22.4.2016 Askolan kunnan tietoturvapolitiikka Askolan kunta Yhteistyötoimikunta 29.3.2016 12 ICT-työryhmä Kunnanhallitus 20.4.2016 85
SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys... 2 3 TIETOTURVAN PERUSTASO... 2 3.1 Hallinnollinen turvallisuus... 2 3.2 Henkilöstöturvallisuus... 2 3.3 Fyysinen turvallisuus... 3 3.4 Tietoaineistoturvallisuus... 3 3.5 Tietoliikenneturvallisuus... 4 3.6 Laitteistoturvallisuus... 4 3.7 Ohjelmistoturvallisuus... 4 3.8 Käyttöturvallisuus... 5 3.9 Tietosuoja... 5 4 TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI... 6 5 JOHTO 6 6 TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT... 6 7 ARKISTO... 7 8 PÄÄKÄYTTÄJÄT... 7 9 HENKILÖSTÖ... 7
1 TIETOTURVAPOLITIIKKA Tietoturvapolitiikan avulla kunnan johto määrittelee tietoturvatoiminnan tavoitteet, vastuut ja toimintalinjat. Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle, sillä tietoturvallisuudesta huolehtiminen on jokaisen kunnan työllistämän, välittömän ja välillisen, henkilön vastuulla. Tietoturvapolitiikka on lähtökohtana tietoturvallisuuden ja valmiuden kehittämiselle kunnassa. Sen avulla määritellään tietoturvallisuuden periaatteet ja toimintatavat sekä ohjataan tietoturvallisuuden huomioonottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Tietoturvallisuutta koskevien riskien hallinta on osa kunnan kokonaisriskienhallintaa. Tietoturvapolitiikka on kunnan johdon virallinen kannanotto jonka avulla määritellään tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Se annetaan tiedoksi kunnan kaikille hallintokunnille ja heidän tulee toimia sen mukaisesti. Politiikkaa tarkennetaan ja syvennetään tietojenkäsittelyn säännöissä ja ohjeissa. Askolan kunnassa tietoturvasta vastaa hallintojohtaja. Tämä vastuuhenkilö on hyväksynyt ja vahvistanut noudatettavat turva- ja varautumisperiaatteet sekä määrittelee vastuut ja sisäisen toimintaorganisaation. Turvallisuus- ja varautumisperiaatteiden toteutumisesta ja seurannasta vastaavat yksiköiden esimiehet tulosohjauksen periaatteiden mukaisesti. Tietoturvapolitiikan valmistelu ja ylläpito sekä tietotekninen tietoturva on hallintojohtajajan ja ICT-työryhmän vastuulla. He varmistavat, että asiakirjaa tarkistetaan tai päivitetään säännöllisesti vähintään kolmen vuoden välein sekä toiminnan ja organisaation muuttuessa, esim. kun käyttöön otetaan uusia sähköisiä palveluja. 1
2 TIETOTURVALLISUUS Kunnan tietoturvallisuuden lähtökohtina ovat säädökset, valtiovarainministeriön VAHTI - ohjeet sekä organisaation toiminnan varmistaminen ja laatu. Kunnan ja koko yhteiskunnan toiminnan edellytyksenä on toimiva ja hyvin hoidettu tietoturvallisuus, jolla taataan mm. sähköisen asioinnin luotettavuus. Tietoturvallisuus on yksi hallinnon toiminnan ja riskien hallinnan kulmakivistä, sen edistäessä hallinnon ja palvelun luotettavuutta, laatua, jatkuvuutta ja asioiden sujuvuutta. 2.1 Tavoitteet ja tietoturvallisuuden merkitys Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, käytettävyydestä ja eheydestä. Askolan kunnan tavoitteena on turvata toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen. Kunnan kaikkien toimialojen perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon. Esimerkkinä sosiaali- ja terveyspalvelut, jossa käsitellään runsaasti luottamuksellista tai muuten turvaluokiteltua tietoa kyseenomaisen yksikön erityisturvaohjeet tulee määritellä ja ottaa käyttöön. Tieto kaikissa muodoissaan, riippumatta siitä onko se tallennettua tai välitettyä, on tärkeä suojattava kohde koko sen elinkaaren ajan. 3 TIETOTURVAN PERUSTASO Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle. Tietoturvapolitiikka toimii perustana, jonka varaan erilaiset tietoturvaohjeistukset rakentuvat. Tietojen turvaamisessa omina osa-alueinaan otetaan huomioon hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus, joihin asiakirjahallinnan tietoturvallisuudella on myös liittymäpintoja. 3.1 Hallinnollinen turvallisuus Hallinnollisella turvallisuudella tarkoitetaan tietoturvan yleistä organisointia, suunnittelua, tiedottamista ja valvontaa. Askolan kunnan hallinnollisen turvallisuuden perustaso edellyttää, että kunnassa on hyväksytty tietoturvaperiaatteet, laadittu tietoturvaohjeet ja toipumissuunnitelmat, järjestetty tietoturvakoulutusta, määritelty tietoturvavastuut ja -tehtävät, nimetty vastuuhenkilöt ja heille varamiehet. 3.2 Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan sekä oman henkilökunnan että ulkopuolisten henkilöiden virka- tai työsuhteen alkaessa, sen aikana ja sen päättyessä sopimuksilla ja valvonnalla huomioon otettavaa turvallisuuden hallintaa. 2
Askolan kunnan henkilöstöturvallisuuden perustaso edellyttää, että: kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt uusi työntekijä on perehdytettävä tietoturva-asioihin esimiehen toimesta henkilökunta noudattaa annettuja tietoturvaohjeita ja -käytäntöjä esimies seuraa, että henkilön oikeudet ovat sen hetken työtehtäviä vastaavat kaikki työntekijät allekirjoittavat salassapito-asiakirjan. 3.3 Fyysinen turvallisuus Fyysisellä turvallisuudella tarkoitetaan Askolan kunnan tietoaineistojen, ICT-laitteiden sekä niitä tukevien lämpö-, vesi-, ilmastointi- ja sähkölaitteiden fyysisen kunnon ja tilaratkaisujen turvaamista. Fyysiseen turvallisuuteen liittyy myös erilaisten riskien ennaltaehkäisy, sattuneen vahingon haittojen minimointi, kulunvalvonta ja murtosuojaus. Fyysisen turvallisuuden perustaso edellyttää, että: tietojen luovuttaminen luvattomiin käsiin on kielletty tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat työtila lukitaan sen jäätyä tyhjäksi palvelimet on keskitetty niille soveltuviin omiin tiloihin palvelintilat on erikseen lukittu ja niihin määritellään kulkuoikeudet työasemat on sijoitettava valvottuihin tiloihin kriittiset työasemat on nimetty ja varmennettu varmuuskopiot on sijoitettu fyysisesti erillisiin paloturvallisiin tiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti lähiverkolle on tehty toipumis- ja valmiussuunnitelma. 3.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojen käsittelyä. Näitä normeja ovat lait, asetukset, viranomaismääräykset, tietojärjestelmien käsittelysäännöt, tietojen suojaamisluokitteluun liittyvät ohjeet ja arkistointiohjeet. Tietoaineistoturvallisuuden perustaso edellyttää, että henkilökunta tuntee ja noudattaa toiminnassaan: henkilötietojen käsittelyä koskevia yleisiä periaatteita, sääntöjä vaitiolovelvollisuudesta ja salassapidosta yksikkönsä toimintaa ohjaavia ja rajoittavia normeja, luottamuksellisten tietojen käsittelyohjeita Suojaamatonta sähköpostia ja telefaxia käytettäessä varmistetaan, että tieto menee oikealle vastaanottajalle, tunnistettavaa henkilötietoa ei välitetä ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö. Erityistä huomiota on kiinnitettävä asiakirjojen suojaamisvelvoitteeseen. 3
Tiedot säilytetään ja hävitetään arkistonmuodostamissuunnitelman mukaisesti. Poistettavasta laitteesta poistetaan tai puhdistetaan aina kiintolevy. Salassa pidettävien tietojen osalta salassapitovelvollisuus säilyy palvelusuhteen jälkeenkin. 3.5 Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan Askolan kunnan tietoliikennelaitteiden, -ohjelmien ja tietoverkon turvallisuutta. Tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden asennus tapahtuu suunnitellusti tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttöoikeudet tarkistetaan säännöllisesti luvaton käyttö on estetty työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osilta noudatetaan annettuja ohjeita varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen (turvaposti) 3.6 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan ICT-laitteistoihin, tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, varmistuksiin sekä pääsynsuojaukseen liittyvää turvallisuutta. Laitteistoturvallisuuden perustaso edellyttää: ICT-laitteistojen ja tietoverkkojen dokumentoimista toipumissuunnitelmaan varajärjestelmän käytettävyyden varmistamista poikkeusoloja varten laitteistojen fyysisen kunnon ylläpitämistä huolto- ja ylläpitosopimusten ylläpitämistä. 3.7 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan tietojärjestelmien määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ennen käyttöönottoa tapahtuvaan toimintaan liittyvää turvallisuutta. Keskeisiä vaatimuksia ovat: saatavuuden turvaaminen käytettävyys luottamuksellisuus yhteensopivuus eheys. 4
Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuut ohjelmistotuotteista määräytyvät hankinta- ja käyttösopimusten mukaan. Askolan kunnan ohjelmistoturvallisuuden perustaso edellyttää: tietojärjestelmien ylläpidosta huolehtimista ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti järjestelmämuutokset toteutetaan ohjelmistotoimittajien ja käyttäjien toimesta ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan toimittajien ja käyttäjien toimesta testaukset suoritetaan laaditun testaussuunnitelman mukaisesti. Askolan kunnassa määritellään ohjelmistojen käyttöön liittyvät velvollisuudet seuraavasti: paperiset asiakirjat, sähköiset tietovarannot, tietojärjestelmät, tietotekniset laitteet, tietoverkot ja niihin liittyvät palvelut on pidettävä asianmukaisesti suojattuina sekä normaali - että poikkeusoloissa suurista ohjelmistomuutoksista ja päivityksistä tiedotetaan käyttäjille ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ohjelmien asentaminen ja hankinta on keskitetty tietohallintoon, joka hyväksyy kaikki työasemille asennettavat ohjelmat työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojen tallentamisesta ja varmistamisesta. Palvelimella on käyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 3.8 Käyttöturvallisuus Käyttöturvallisuudella tarkoitetaan kunnassa olevan aineiston, tietojärjestelmien ja niiden käytön turvallisuutta. Käyttöturvallisuuden perustaso edellyttää: tietojenkäsittelyn toipumis- ja valmiussuunnitelmaa vastuu- ja varahenkilöiden nimeämistä ohjeistoa päivittäin hoidettavista rutiineista turvallisuusohjeita ja käyttöoikeuskäytäntöjä käyttäjätunnusten, salasanojen, toimikorttien ja PIN -koodimenettelyn käyttöä käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi ohjelmien ylläpidon ja huollon saatavuutta. 3.9 Tietosuoja Tietosuojaan kuuluvat yksityiselämän suoja ja sitä turvaavat oikeudet henkilötietojen käsittelyssä ja ovat siten osa tietoturvallisuutta. Tietosuojan toteuttamiseksi mm. laaditaan henkilötietolain mukaiset rekisteriselosteet henkilörekistereistä sekä julkisuuslain mukainen tietojärjestelmäluettelo käytössä olevista tietojärjestelmistä ja tarvittavat tietojärjestelmäselosteet, jotka liitetään osaksi arkistonmuodostussuunnitelmaa ja pidetään jokaisen saatavilla. Käyttöoikeuksista vastaa rekisterinpitäjä ja niitä hallinnoivat ohjelmien pääkäyttäjät. Käyttöoikeudet pyydetään aina kirjallisesti esimiehen toimesta. Esimiehen tehtävä on huolehtia, että käyttäjän käyttöoikeudet ovat työtehtävien mukaiset. 5
Tietojärjestelmien käytöstä kertyy sormenjälkitietoa ja järjestelmien käyttöä seurataan. Kukin käyttäjä vastaa käyttäjätunnuksellaan tehdyistä merkinnöistä ja tapahtumista. Käyttöoikeudet tarkistetaan säännöllisesti. Alaisen työsuhteen päättymisestä esimies on velvollinen ilmoittamaan tunnusten ja oikeuksien ylläpitäjille. 4 TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI Tietoturvallisuustyö on oleellinen ja kiinteä osa tietojärjestelmien käytön, ylläpidon ja kehittämisen tehtävistä. Kaikilla tietojärjestelmien käyttäjillä ja niiden kehittämiseen osallistuvilla tulee olla tietoturvallisuuden perustuntemus. Vastuunjakojen tarkka määrittely on organisaatiokohtainen. Tärkeää on, että organisaatiossa on jaettu selkeästi vastuut eri osapuolien kesken. 5 JOHTO Ylin johto määrittelee tietoturvallisuuden keskeiset periaatteet osana kunnan toiminta- ja tietohallintostrategiaa sekä päättää merkittävistä hankkeista ja hankinnoista sekä vastaa omalla hallinnonalallaan tietoturvan valvonnasta ja tapahtuvien rikkomusten raportoinnista tietohallinnolle. Johto osallistuu myös toiminnalle kriittisten järjestelmäkehityshankkeiden tavoitteenasetteluun ja valvontaan. Johdon sitoutuminen tietoturvallisuuskulttuurin ja tietoturvallisuus-hankkeiden edistämiseen on ensiarvoisen tärkeää. Askolan kunnan tietoturvaperiaatteet hyväksytään kunnanhallituksessa, jonka pohjalta tietohuoltoa toteutetaan tietohallinnon toimesta. Tietohallinto on keskitetty hallintotoimen tehtäväalueeksi, jossa vastaavana viranhaltijana toimii hallintojohtaja. Kunnassa toimii ICTtyöryhmä, joka ohjeistaa ja avustaa henkilöstöä tietoaineiston ja tietojärjestelmien käytössä sekä siihen liittyvässä tietoturvassa. Viime kädessä vastuu valmius- ja toipumissuunnitelmien toimivuudesta on ylimmällä johdolla. 6 TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT Kaikille tietojärjestelmille ja -laitteistoille sekä ulkoistetuille palveluille on määritelty toimialakohtaiset omistajat ja vastuuhenkilöt, jotka vastaavat niiden palvelutason varmistamisesta, kehittämisestä ja hyväksikäytöstä. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Toipumissuunnitelmassa määritelty tavoitteet poikkeustilanteiden toipumisajoille sekä yhteystiedot tahoihin, joiden kautta poikkeustilannejärjestelyt hoidetaan. Askolan kunnassa tietojärjestelmän vastuullinen omistaja on se hallintokunta, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu. Tietojärjestelmän omistajaa edustaa vastuualueen esimies. Omistajalla on velvollisuus huolehtia tietojensa ja 6
tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja kunnassa voimassaolevien sääntöjen ja ohjeiden noudattamisesta. Vastuu on riippumaton siitä, hoidetaanko tietojen käsittely tai tietojärjestelmien ylläpito yksikössä vai hankitaanko se palveluna. 7 ARKISTO Asiakirjallisten tietojen hallintaan ja laatuun liittyvät vaatimukset ovat myös osa tietoturvallisuutta. Arkistotoimea johtavan viranhaltijan johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat arkistonmuodostamissuunnitelman ja tietohallinnon yhteistyönä, jossa huomioidaan sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. 8 PÄÄKÄYTTÄJÄT Tietojärjestelmien pääkäyttäjien tietoturvallisuustehtäviä ovat sovellusten käytettävyydestä ja kehittämisestä, käyttöoikeuksista sekä järjestelmän tietoturvallisuudesta huolehtiminen. Pääkäyttäjä on myös mukana jatkuvuussuunnitteluun liittyvissä projekteissa. 9 HENKILÖSTÖ Henkilöstön on otettava huomioon järjestelmien ja tietojen käyttämisen yhteydessä niihin liittyvien salassapitovelvollisuuksien ja muiden tietoturvallisuusvelvoitteiden noudattaminen. Käyttöoikeuksien luovuttaminen eteenpäin on kielletty. Hallintokunnittain on huolehdittava siitä, että käyttäjät ovat saaneet työyhteisön ja tietojärjestelmän käytön edellyttämän tietoturvallisuusosaamisen koulutus- ja kehittämistarpeiden perusteella. Järjestelmän käyttäjä arvioi järjestelmän käytettävyyttä ja raportoi ongelmista välittömästi omalle esimiehelleen. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset käyttöoikeuksista vastaavan henkilön tietoon. Teknisistä puutteista ja mahdollisista vääristä ja puutteellisista käyttöoikeuksista (työntekijän toimenkuva muuttunut, työntekijä siirtynyt osastolta toiselle tms.) esimies informoi pääkäyttäjiä ja tietohallintoa. 7