai) Päivitetään uudempaan versioon (mikäli uudempi versio on testattu toimivaksi ja yhteensopivaksi) Rakennetaan paikkaus Paikkauksen teko kuuluu Ohjelmointiosastolle. Ongelman välttämiseksi käytetään vain virallisesti tuettuja ohjelmistoversioita, erityisesti kriittisissä osissa (kuten kirjautuminen). Palvelimen kaatuminen Palvelimen kaatumista pyritään käyttämällä vakaata Linux-kerneliä ja vakaaksi testattuja ohjelmia. Tämän lisäksi palvelinlaitteisto tulee olla valittu tarkoituksenmukaisesti. Mikäli palvelin kuitenkin kaatuu, tulee automatiikan havaita kaatuminen ja siirtyä käyttämään vaihtoehtopalvelinta. Palvelinlokeja tulee lukea ja niistä ottaa opiksi mikäli palvelin alkaa muuttua epävakaaksi, se täytyy vakauttaa (lue: uudelleenkäynnistää), jolloin varapalvelin hoitaa sen tehtäviä. Myös varapalvelin tulee ajoittain vakauttaa. Kaapelirikko Myös yhteydet on kahdennettu sisällä, ulkopuolisista yhteyksistä huolehtii ISP. Kaapelit on asennettu erille toisistaan, jotta vain toinen vikaantuisi kerrallaan. Jos kuitenkin jostain syystä molemmat kaapelit katkeavat, käytetään varapalvelinta, kunnes kaapelit saadaan korjattua Tietoturva- ja laitteisto-osaston toimesta. Kaapelointi tulee myös toteuttaa niin, että johdot ovat tavallisen käyttäjän ulottumattomissa mutta tarvittaessa helposti huollettavissa (esim. kaapelikourut). Kiintolevyrikko Jos työasemasta hajoaa kiintolevy, sitä pitää pystyä käyttämään nk. tyhmänä päätteenä, jolloin se käyttää palvelimen tallennusmediaa kiintolevynään. Jos palvelimen kiintolevy hajoaa, se käyttää RAIDin seuraavaa kiintolevyä. Palvelinjärjestel- 6/10

mät on rakennettava tukemaan nk. Hot Swap -toimintoa, jossa kiintolevy voidaan vaihtaa lennossa ilman keskeytyksiä. Jos palvelimesta hajoaa molemmat/ kaikki kiintolevyt, tulee automatiikan siirtyä käyttämään varapalvelinta vian korjauksen ajaksi. Näistäkin vioista ilmoitus Tietoturva- ja laitteisto-osastolle, jonka tehtävänä on korjata/ vaihtaa vikaantunut kiintolevy ja ottaa levy käyttöön. Ohjelmistolisenssiongelma Tätä ei pitäisi ilmetä, kun käytetään vain luotettavia ja tuettuja repositoryitä ja ohjelmistoista päättää Tietoturva- ja laitteisto-osasto Hallituksen suostumuksella. Jos kuitenkin näin käy, lisenssittömät ohjelmat poistetaan automaagisesti seuraavan käynnistyksen yhteydessä kiitos kiintolevyn tiedostojen palauttamisen (kts Haittaohjelman toiminta työasemassa). Virus työasemassa Haittaohjelman toiminta työasemassa Virus palvelimessa Virusten pääsyä palvelimille estetään käyttämällä vain virallisesti tuettuja repositoryitä, joiden paketit on aina tarkistettu puhtaaksi. Mikäli virus on kuitenkin päässyt järjestelmään (esim. tietomurron yhteydessä), se tulisi havaita eri lokeja seuraamalla. Kun epäilyttävää toimintaa näkyy, on palvelin eristettävä, sen alkuperä selvitettävä ja se eliminoitava, jonka jälkeen toimitaan tilanteen vaatimalla tavalla (palautetaan varmuuskopioista tms.) Asiakkaan virhe Asiakkaan virheen mahdollisuutta vähennetään tehtyjen ohjelmistojen huolellisella testauksella. Mikäli asiakas on virheellään tuottanut vahinkoa KServer Interactive Oy Ltd:lle, vahinkojen määrä selvitetään ja vahingonkorvauksia vaaditaan Asiakkaalta. Jos Asiakas on tehnyt virheen vahingossa ts. ohjelmassa on vika/ virhe, toimitaan kuin kohdassa Palvelimen ohjelmistovirhe, jonka lisäksi vahingoista pyritään toipumaan mm. varmuuskopioista palauttamisen avulla. Jos asiakas on aiheuttanut vahinkoa vain itselleen, tutkitaan jälleen kerran sitä, kuka on vastuussa: Jos vahinko tapahtui asiakkaan huolimattomuudesta tai muuten tarkoituksella, ei KServer Interactive Oy Ltd ole missään korvausvastuussa ja vahingon korvaamisesta peritään KServer Interactive Oy Ltd:n yleisen hinnoittelun mukainen hinta. Jos taas virhe oli KServer Interactive Oy Ltd:n tekemä, tarvittavat korjaukset järjestelmään suoritetaan ilman korvausta (ellei toisin ole sovittu). Tietokantaongelma Tietokantaongelmia pyritään välttämään tietokantojen reaaliaikaisella kahdennuksella jos toisella palvelimella tapahtuu jonkinlainen ongelma tai virhe, käytetään toista palvelinta sillä välin kun edellinen toipuu virheestä. Ongelmia vältetään seuraamalla säännöllisesti tietokantalokeja ja muuttamalla ohjelmia niin, että ne eivät aiheuta yhteensopivuus- eivätkä muitakaan ongelmia tietokannalle. Jos tietokanta kuitenkin jostain syystä tuhoutuu, se palautetaan varmuuskopioista. Vieras laite verkossa Vieraiden laitteiden kytkeminen verkkoon estetään tuntemattomien MAC-osoitteiden blokkaamisella, uuden laitteen asennuksen yhteydessä Tietoturva- ja laitteisto-osasto lisää laitteen MAC-osoitteen sallittujen osoitteiden listaan Tähän on kuitenkin poikkeuksia, kuten Bluetooth-laitteet ja ulkopuoliset tietokoneet, kuten 7/10

kannettavat sekä muut laitteet jotka kirjautuvat langattomasti. Bluetooth-laitteiden kytkentä on sallittua vain KServer Interactive Oy Ltd:n henkilöstöltä (tämä hoidetaan oikeuksienhallinnan avulla). Tuntemattomat kannettavat tietokoneet kirjautuvat nk. eteisverkkoon, jonka kautta ei ole, ilman erillistä autentikointia, käyttää KServer Interactive Oy Ltd:n palvelinten toimintoja. Eteisverkossa on kuitenkin yhteys WANiin (ts. Internetiin). Internet-yhteyden puuttuminen Ensimmäiseksi, Kaapelirikko Internet-yhteyden puuttumista yritetään, varsinkin webpalvelimien osalta, välttämään käyttämällä nopeaa ja luotettavaa ISP:tä. Sen lisäksi on oltava olemassa varajärjestelmä esimerkiksi satelliitin tai 3G-verkon yli. Myös taloudellisiin vahinkoihin tulee varautua (rahalla). Työntekijän virhe Työntekijän virheitä on monenlaisia, mutta yhtä kaikki niiden määrää ja vaikuttavuutta vähennetään oikealla oikeuksienhallinnalla. Kun vahinkoja sattuu, ne pyritään kumoamaan varmuuskopioista palauttamalla (jos sovellettavissa) ja selvittämällä mitä oikeastaan tapahtui ja mitä haittaa siitä mahdollisesti on KServer Interactive Oy Ltd:lle ja sen asiakkaille. Mikäli työntekijä toistuvasti tahallisesti tai törkeästä huolimattomuudesta vahingoittaa KServer Interactive Oy Ltd:tä tai sen asiakkaita, on työntekijä vastuussa ja hänet saatetaan irtisanoa tai työsuhde purkaa. Tietojen joutuminen muuten talon ulkopuolelle Inhimillisen erehdyksen takia voi tietoa myös joutua ulkopuolisten tietoon. Tätä mahdollisuutta pienennetään KServer Interactive Oy Ltd:n henkilöstön kouluttamisella ja vertaisseurannalla, johon jokaista kehotetaan. Jos tietoja joutuu kuitenkin ulkopuolisille tai sitä on syytä epäillä, pyritään suorittamaan toimenpiteitä tietojen mitätöimiseksi (jos esimerkiksi salasana joutuu ulkopuolisen tietoon, niin vaihdetaan salasana). Yhteisiä toimenpiteitä yleisen turvallisuuden kehittämiseksi Seuraavilla yksinkertaisilla toimenpiteillä voidaan vähentää (liki) kaikkia edellä mainittuja riskejä: 1. Henkilökunnan koulutus Pitämällä KServer Interactive Oy Ltd:n henkilöstö ajantasalla muutoksista ja ohjelmien käyttöön järjestetään koulutusta. Tällöin virheen mahdollisuus vähenee. 2. Teknisen kirjanpidon seuraaminen ja tapahtumien kirjaaminen Vastuu Ei vain vian syyllisen etsinnän takia, vaan myös korjauksia/ muutoksia helpottamaan. Päävastuun, ellei muuta ole ilmoitettu, kaikista tämän suunnitelman seikoista kantaa Tietoturva- ja laitteisto-osasto IT-vastaavan johdolla. Sen lisäksi jokainen KServer Interactive Oy Ltd:n henkilöstön jäsen kantaa vastuun omasta henkilökohtaisesta tietoturvastaan tämän suunnitelman mukaisesti niin kuin voidaan pitää kohtuullisena. 8/10

Suunnitelman toteuttaminen Suunnitelman toteuttamiseksi tarvitaan laitteistoa, joka on mainittu Tietoturvan kannalta oleelliset hankinnat -listassa (ei liitetty tämän yhteyteen). Tämä suunnitelma otetaan käyttöön kaikissa ITasioissa KServer Interactive Oy Ltd:n laitteistoasennusten alettua 12.12.2006 ja sitä päivitetään tarvittaessa. Voimaanastuminen ja sitoutuminen Tämä suunnitelma hyväksyttiin KServer Interactive Oy Ltd:n hallituksen kokouksessa 12.12.2006 ja se päätettiin ottaa käyttöön välittömästi. Jokainen KServer Interactive Oy Ltd:n työntekijä sitoutuu noudattamaan tätä suunnitelmaa informaatioteknologiapalveluja käyttäessään ja/ tai kehittäessään KServer Interactive Oy Ltd:n palveluksessa. 9/10

Version Information Versiotiedot PLEASE REMOVE BEFORE FINAL RELEASE! POISTA ENNEN LOPULLISTA JULKAISUA! This is the standard Version Information page used by Riku Eskelinen in his projects. It includes the changelog and version numbering. Tämä on tavanmukainen versiotietosivu, jota käyttää Riku Eskelinen projekteissaan. Se sisältää muutoslokin ja versionumeroinnin. If you're not developer, you should not see this. The development group has probably forgot to remove this, so please inform the development group about this: Riku Eskelinen <kingi89@gmail.com> Jollet ole kehittäjä, sinun ei pitäisi nähdä tätä. Kehitysryhmä on luultavasti unohtanut poistaa tämän, joten ole hyvä ja tiedota ryhmää asiasta: Riku Eskelinen <kingi89@gmail.com> Version Changes Date and time Versio Muutokset Päiväys ja aika 0.0.1 Työ aloitettu 09.12.2006 @ 18:45 0.1.0 Rakenne valmis 10.12.2006 @ 00:14 0.2.0 Puolet tietoturvapolitiikasta tehty vielä paljon tehtävää siis 11.12.2006 @ 00:21 0.4.0 Tietoturvapolitiikka tehty vielä tietoturvasuunnitelma 11.12.2006 @ 22:14 0.5.2 Tietoturvasuunnitelmaa aloitettu there's a long way to go 12.12.2006 @ 00:11 0.5.5 Tietoturvasuunnitelma jatkuu tovin vielä mutta edistyy... 12.12.2006 @ 19:31 10/10

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute