Käyttäjän tietoturvaopas Hyväksytty yt-toimikunta xx.xx.2015. Otsikko/ kirjoitetaan Calibri fontilla pistekoko noin 14 tai 16, lihavoitu
2 Sisällysluettelo Tietoturvan huoneentaulu... 3 Järjestelmien ja tietoliikenneverkon käytön säännöt... 4 Väärinkäytökset ja niiden seuraamukset... 5 Työhakemistot... 5 Ohje Internetin käytöstä... 6 Internetin käyttötarkoitus... 6 Kielletyt tai rajoitetut sovellukset ja palvelut... 7 Käyttösäännöt... 7 Käyttöohjeet... 8 Ohje sähköpostin käytöstä... 9 Loma-ajat ja pidemmät poissaolot... 10 Toimenpiteet työsuhteen päättyessä... 10 Liitetiedostot... 11 Sähköpostin tietoturva... 11 Sähköpostin tietoturvaohjeita... 12 Roskaposti... 12 Työnantajan oikeus lukea työntekijän sähköpostia... 12 Etätyö... 13 Käyttöoikeuden hakeminen ja sen päättyminen työsuhteen päättyessä... 14 Siirrettävät tietovälineet... 15 CD/DVD-levyjen ja levykkeiden hävitys... 15 USB-tikkujen hävitys... 15 Työpuhelimen käyttöohjeet... 16 Puhelinkäyttäytyminen... 16 Puhelimen tietoturva... 17 Puhelimien hankinta... 17 Loma-ajat ja pidemmät poissaolot... 17 Virusepäily... 19 Viruksilta suojautuminen... 19 Tietoturvan vastuut ja organisointi Liperin kunnassa... 20
3 Tietoturvan huoneentaulu Tue osaltasi kunnan kulunvalvontaa; käytä kunnan ja asiakkaidemme toimitiloissa kuvallista henkilökorttiasi (mikäli sinulla sellainen on). Jos tapaat tuntemattoman henkilön kunnan toimitiloissa, selvitä kohteliaasti (esim. opastusta tarjoamalla) millä asialla henkilö tiloissamme liikkuu. Työaseman käyttäjänä vastaat itse työasemasi turvallisuudesta. Käytä työasemaa ja siihen liittyviä laitteita, ohjelmia ja tietoja vain työtehtäviesi edellyttämiin ja esimiehesi hyväksymiin tarkoituksiin. Älä luovuta työasemasi hallintaa kenellekään tuntemattomalle henkilölle. Käyttäjätunnuksesi on henkilökohtainen. Älä kerro salasanaasi kenellekään. Salasanan tulee tietoturvan kannalta sisältää vähintään 8 merkkiä. Valitse salasanaksi sellainen jonka muistat. Vaihda salasanasi riittävän usein ja heti kun epäilet sen paljastuneen. Älä koskaan kirjoita salasanaasi paperille. Mikäli joudut näin kuitenkin tekemään, älä säilytä salasanaa näppäimistön alla tai työpöytäsi ylälaatikossa. Älä käytä työpaikan käyttäjätunnusta ja salasanaa rekisteröityessäsi Internetin palveluihin. Poistuessasi työpisteeltä lukitse työasemasi. Muista kannettavien mikrotietokoneiden poikkeuksellisen korkea varkausriski. Älä tallenna mitään salassa pidettävää kannettavaasi! Älä avaa tuntemattomista osoitteista/lähettäjiltä saapuneita sähköpostiviestejä, eikä varsinkaan näiden liitetiedostoja. Älä avaa mitään exe- tai bat päätteisiä liitetiedostoja, ellet ehdottomasti tiedä mitä ne sisältävät. Käytä vain virustarkastusohjelmalla tarkastettuja ja salausohjelmalla salattuja USBtikkuja. Käynnistä työasemasi siten, että USB-tikku ei ole kiinnitettynä ja ettei CD-asemassa ole levyä. Voit epäillä virustartuntaa, jos työasemassasi näytölle ilmestyy tunnistamattomia viestejä, levytilan loppuu äkillisesti, tallentamasi tiedostot muuttuvat tai katoavat, ohjelmiston käyttö hidastuu oleellisesti tai estyy kokonaan. Jos epäilet virustartuntaa, tee seuraavaa: jos virustorjuntaohjelma tarjoaa mahdollisuuden viruksen poistoon, suorita kyseinen toimenpide ja varmistu toimenpiteen tuloksista. Etene torjuntaohjeiden mukaan. Jos torjuntaohjelma ei kykene poistamaan virusta älä sammuta konetta vaan tee seuraavaa: irrota työasemasi verkosta (eli ota atk-verkkokaapeli irti työasemasta), tarkista ja kirjaa ylös mitä tietoja näytölle kirjautuu ja raportoi tapahtumasta atk-tuelle ja tietoturvavastaavalle. Jos epäilet tartuttaneesi viruksen toisten työasemiin tai lähettäneesi viruksen sisältävää postia, varoita heitä siitä. ServiceDesk: http://palvelupiste.pohjoiskarjala.net
4 Järjestelmien ja tietoliikenneverkon käytön säännöt Hyvien työskentelyolojen takaamiseksi on tarpeen noudattaa seuraavia yhteisesti sovittuja sääntöjä, joiden tarkoituksena on määritellä järjestelmien käyttäjille ja ylläpitäjille heidän oikeutensa ja velvollisuutensa. Säännöt perustuvat seuraaviin yleisperiaatteisiin Kaikilla on mahdollisuus asialliseen käyttöön. Muille ei saa aiheuttaa haittaa. Yksityisyyden suojaa pitää kunnioittaa. Järjestelmien pääkäyttäjät / Ylläpitäjät Nimetyt vastuuhenkilöt (pääkäyttäjät) huolehtivat järjestelmien ylläpidosta. Pääkäyttäjät tiedottavat järjestelmiin tehtävistä muutoksista ja niiden vaikutuksista sekä antavat tarvittaessa opastusta. Pääkäyttäjillä on oikeus rajoittaa ja säädellä järjestelmien käyttöä velvollisuuksiensa hoitamiseksi. Käyttäjät Käyttäjän tulee aina käyttää omaa nimeään ja omaa käyttäjätunnustaan. Kukin käyttäjä vastaa kaikesta tunnuksellaan tapahtuvasta käytöstä. Muut järjestelmän käyttäjät on otettava huomioon. Kaikilla käyttäjillä on vastuu järjestelmän kokonaisturvallisuudesta. Järjestelmään pyrkiminen väärällä käyttäjätunnuksella sekä oman tunnuksen valtuuksien ylittäminen tai ylityksen yrittäminen on kiellettyä. Laitteiston ja systeemiohjelmiston muuttaminen on kiellettyä. Tämä koskee myös yhteisessä käytössä olevia yhden käyttäjän järjestelmiä. Kiintiöiden ja muiden käyttörajoitusten kiertäminen on kiellettyä. Tunnettujen ja/tai uusien turvallisuusaukkojen etsiminen ja käyttäminen on kiellettyä. Ohjelmien, ohjelmistojen tai tiedostojen kopiointi luvatta on kiellettyä.
5 Väärinkäytökset ja niiden seuraamukset Käyttäjien tulee ottaa huomioon voimassa oleva lainsäädäntö. Mm. henkilörekisterilaissa, rikoslaissa ja tekijänoikeuslaissa on atk:n käyttöä säänteleviä määräyksiä. Väärinkäytöksen laadusta riippuen käyttäjälle voidaan antaa varoitus, käyttöön liittyviä rajoituksia tai määräaikainen käyttökielto. Mikäli väärinkäytös on vakava tai on kohdistunut organisaation ulkopuolelle ja teko muodostaa rikoksen, asia voidaan antaa poliisin tutkittavaksi. Työhakemistot Jokaisella kunnan työntekijällä on oma työhakemisto, jonka saa käyttöönsä MADympäristössä. Tällä tarkoitetaan verkossa olevaa nimettyä kansiota, johon yhteys aukeaa automaattisesti kirjauduttaessa verkkoon omalla käyttäjätunnuksella ja salasanalla. Kansio on tarkoitettu työssä tarvittavien tietojen tallennukseen. Kansioon ei kuitenkaan pidä tallentaa mitään suuria tiedostoja (useampi Gt), koska kansion käyttötila on rajoitettu. Verkossa olevat kansiot varmuuskopioidaan tietyin väliajoin, millä varmistetaan tiedon pysyvyys ja käytettävyys. Esimerkiksi työpöydälle tallennetut tiedostot voivat muuttua käyttökelvottomiksi tietokoneen kiintolevyn rikkoutuessa. Älä tallenna työasemasi tai kannettavasi kiintolevyille mitään sellaista tietoa, jonka joutuminen ulkopuolisten käsiin on vahingollista tai jonka häviäminen aiheuttaa vahinkoa. Verkkokansioon tallennettu tieto ei joudu ulkopuolisten käsiin, mikäli esim. kannettava tietokone varastetaan. Verkkolevy varmistaa myös automaattisesti sinne tallennetun tiedon virusten varalta. Kiintolevy = koneen kiintolevy = esim. C = täältä tiedot eivät varmuuskopioidu Työhakemisto = oma kotihakemisto = esim. terttus niminen kansio = on jokaisella työntekijällä Verkkolevy = Liperin kunnan yhteinen verkkolevy, jonne on luotu jokaiselle omakansio; työhakemisto (kotihakemisto) omalla nimellä, tänne tallennetut varmuuskopioidaan tietyin väliajoin.
6 Ohje Internetin käytöstä Yleistä Internet-verkko on laaja virtuaaliympäristö, jossa pätevät lähtökohtaisesti normaalit yhteiskunnan ja työympäristön säännöt. Työnantajalla ei ole velvollisuutta eikä mahdollisuutta Internet-yhteyden avaamisen yhteydessä edeltä käsin tyhjentävästi joko kieltää tai sallia kaikkia kyseenalaisia tai väärinkäytösmahdollisuuden sisältäviä sovelluksia tai käyttötapoja. Tästä syystä käyttäjällä itsellään on vastuu noudattaa organisaation tietoturvaohjeistusta, jotta Internetissä käytettävien palveluiden käyttö ei aiheuta tietojenkäsittelylle ja kunnan toiminnalle ylimääräisiä tietoturvariskejä. Työnantaja tarkkailee jatkuvasti ulkopuolisia yhteyksiä palomuuriohjelmistolla sekä erilaisilla virus- ja turvaohjelmistoilla, etteivät luvattomat tunkeilijat pääsisi sisään järjestelmään. Kaikista ulkopuolisista yhteyksistä jää lokiin tiedot mahdollisia myöhempiä selvityksiä varten. Valvonnassa noudatetaan Sähköisen viestinnän tietosuojalakia (516/2004, 125/2009) ja lakia yksityisyyden suojasta työelämässä (759/2004). Internetin käyttötarkoitus Internet-yhteys on tarkoitettu työtehtävien hoitamiseen. Sallitut käyttötarkoitukset ovat: informaation hankkiminen työtehtävien suorittamiseksi ammatillisen sivistyksen kehittäminen ammattiyhdistystoiminta Sallittua yksityiskäyttöä ovat: henkilökohtainen pankkiasiointi työtehtäviä haittaamatta satunnainen viestintä, ilmoitukset tms. jotka ovat esim. kiireellisiä ja työläitä hoitaa muulla tavoin Verkon palveluiden ja sovellusten käyttäminen ei saa olla ristiriidassa organisaation viestinnän, toiminnan tarkoituksen tai tietoturvallisuuden kanssa.
7 Kielletyt tai rajoitetut sovellukset ja palvelut Seuraavien sovellusten käyttö ei ole sallittua niiden sisältämien erityisen korkeiden tietoturvariskien tai muun haitan vuoksi: Musiikki- ja videotiedostojen lataamiseen tarkoitetut sovellukset. Vertaisverkkopalvelut (Kazaa, edonkey sekä vastaavat) Automaattiset näytönsäästäjät, jotka kuluttavat työaseman resursseja omaan toimintaansa esim. SETI@home (Search fo Extra Terrestial Intelligence) Keskusteluryhmät kuten IRC, Facebook, erilaiset chat-ryhmät, blogit tms., jotka eivät liity työtehtävien hoitamiseen Uutisryhmä-palvelut (News Groups), elleivät ne liity työtehtävien hoitamiseen Kaikki käyttötarkoitukseltaan haitalliset, hyvän tavan vastaiset tai työtehtävien kanssa ristiriidassa olevat palvelut (esim. salauksen purku jo lainnojalla) Käyttösäännöt Tekijänoikeussäännöt on huomioitava myös Internetistä peräisin olevan aineiston suhteen. Samoin on suhtauduttava varauksin kaikenlaisen aineiston luotettavuuteen ja oikeellisuuteen. Internetissä kuka tahansa voi julkaista mitä tahansa. Kuten muuallakin, kannattaa lähtökohtaisesti pitää luotettavana vain ennestään tunnettuja lähteitä. Internetiä käytettäessä on toimittava niin, että haittaohjelmien pääsy sisäiseen verkkoon estetään mahdollisimman pitkälle ennalta. Tunnetut ja luotettavat verkkopalvelut eivät pääsääntöisesti sisällä haittaohjelmia. Epämääräisiä ja käyttötarkoitukseltaan työtehtävien suorittamiseen liittymättömiä sivustoja pitää mm. haittaohjelmavaaran takia välttää ja varoa. Seuraavilla toimenpiteillä voidaan Internet-uhkia hallita peruskäyttäjätasolla: Sisäisten tietojärjestelmien ja -verkkojen käyttöön tarkoitettua henkilökohtaista käyttäjätunnusta ja salasanaa ei saa käyttää Internetissä oleviin palveluihin rekisteröitymiseen, koska se voi tätä kautta paljastua ulkopuoliselle. Myös työnantajan sähköpostiosoitteen luovuttamisessa esim. Internetpalveluihin rekisteröidyttäessä tulee olla varovainen. Osoite voi tätä kautta kulkeutua ns. ei-toivottuun kaupalliseen viestintään käytetyille (spam) postituslistoille.
8 Työnantajan sähköpostiosoitteen saa luovuttaa vain sellaiseen Internetpalveluun rekisteröidyttäessä, jolla on selkeä yhteys työtehtäviin (vrt. some). Internet-selaimen tietoturva-asetuksia ei saa heikentää ilman tietohallinnon lupaa. Ohjelmien lataaminen ja asentaminen Internetistä muun kuin tietohallinnon toimesta on kielletty. Käyttöohjeet 1. Internetin käytöstä jää aina jäljet. Kun sivu haetaan selaimeen, siitä jää merkintä www-palvelimen lokitiedostoon. Samoin merkintä käynnistäsi jää myös niille sivustoille, joilla kävit. Käytä Internetiä työpaikallasi vain työhösi tarvittavan tiedon hakemiseen. 2. Älä anna Internetissä nimeäsi, yhteystietojasi tai sähköpostiosoitettasi ilmoitustauluille, keskusteluryhmiin tms. Henkilötiedot voivat päätyä ulkopuolisten käyttöön ja niitä voidaan käyttää muihin tarkoituksiin kuin mihin olet ne antanut. Ulkopuoliset voivat ottaa selvää verkossa liikkumisestasi ja luoda tämän perusteella sinusta profiileja, jonka jälkeen alat saada sähköpostiisi mainoksia ja roskapostia. 3. Älä koskaan käytä tai asenna Internetistä peräisin olevia tiedostoja ja ohjelmia. 4. Poistu aina verkkopalvelusta sen omalla uloskirjautumiskomennolla. 5. Sivuhistoria muistaa kaikkien niiden sivujen osoitteet, joilla käyttäjä on vieraillut. Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, sivuhistoria täytyy tyhjentää aina. 6. Selaimen välimuisti nopeuttaa Internet-surffausta. Se vie kuitenkin runsaasti levytilaa ja siksi se kannattaa aika ajoin tyhjentää. Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, välimuisti täytyy tyhjentää aina. 7. Jos olet kirjautumassa palveluun, jossa kysytään salasanaa, selain ehdottaa usein salasanan tallentamista. Tätä ei kuitenkaan koskaan pidä tehdä, sillä toiset käyttäjät pääsevät silloin sinun tunnuksellasi palveluun. 8. Eväste on tekstitiedosto, jonka sivuston omistaja tallentaa koneesi kiintolevylle käydessäsi hänen web-sivustollaan. Evästeet ovat pääsääntöisesti harmittomia, mutta niitä voidaan käyttää väärin. Lukemalla evästetiedoston sisältö, voidaan selvittää, millä sivuilla käyttäjä on käynyt. Evästeeseen voi myös tallentua sivustolle vaadittavat käyttäjätunnus- ja salasanatiedot. Evästeitä on kahdentyyppisiä; istuntokohtaisia ja pysyviä. Istuntokohtaiset evästeet säilyvät selaimen muistissa niin kauan kuin selain on auki ja häviävät sitten itsestään. Pysyvät evästeet tallentuvat työaseman levylle ja säilyvät siellä ellei niitä poisteta manuaalisesti.
9 9. Sosiaalinen media ei sinänsä tuo uusia tietoturvahaasteita, mutta sosiaalisen median käyttötavat eroavat merkittävästi perinteisen median käyttötavoista ja perinteisistä Internet-palveluista, jonka takia tietoturvauhat ilmenevät eri tavalla. Tämä johtuu siitä, että sosiaalisessa mediassa käyttäjän toimenpiteet ovat normaalia palveluiden käyttöä keskeisemmässä asemassa. Tahaton hölmöily saattaa johtaa ikäviin seurauksiin, esimerkiksi organisaation tietojen vuotamiseen, henkilökohtaisen mielipiteen esittämiseen organisaation virallisena kannanottona, haittaohjelman leviämiseen tms. Liperin kunnan viestintäohjeissa ohjeistetaan somen käytöstä. Ohje sähköpostin käytöstä Liperin kunnassa on käytössä käytössään Microsoft Outlook sekä Outlook Web Access sähköpostiohjelmat. Web Access on Outlookin Internet -selainpohjainen käyttöliittymä. Työnantajan sähköposti on tarkoitettu pääasiallisesti työasioiden hoitamiseen. Työntekijöille suositellaan yksityisasioiden hoitamista varten erillisen henkilökohtaisen sähköpostiosoitteen hankkimista. Mikäli sähköpostia käytetään yksityisviestintään, on yksityisviestit pidettävä erillään työviesteistä. Yksityisviestit tulee poistaa heti lukemisen jälkeen tai siirtää omaan selvästi henkilökohtaiseksi nimettyyn kansioon. Lisää lähetettävän yksityisen viestin otsikkoon teksti HENKILÖKOHTAINEN Työnantajan sähköpostin käyttö ei ole sallittua henkilökohtaisten tarjouspyyntöjen tai tarjousten tekemiseen sekä kaupankäyntiin tai muiden sellaisten oikeustoimien tekemiseen, joiden yhteydessä vastaanottajan on vaikeaa tulkita onko kyseessä henkilökohtainen vai työasia. Työntekijä vastaa sähköpostin käytöstä, sähköpostilaatikon sisällöstä ja sisällön ylläpidosta. Tällöin työntekijän tulee ottaa huomioon seuraavat seikat: 1. Työsähköpostia on käytettävä kuin mitä tahansa työvälinettä työtehtävien hoitamiseen. 2. Sähköpostiviesti on dokumentti, josta voi olla kopioita monessa paikassa (mm. varmuuskopiot, sähköpostipalvelimet, työasemat) jota voidaan riittävän perusteen ilmetessä käyttää yhtenä todistusaineistona. 3. Sähköpostia suojaa viestintäsalaisuus, mutta se ei sellaisenaan takaa tietojen salassapitoa. Salassa pidettävien tietojen lähettäminen salaamattomassa Internetsähköpostissa on kielletty.
10 4. Sähköpostiviestien automaattinen edelleen lähetys sisäisestä ja/tai suojatusta sähköpostiympäristöstä suojattomaan (Internet) on kielletty. Tapauskohtainen edelleenlähetys on sallittu vain tilannekohtaisen harkinnan perusteella. 5. Sähköpostin liitetiedostot ovat yleisimpiä virusten ja muiden haittaohjelmistojen leviämistapoja. 6. Tuntemattomalta lähettäjältä saadun, epätavallisesti otsikoidun tai muuten oudon sähköpostiviestin liitetiedostoa avattaessa tulee noudattaa varovaisuutta. Ota tarvittaessa yhteyttä tekniseen tukeen ennen epäilyttävän liitetiedoston avaamista. 7. Roskapostiviesteihin eli spamiin ei pidä vastata. 8. Ketjukirjeiden lähettäminen työnantajan laitteista sähköpostitse on kielletty. Ketjukirjeet ovat haittaohjelmien levittäjiä ja kuormittavat turhaan tietotekniikkaresursseja. 9. Sähköpostitse kiertävät vitsit, adressit tms. sisältävät vaaran sähköpostiosoitteen joutumisesta ns. spam-listalle, koska ihmiseltä toiselle siirtyvien viestien mukana kulkee suuri määrä sähköpostiosoitteita. Sähköpostitse saapuneet viranomaisen asiakirjat on kirjattava. Jos viesti sisältää asian, jota todennäköisesti tullaan käsittelemään myöhemmin eri hallintoelimissä, toimita viesti pdf-muodossa oman toimialasi kirjaajalle, joka hoitaa asian kirjaamisen asianhallintaohjelmaan. Loma-ajat ja pidemmät poissaolot Työtehtävien katkottoman hoitamisen vuoksi työntekijällä on velvollisuus käyttää sähköpostijärjestelmän automaattista vastaustoimintoa ilmoittaakseen poissaolostaan, sen kestosta ja siitä kuka hoitaa hänen tehtäviään poissaolon aikana. Toimenpiteet työsuhteen päättyessä Sähköpostin käyttöoikeus päättyy työsuhteen päättyessä ja sähköpostitili suljetaan. Ennen työsuhteen päättymistä työntekijän tulee poistaa kaikki henkilökohtaiset viestinsä ja sopia esimiehensä kanssa valtakirjan tekemisestä jäljelle jääneiden työnantajalle kuuluvien viestien hakemisesta ja avaamisesta tarvittaessa. Jos työntekijä lopettaa työn teon ennen työsuhteen päättymistä (esim. loman vuoksi), täytyy hänen lisäksi laittaa sähköpostitililleen automaattivastaus ilmoittaakseen viestintäkumppaneilleen, ettei sähköpostiosoite ole enää voimassa työsuhteen päättymispäivämäärän jälkeen.
11 Työnantajalla on tämän jälkeen oikeus päättää tuhotaanko suljetun sähköpostitilin sisältö kokonaan vai haetaanko sisällöstä joitain työantajan toiminnalle tärkeitä viestejä työntekijän antaman valtakirjan ja lain yksityisyyden suojasta työelämässä 13.8.2004/759 (759/2004) luvun 6 määrittelemien käytäntöjen mukaan. Liitetiedostot Vältä liitetiedostojen käyttöä jos se on mahdollista. Usein pelkkää tekstiä sisältävän liitetiedoston sisällön voi kopioida sähköpostin viestiosaan. Jos Wordilla tehty liitetiedosto ei sisällä kuvia, lähetä tiedosto vastaanottajalle rtf muodossa. Tällöin sinun ei tarvitse välittää siitä, mikä tekstinkäsittelyohjelma vastaanottajalla on. Tiedoston tallentaminen rtf muotoon: 1. Valitse Wordissa Tiedosto Tallenna nimellä 2. Valitse Tallennusmuoto kohdassa Word-asiakirja tekstin paikalle RTF 3. Anna tiedostolle nimi ja tallenna normaalisti Useimmissa postijärjestelmissä on määritelty välitettävien sähköpostien maksimikoko. Vastaanottajalta kannattaa tarkistaa, minkä suuruisia liitetiedostoja heidän postijärjestelmänsä voi ottaa vastaan. Tiedoston koon voi tarkistaa esimerkiksi resurssienhallinnassa. Mikäli on tarve lähettää/vastaanottaa sähköisessä muodossa suurempia kokonaisuuksia, kannattaa harkita vaihtoehtoina: 1. Tiedostojen polttaminen CD-ROMille ja lähettäminen tavallisena postina. 2. Viestin paloitteleminen useampaan viestiin, jolloin yksittäisen viestin koko pienenee. 3. PTTK:n palvelupistesivuston kautta tilattava Filr-palvelu, joka on tarkoitettu suurten tiedostomäärien jakoon maakuntaverkon ulkopuolelle. Sähköpostin tietoturva Sähköpostin lähettäminen organisaation henkilöstön sisäisesti on suhteellisen turvallista, koska sähköpostijärjestelmämme salaa automaattisesti kaikki sanomat. Sen sijaan ulkoisiin osoitteisiin lähetettävä posti on selväkielistä, jolloin tietoturvan säilyminen edellyttäisi viestien salaamista ja digitaalista allekirjoitusta. Tätä mahdollisuutta meillä ei vielä ole käytössä. Tavallisen, suojaamattoman sähköpostin käyttö on rajattava vain niiden viestien välittämiseen, jotka soveltuvat sen käyttöön. Koska suojaamattoman sähköpostin tietoturva on tavallisen postikortin luokkaa, mitään salassa pidettävää tietoa ei saa lähettää suojaamattoman sähköpostin välityksellä.
12 Suojattua sähköpostia voidaan käyttää virallisten asiapapereiden välitykseen. Suojattua sähköpostia käytetään organisaatioiden väliseen viestintään, ei asiakasviestintään. Potilasasiakirjojen siirtoa ja yksiköiden välistä konsultointia varten on olemassa oma tietoturvallinen ohjelmisto, potilastietojärjestelmän viestinvälitys. Sähköpostin tietoturvaohjeita 1. Varmista lähettäjän aitous, jos vähänkin epäilet sitä. Sähköpostin lähettäjätieto on helppo väärentää, jolloin lähettäjästä ei voi olla täysin varma. Vastaavasti kuka tahansa voi lähettää viestin nimissäsi. 2. Älä koskaan avaa tuntemattomalta lähettäjältä tullutta liitetiedostoa tai viestissä olevaa www-linkkiä. 3. Älä lähetä ketjukirjeitä eteenpäin. 4. Pyydä tärkeistä viesteistä kuittaus vastaanottajalta. Roskaposti Roskapostilla tarkoitetaan sähköpostiin tulevia mainoksia, joita vastaanottaja ei ole tilannut eikä niiden lähettämiseen ole kysytty lupaa. Mainostettavat tuotteet ja palvelut ovat yleensä epämääräisiä tai laittomia. Roskaposti on haitallista, koska se tuhlaa aikaa ja levytilaa. Liperin kunnassa on käytössä roskapostien suodatusjärjestelmä, joka poistaa automaattisesti suurimman osan roskaposteista. Jos saat suodatuksesta huolimatta roskapostia, poista viestit välittömästi. Älä koskaan vastaa roskapostiviestiin, vaikka siinä olisi linkki, johon ilmoittamalla pääset pois jakelulistalta. Outlook- ja Outlook Web Access sähköpostiohjelmissa on roskapostin käsittelyyn joitakin toimintoja, joilla voit määritellä mitä roskapostiksi tulkituille viesteille tehdään. Jos epäillään, että jokin viesti on jäänyt saamatta, kannattaa siitä laittaa palvelupyyntö ServiceDeskiin ja sisällyttää siihen milloin (pvm + klo) ja mistä (lähettäjän spostiosoite) kyseisen viestin olisi pitänyt tulla. Työnantajan oikeus lukea työntekijän sähköpostia Perustuslain 10.2 :n mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Työnantajan tarjoamaan sähköpostiosoitteeseen voi kuitenkin tulla sekä luottamuksellisia viestejä että julkisuuslain 5.2 :ssä määriteltyjä viranomaisen asiakirjoja, jotka ovat pääsääntöisesti julkisia. Viestintäsalaisuus koskee myös sähköpostiviestejä. Työnantajalla ei ole oikeutta lukea työntekijän sähköpostia, jos työnantaja ja työntekijä eivät ole yhteisesti asiasta sopineet. Työntekijä voi antaa suostumuksensa siihen, että työntekijän poissa ollessa tä-
13 män valitsema ja työnantajan tehtävään hyväksymä toinen henkilö voi ottaa vastaan työntekijälle lähetetyt viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai työtehtävien asianmukaisen järjestämisen vuoksi välttämätöntä saada tieto. Jos työnantaja tai hänen tähän tehtävään osoittama henkilö tällaisessa tilanteessa saa tietoonsa myös muita kuin työasioihin liittyviä luottamuksellisia viestejä, ei hän saa ilmaista tai käyttää hyväksi tietoa viestin sisällöstä tai sen olemassaolosta, eikä käsitellä työntekijän henkilötietoja yksityisyyttä vaarantavasti. Työnantajan oikeudesta lukea työntekijälle tulleita sähköposteja sovitaan aina erillisellä sopimuksella. Etätyö Etätyöskentelystä täytyy aina sopia työnantajan kanssa erillisellä etätyösopimuksella, jossa on kirjattu noudatettavat pelisäännöt (etätyöajat, ilmoitukset, työaikaleimaukset, tavoitettavuus, jne.) Jos työnantaja ja työtehtäväsi antavat sinulle mahdollisuuden työskennellä kotona, tulee ottaa huomioon seuraavia asioita: Älä missään tilanteessa luovuta tunnistautumistietojasi kenenkään muun käyttöön, äläkä jätä niitä muiden saataville. Käytä vain työnantajan tarkoitusta varten osoittamaa laitteistoa. Oman laitteiston käytöstä on aina sovittava erikseen. Käytä etätyössä ainoastaan sovittuja tietoliikennetapoja ja varmista, että sovitut salaus- ja suojausmenettelyt ovat käytössä. Varmista, että muut eivät pääse käyttämään päätelaitteitasi. Huolehdi etteivät muut perheenjäsenet tai vieraasi pääse salassa pidettäviin asioihin käsiksi tai kuule luottamuksellisia keskusteluja puhelimessa. Varmistu, että sivulliset, kuten perheenjäsenesi, eivät saa otetuksi yhteyttä tietojärjestelmiin. Käsittele etätyössä ainoastaan sellaista tietoaineistoa, jonka salaisuusaste vastaa käyttämääsi työskentely-ympäristöä, tarvittaessa käytä tiedostojen salausta. Älä tallenna työaseman kovalevylle mitään salassa pidettävää tietoa. Huolehdi työasemasi (tai muun päätelaitteen) tietoturvasta. Laitteistoa ei saa käyttää siten, että sen turvallisuus vaarantuu esimerkiksi pelien, ohjelmien lataamisen tai epäluotettavien Internet sivujen selaamisen vuoksi. Opettele tietoturvan kannalta tärkeiden ohjelmien päivittäminen ja käyttö. Älä muuta tai poista käytöstä suojausohjelmia. Huolehdi, että tiedät miten toimit erilaisissa ongelmatilanteissa. Todennäköisiä tilanteita ovat tietoliikenneyhteyden ongelmat sekä laitteiden ja tietoaineiston varastaminen tai katoaminen. Huolehdi, että työvälineesi ja tietosi ovat turvassa myös kuljetuksen aikana.
14 Huolehdi työnteossa käyttämiesi puhelinten ja mobiililaitteiden turvallisuudesta. Älä säilytä niissä ylimääräistä tietoa ja käytä tiedon salausta. Vie toimistotilojen ulkopuolelle vain työn suorittamisen kannalta välttämätöntä materiaalia (asiakirjat, tallenteet, laitteet) ja palauta ne mahdollisimman pian. Huolehdi tietoaineistosi varmuuskopioinnista ja virustarkastuksista. Vältä salassa pidettävien tietojen tulostamista paperille ja tallentamista siirrettäville muistivälineille. Jos tulostat ja tallennat, huolehdi tiedon asianmukaisesta käsittelystä ja hävittämisestä. Tuo salassa pidettävä materiaali hävitettäväksi omaan työyksikköösi. Asiakirjoja ei saa käsitellä, säilyttää eikä hävittää niin, että ne voivat joutua sivullisten käsiin. Lukitse aineistojen säilytyspaikka niin että tiedot eivät ole asiattomien käytössä. Mikäli etätyöntekijä epäilee luottamuksellisen tai salaiseksi luokitellun tiedon tai siihen pääsyyn oikeuttavien tunnistetietojen joutuneen tai paljastuneen ulkopuolisille, tulee etätyöntekijän ilmoittaa tästä välittömästi lähimmälle esimiehelleen. Tätä menettelyä noudatetaan myös, mikäli tietoja, laitteita tai ohjelmistoja on varastettu tai niitä on kadonnut. Käyttöoikeuden hakeminen ja sen päättyminen työsuhteen päättyessä Esimies huolehtii käyttöoikeuden hakemisesta ja niiden päättämisestä työsuhteen päättyessä (Perehdyttämisen toimintaohje intrassa). Ohjelmien pääkäyttäjät antavat käyttöoikeudet käyttöoikeushakemuksen mukaisesti. Esimies huolehtii tiedot päättyneestä työsuhteesta ohjelmien pääkäyttäjille ja PTTK:lle. Käyttöoikeus tietojärjestelmään päättyy kun, henkilö ei enää kuulu organisaatioon, määräaikaiseksi myönnetty käyttöoikeus vanhenee tai henkilön rooli muuttuu siten, ettei tietojärjestelmän käyttöoikeudelle enää ole perustetta. Käyttäjätunnus suljetaan, kun käyttöoikeus, johon liittyen se on annettu, loppuu sille ei enää ole tarvetta on perusteltu epäily sen väärinkäytöstä tai tietoturvallisuuden vaarantumisesta Tietojen käsittely käyttöoikeuden päätyessä: Työntekijän tulee siirtää, tarvittavissa määrin työtehtävien jatkamiksi, työhön liittyneet viestit ja tiedostot esimiehen kanssa sovitulle henkilölle. Henkilön tulee poistaa henkilökohtaiset sähköpostinsa ja tiedostonsa ennen tietojärjestelmän käyttöoikeuden loppumista.
15 Henkilön tulee poistaa organisaation kotikäyttöön tarjoamat ohjelmistot palvelussuhteen päättyessä, ellei ohjelmiston lisenssiehdoissa toisin mainita. Kolmannen osapuolen (esim. toimittajan edustajan) tulee siirtää tai tuhota hankkeen toteuttamiseksi annettuun käyttäjätunnukseen liittyvät tiedot hankkeesta solmitun sopimuksen mukaisesti. Henkilön tiedostot ja postilaatikko poistetaan kolmen kuukauden kuluttua tunnuksen käytön / käyttöoikeuden loppumisesta. Siirrettävät tietovälineet Yleisenä periaatteena organisaatiossa on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle eikä salaiseksi luokiteltua aineistoa luovuteta vastoin sovittuja ja lakisääteisiä luovutuskäytäntöjä. Kuitenkin on tilanteita, jolloin mm. sähköisessä muodossa olevia työtiedostoja tarvitaan esim. koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan seuraavia periaatteita: 1. CD/DVD levyjä tai levykkeitä tai USB-muistitikkuja käytettäessä varmistutaan, ettei tietoväline tai sen sisältämä tieto joudu ulkopuolisten tahojen haltuun. 2. Lisäksi USB-muistitikkua käytettäessä tikulla oleva tieto salataan käyttämällä joko tikun omaa salausta tai erillistä salausohjelmaa. 3. Jos USB-tikun mukana ei tule salausominaisuutta, saa erillisen salausohjelman ja siihen liittyvän käyttökoulutuksen pyydettäessä PTTK Oy:n palvelupisteestä. 4. Jokainen yhtiön työntekijä vastaa käyttämiensä medioiden tietoturvasta. 5. Jos löydät kunnan tiloista (tai mistä vain) USB-muistitikun tai CD/DVD-levyn, jonka käyttäjää tai alkuperää et tiedä, älä liitä sitä kunnan työasemaan (haittaohjelmien riski). Alkuperältään tuntematon tietoväline kannattaa viedä tuhottavien säiliöön. Tarkemmat ohjeet USB-tikun salaamiseen tämän ohjeistuksen liitteenä intrassa. CD/DVD-levyjen ja levykkeiden hävitys Jos Liperin kunnan toimipisteissä ei ole mahdollisuutta käyttää esim. silppuria ko. medioiden tuhoamiseen, käytöstä poistettavat CD/DVD:t ja levykkeet toimitetaan Liperin kunnanvirastolla (arkistossa) olevaan turva-astiaan. Toimitukset voi tehdä muun asioinnin yhteydessä aika ajoin. Tästä ne toimitetaan eteenpäin PTTK:n tuhottavaksi. USB-tikkujen hävitys
16 Salatut USB-tikut voidaan hävittää poistamalla niistä ensin tiedot formatoimalla (alustamalla) tikku normaalisti. Kunnan käytäntönä on käyttää pelkästään salattuja USBtikkuja myös niiden poistoprosessin tietoturvallisuuden ja helppouden vuoksi. Jos käytössä on vielä salaamattomia USB-tikkuja, jotka halutaan poistaa käytöstä, ne formatoidaan ensin ja toimitetaan sen jälkeen kunnanviraston turva-astiaan (kuten cdlevyt) tuhottaviksi. Samoin toimitaan rikkoutuneiden USB-tikkujen kyseessä ollessa. PTTK toimittaa ne edelleen tuhottaviksi. USB-tikkujen salauksessa ja alustamisessa voi pyytää neuvoa PTTK:n palvelupisteestä. Työpuhelimen käyttöohjeet Puhelinkäyttäytyminen Älä puhu luottamuksellisista/salassa pidettävistä asioista asiaankuulumattomien kuullen, esim. kerro salasanoja linja-autossa matkalla töihin. Puheluasi voidaan aina kuunnella, oli kyseessä sitten lankapuhelin tai matkapuhelin. Luottamuksellisia asioita ei kannata puhua puhelimessa. Puhelinta voidaan kuunnella nykytekniikalla jopa ilman sim-korttia. Tekstiviestin suojaus on heikko, siinä ei kannata lähettää luottamuksellista tietoa. Tekstiviestiä lähettäessäsi varmistu vastaanottajan numerosta, ettei tieto mene väärälle ihmiselle. Puhelimet on tarkoitettu työtehtävien hoitamiseen. Ostosten teko matkapuhelimella on kielletty. Numerotiedustelua ei saa käyttää puhelujen yhdistämiseen. Puhelimen katoamis- tai varkaustapauksessa välittömästi soitto Elisan asiakaspalveluun liittymän tilapäistä sulkua varten. Tämän jälkeen mahdollinen rikosilmoitus. Rikosilmoitukseen ja puhelimen verkosta sulkemista varten tarvitaan puhelimen IMEI-koodi. Koodi löytyy puhelimen akun alta, myyntipakkauksesta tai näppäilemällä puhelimeen *#06# Jos puhelimesi katoaa tai varastetaan ota välittömästi yhteyttä myös toimialasi puhelinyhteyshenkilöön ja ilmoita katoamisesta, jotta hän voi sulkea liittymän: Sote: osastosihteeri, puh. 0408449766 Sivistys: osastosihteeri, puh. 0406527707 Tekla: osastosihteeri, puh. 040 7064 145 Hallinto: markkinointi- ja viestintäsihteeri, puh. 0400957619
17 Puhelimen tietoturva Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim. puhelimen kadotessa todellista tietoturvauhkaa. Työtiedostojen ja salasanojen tallentaminen salaamatta puhelimeen tai siinä olevaan erilliseen muistikorttiin ei ole sallittu. Suojaa puhelin suojakoodilla. Jos mahdollista, käytä automaattista lukitusta, kun olet käyttämättä puhelinta tietyn aikaa. Suojaa puhelimessa oleva muistikortti salasanalla. Puhelimesi on kytketty etähallintajärjestelmään, jolla voidaan lukita tai tyhjentää puhelin tarvittaessa etänä (ei koske peruspuhelimia). Jos puhelimesi katoaa tai varastetaan, ota välittömästi yhteyttä puhelinasioista vastaaviin henkilöihin puhelimen tietojen tyhjentämiseksi. PTTK Oy:n puhelinasioista vastaavien yhteystiedot: Miika Reijonen Lassi Turunen Henri Sainio miika.reijonen@pttk.fi lassi.turunen@pttk.fi henri.sainio@pttk.fi 013 339 0107 013 339 0133 013 339 0689 Puhelimien hankinta Puhelinlaitteiden, matkapuhelinten, sim-korttien ja puhelinnumeroiden hankinta sekä sulkeminen tapahtuvat keskitetysti toimialojen puhelinasioista vastaavien toimesta. Tilaus sähköpostilla tai puhelimitse keskitetysti toimialan yhteyshenkilön kautta: Sote: osastosihteeri, puh. 040-8449766 Sivistys: osastopäällikkö, puh. 040-962419 Tekla: osastosihteeri, puh. 040-7064 145 Hallinto: markkinointi- ja viestintäsihteeri, puh. 0400-957619 Esimiehet määrittelevät, minkälainen matkapuhelin kullekin työntekijälle hankitaan. Loma-ajat ja pidemmät poissaolot Kun työntekijä on lomalla tai muuten poissa pitemmän ajanjakson, tänä aikana työpuhelimeen tulevat puhelut käännetään Elisan Ring-palvelussa vastaajaan tai siirretään sijaiselle (asiasta sovitaan kyseisen henkilön kanssa). Poissaolot merkitään Outlookkalenteriin, josta vaihdepalvelu saa tiedon poissaoloista.
18 Sähköpostin Automaattiset vastaukset poissaolotietoihin kannattaa laittaa tieto myös siitä, kuka on sijaisena poissaolon aikana eli kehen voi olla tarvittaessa yhteydessä.
19 Virusepäily Liperin kunnalla on käytössä Microsoft System Center Endpoint Protection tietoturvaohjelmisto. Ohjelma asennetaan työasemille siten, että se päivittää uusimmat viruskuvaukset verkosta automaattisesti. Ohjelmaa ei saa ottaa pois käytöstä. On syytä epäillä virusta, jos työasemassasi esiintyy ylimääräisiä ääniefektejä näytölle ilmestyy tunnistamattomia viestejä levytila loppuu äkkiä ohjelmien käyttö hidastuu oleellisesti tai estyy kokonaan tallennetut tiedostot muuttuvat tai katoavat asiakirja muuttuu käytön aikana Jos torjuntaohjelma havaitsee työasemassasi viruksen, toimi seuraavasti: 1. Tarkista mitä tietoa näyttöön tulee: Jos torjuntaohjelma ilmoittaa löytyneestä viruksesta ja tarjoaa mahdollisuuden poistaa virus, toimi näytöllä olevien ohjeiden mukaan. Tarkista toimenpiteen jälkeen tulevasta raportista, onko virus todellakin poistunut. Jos torjuntaohjelma poisti viruksen, voit sulkea raportin ja jatkaa työtäsi. Jos torjuntaohjelma ilmoittaa löytäneensä viruksen, mutta ei pysty sitä poistamaan, irrota työ-asemasi verkosta mutta älä sulje työasemaa. Työasema irrotetaan verkosta ottamalla verkko-kaapeli irti joko verkkokortista keskusyksikössä tai seinärasiasta. 2. Kirjaa ylös havaintosi ja ongelmaa edeltäneet toimenpiteet 3. Ilmoita asiasta ServiceDeskiin puh. 013 339 0700/helpdesk@pttk.fi 4. Ilmoita kaikille, jotka ovat voineet saada viruksen sinulta Viruksilta suojautuminen Käytä työasemassasi vain luotettavista lähteistä hankittuja ohjelmia. Vältä sähköpostissa liitetiedostojen käyttöä, jos se on mahdollista. Käytä liitetiedostoissa rtf ja txt tallennusmuotoja. Älä asenna verkosta ilmaiseksi saatavia näytönsäästäjiä tai apuohjelmia. Älä liitä kunnan työasemaan löytämääsi USB-muistia tai muuta tietovälinettä, jonka käyttäjää tai alkuperää et tiedä (virus- ja haittaohjelmien riski). Vältä surffailua epämääräisillä www-sivuilla.
20 Tietoturvan vastuut ja organisointi Liperin kunnassa Kunnanhallitus hyväksyy kunnan tietoturvapolitiikan ja vastaa viime kädessä tietoturvan toteutumisesta ja tarvittavien edellytyksien luomisesta tietoturvavaatimusten ja - tavoitteiden saavuttamiseksi. Osana kokonaisvastuutaan Liperin kunnanjohtaja ja osastopäälliköt vastaavat tietoturvan toteutumisesta ja tarvittavien edellytyksien luomisesta tietoturvapolitiikan mukaisten tietoturvavaatimusten ja -tavoitteiden saavuttamiseksi. Liperin kunnan ICT-työryhmä vastaa tietoturvapolitiikan toteutuksesta hallinnollisella tasolla sekä tietoturvan integroimisesta yhtiön kokonaistoimintastrategiaan sekä varmistaa osaltaan toimintaan kuuluvien tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. ICT- Työryhmän tehtäviin kuuluu tietoturvallisuuteen liittyvien suunnitelmien ja ohjeistuksien katselmointi ja käytäntöön vienti. Tietoturvavastaava vastaa tietoturvan seurannasta, raportoinnista ja kehittämishankkeiden toteutuksesta sekä valmistelee niitä yhdessä ICT-työryhmän jäsenien kanssa. Lisäksi tietoturvavastaavan tehtäviin lukeutuvat vakaviin tieto-turvaongelmiin liittyvien ja nopeaa reagointia vaativien toimenpiteiden käynnistäminen. Tietoturvavastaava raportoi vakavista tietoturvaongelmista kunnan ICT-työryhmälle. Esimiehet valvovat oman vastuualueen tietoturvan toteutumista yhdessä tietoturvavastaavan kanssa sekä osallistuvat tietoturvan ja siihen liittyvien kehittämishankkeiden toteutukseen omilla vastuualueillaan. Lisäksi he ovat mukana tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelussa ja varmistavat osaltaan toimintaan kuuluvien tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietosuojavastaava valvoo ja seuraa tietosuojan toteutumista erillisen suunnitelman mukaisesti ja raportoi havaitsemistaan puutteista ja esittää parannusehdotuksia ICTtyöryhmälle. Tietosuojavastaava on mukana uusien tietojärjestelmien hankintaprosessissa. Lisäksi jokainen Liperin kunnan tietoja (sekä sähköisiä että paperimuotoisia) käsittelevä henkilö on vastuussa tietoturvan toteuttamisesta omalta osaltaan. Jokaisen työntekijän ja viranhaltijan tulee erityisesti huolehtia siitä, että henkilötietoja käsiteltäessä noudatetaan tietosuojalain (523/1999) toisessa luvussa esitettyjä henkilötietojen käsittelyä koskevia yleisiä periaatteita sekä JHS 166 liitteen 2 (JIT 2007 Yleiset ehdot) luvuissa 26 ja 27. Työntekijöille selvitetään perehdytyksen yhteydessä tietoturvapolitiikan sisältö ja he sitoutuvat lakien ja asetusten määräysten lisäksi noudattamaan hyväksytyn tietoturvapolitiikan toteuttamiseen liittyviä määräyksiä, ohjeita ja toimintatapoja.