Yleistä hallinnollisesta tietoturvallisuudesta Tukikoulutus joulukuu 2007 Tuija Lehtinen
Tieto Tieto on suojattava kohde, jolla on tietty arvo organisaatiossa Tieto voi esiintyä monessa muodossa: painettuna tai kirjoitettuna sähköisesti talletettuna postin kuljettamana nähtynä, kuultuna tai puhuttuna Joulukuu 2007 tuija.lehtinen@mavi.fi 2
Tietoturvatavoitteet Eheys Käytettävyys (Saatavuus) Luottamuksellisuus Tunnistettavuus Todennettavuus Kiistämättömyys Joulukuu 2007 tuija.lehtinen@mavi.fi 3
Hyvä tietoturvallisuus Tarkoittaa tilannetta, jossa tietojen, järjestelmien, palveluiden ja tietoliikenteen Luottamuksellisuuteen Eheyteen ja Käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä Lähde: Valtiovarainministeriö Joulukuu 2007 tuija.lehtinen@mavi.fi 4
Tietoturvavahingot Puutteellinen tietoturvallisuus vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaa lisätyötä ja kustannuksia Mahdollisia syitä Uhkaa ei ole tiedostettu Oikeita menettelyjä ei ole tiedetty Ohjeita ei ole noudatettu Ihminen on suurin uhka Joulukuu 2007 tuija.lehtinen@mavi.fi 5
Mitä me voimme tehdä?
Tietokoneen käyttö työpaikalla Vastaat käyttäjänä omasta koneestasi Ohjelmien asentaminen ja päivittäminen kuuluu tietohallinnolle Kirjaudu koneelle aina omilla käyttöoikeuksillasi Lukitse työasema (Ctrl+Alt+Del ja valitse Lukitse tietokone) Käytä välitallennuksia Käytä tallentamiseen verkkolevyä Kirjaudu ulos sekä ohjelmistoista että koneeltasi ja sammuta tietokoneesi työpäivän päättyessä Joulukuu 2007 tuija.lehtinen@mavi.fi 7
Käyttöoikeudet ja salasanat Älä luovuta henkilökohtaisia käyttäjätunnuksiasi, salasanojasi, toimikorttiasi tai PIN-koodejasi toisen henkilön käyttöön Vaihda salasanat riittävän usein Käytä riittävän monimutkaisia salasanoja Älä käytä organisaation antamaa käyttäjätunnusta ja salasanaa Internetin palveluihin rekisteröityessäsi Älä käytä yhteistunnuksia Joulukuu 2007 tuija.lehtinen@mavi.fi 8
Sähköpostiviestien luotettavuus ja luottamuksellisuus Suhtaudu terveen epäluuloisesti sähköpostin luotettavuuteen Varo kalasteluviestejä - älä koskaan luovuta omia henkilökohtaisia tunnuslukuja tai muita tietoja, jos niitä pyydetään sähköpostiviestillä Sähköpostiviestit liikkuvat salaamattomana julkisessa verkossa Älä lähetä sähköpostilla luottamuksellista tietoa, jos käyttämäsi sähköpostiohjelma ei tue viestin salausta Varo haittaohjelmia Kohdista sähköposti oikeille henkilöille ja oikeisiin osoitteisiin, myös valmiita jakelulistoja käyttäessäsi Lähde:Valtiovarainministeriö Joulukuu 2007 tuija.lehtinen@mavi.fi 9
Sähköpostin virkakäyttö Sähköposti on työpaikalla tarkoitettu ensisijaisesti työtehtävien suorittamiseen Viranomaisella on velvollisuus käsitellä virkasähköposti Työhön liittyvä sähköposti vastaanotetaan ja ohjataan oman organisaation sähköpostijärjestelmään Työsuhteen päättyessä sähköpostiosoite ja -laatikko poistetaan Lähde:Valtiovarainministeriö Joulukuu 2007 tuija.lehtinen@mavi.fi 10
Internet Internet on työpaikalla tarkoitettu pääsääntöisesti työkäyttöön Internetin käyttö ei saa vaarantaa organisaation tietoturvallisuutta Internetin palveluissa käytettävä eri salasanoja kuin työpaikan palveluissa Joidenkin ohjelmien käyttö ei ole sallittua työpaikalla tutustu organisaatiosi ohjeisiin Salassa pidettävä ja yksityisyyden suojan piiriin kuuluvat tiedot, viestit ja liitetiedostot on lähtökohtaisesti aina salattava Lähde:Valtiovarainministeriö Joulukuu 2007 tuija.lehtinen@mavi.fi 11
Toimitilojen turvallisuus Noudata kulunvalvonnasta annettuja ohjeita Älä jätä vierasta yksin tai ilman valvontaa Ohjaa vieraat tai eksyneet henkilöt oikeisiin paikkoihin Pyri käyttämään vierailuihin neuvottelutiloja Huolehdi, ettei neuvottelutiloissa ole esillä asiaankuulumatonta materiaalia Noudata puhtaan pöydän periaatetta Älä jätä suljettuina pidettäväksi tarkoitettuja ovia auki Käytä organisaation toimitiloissa kuvallista henkilökorttiasi Joulukuu 2007 tuija.lehtinen@mavi.fi 12
Etä- ja matkatyö Huolehdi siirrettävistä laitteista ja tietoaineistoista Älä lataa tai asenna laitteisiin mitään työhön kuulumatonta Huolehdi varmuuskopioinnista Huolehdi käyttäjätunnuksista, salasanoista ja toimikorteista Varmistu, etteivät asiattomat näe käsittelemiäsi tietoja Älä puhu luottamuksellisista asioista julkisilla paikoilla Muista, että kaikkea organisaatiossa tehtävää työtä ei voida tehdä tietoturvallisesti etätyönä Joulukuu 2007 tuija.lehtinen@mavi.fi 13
Ongelmatilanteet Ilmoita aina ongelmatilanteista välittömästi Tietoturvaloukkaus tai haittaohjelmatartunta: kirjaa muistiin mahdollinen ilmoitus tai varoitus ota yhteys tietohallintoon tai tietoturvavastaavaan noudata saamiasi ohjeita Seuraamukset Joulukuu 2007 tuija.lehtinen@mavi.fi 14
Pienet asiat suuret vaikutukset Lukitse tietokoneen näyttö Huolehdi vieraistasi Pidä pöytä puhtaana Älä jätä papereitasi kokoustiloihin / kopiokoneille / faxeille Käytä kuvallista henkilökorttia Joulukuu 2007 tuija.lehtinen@mavi.fi 15
Jokainen on omalta osaltaan vastuussa tietoturvallisuudesta Joulukuu 2007 tuija.lehtinen@mavi.fi 16
Tietoturvallisuuden erityiskysymyksiä Tietoturvallisuus hallinnollisessa ohjeessa
Yleistä Komission asetus (EY) N:o 885/2006 Ohje koskee kaikkia kuntia Ei huomioitu kuntakohtaisia erityiskysymyksiä riskien arviointi välttämätöntä Joulukuu 2007 tuija.lehtinen@mavi.fi 18
Sisältö Tietoturvapolitiikka Organisointi ja vastuut Suojattavat kohteet ja hyväksyttävä käyttö Riskien arviointi ja käsittely Tiedot Henkilöstö Toimitilat ja laitteet Tietoliikenne ja käyttötoiminnot Telefax ja sähköposti Kopiot ja tulosteet Pääsyoikeudet Tietoturvahäiriöt Toiminnan jatkuvuus Vaatimustenmukaisuus Joulukuu 2007 tuija.lehtinen@mavi.fi 19
Tietoturvapolitiikka Ehdoton vaatimus Johdon tuki Tavoitteet Organisointi Seuranta Voimassaolo Politiikan tulee olla julkaistu ja tiedotettu henkilöstölle Malli liitteenä Joulukuu 2007 tuija.lehtinen@mavi.fi 20
Joulukuu 2007 tuija.lehtinen@mavi.fi 21
Organisointi ja vastuut Vastuut ja tehtävät sekä niiden jakautuminen eri henkilöille Jokaisella on vastuu tietoturvallisuudesta Kenelle ilmoitetaan puutteista, väärinkäytöksistä tai tietoturvallisuutta vaarantavista seikoista Salassapito- tai vaitiolositoumus Sopimus palvelutoimittajien kanssa Tarvitaanko mallia? Joulukuu 2007 tuija.lehtinen@mavi.fi 22
Suojattavat kohteet ja hyväksyttävä käyttö Tehtävien hoitamisen kannalta kriittiset resurssit Yksilöitävä, luetteloitava, nimettävä vastuuhenkilö Esim. asiakirjat, tiedot, henkilöstö, infra Tarkistettava säännöllisesti Päivitettävä tarvittaessa Hyödynnetään riskien arvioinnissa Malli? Joulukuu 2007 tuija.lehtinen@mavi.fi 23
Riskien arviointi ja käsittely Tehdään ensisijaisesti suojattavista kohteista Yksilöidään riskit ja arvioidaan niiden suuruus / vaikuttavuus Ohjaa tietoturvajärjestelyjä Arviointi / tarkistaminen vähintään kerran vuodessa Huom! Tarkoituksenmukaisuus Ohje? Malli? Joulukuu 2007 tuija.lehtinen@mavi.fi 24
Tiedot Tiedot suojattava riittävästi Ei-julkiset asiakirjat pois näkyvistä Asiakirjojen toimittaminen Asioiden käsittely puhelimessa Paloturvallisuus Hävittäminen Huom! Vuoden 1995 hakemukset ja päätökset säilytettävä pysyvästi Joulukuu 2007 tuija.lehtinen@mavi.fi 25
Tiedot Jos maataloushallinnon alkuperäisiä hakemuksia ja asiakirjoja siirretään kunnan virastosta / arkistosta muualle, on niistä otettava kopiot ennen siirtoa Kopiot tulee säilyttää ko. kunnan virastossa / arkistossa, kunnes alkuperäiset hakemukset ja asiakirjat on palautettu takaisin kunnan virastoon Joulukuu 2007 tuija.lehtinen@mavi.fi 26
Henkilöstö Tietoturvatietoisuus Tietoturvakoulutus Toimet palvelusuhteen päättyessä asiakirjat pääsy tietojärjestelmiin pääsy tietojen säilytystiloihin Joulukuu 2007 tuija.lehtinen@mavi.fi 27
Toimitilat ja laitteet Ovien ja ikkunoiden lukitus Paloturvallisuus Asiointitilat erillinen palvelupiste asiakirjojen säilytys työhuoneissa näytön suuntaus kopiokoneet, telefaksit Tietojenkäsittelylaitteiden suojaus Joulukuu 2007 tuija.lehtinen@mavi.fi 28
Tietoliikenne ja käyttötoiminnot Päivitykset, huollot ja korjaukset säännöllisesti Haittaohjelmilta suojautuminen (virustorjunta) Palomuurit Lokitiedot Tietovälineiden hävitys Ohjeistus ohjelmien asentamisesta ja tallennusvälineiden käytöstä Joulukuu 2007 tuija.lehtinen@mavi.fi 29
Telefax ja sähköposti Ei-julkisen tiedon lähetys telefaksilla vältettävä, jos mahdollista varmistuttava vastaanottajasta Ei-julkisen tiedon lähetys sähköpostilla varmennettuna sisäverkossa salattuna sisäverkon ulkopuolelle Joulukuu 2007 tuija.lehtinen@mavi.fi 30
Kopiot ja tulosteet Samat suojausvelvoitteet kuin alkuperäisillä dokumenteilla Kopiointi ja tulostaminen yhteisellä laitteella Joulukuu 2007 tuija.lehtinen@mavi.fi 31
Pääsyoikeudet Työtehtävien mukaisesti Haku, ylläpito ja poisto maksajaviraston ohjeistamalla tavalla Käyttäjätunnus, salasana ja avainlukulista ovat henkilökohtaisia Käyttäjätunnuksen, salasanan ja avainlukulistan säilytys Salasana vaihdettava riittävän usein Kompleksisuus Erillinen salasana rekisteröidyttäessä avoimiin palveluihin Joulukuu 2007 tuija.lehtinen@mavi.fi 32
Tietoturvahäiriöt Ongelmatilanteet ja epäilyttävät havainnot on kirjattava ja niistä on ilmoitettava vastuuhenkilölle Tietojärjestelmän tekniset ongelmat Mavin tietojärjestelmätukeen Tietojärjestelmän ja tietoturvallisuuden vaarantuminen ja uhka ilmoitetaan Mavin tietoturvapäällikölle Joulukuu 2007 tuija.lehtinen@mavi.fi 33
Toiminnan jatkuvuus Häiriöihin ja keskeytyksiin varauduttava Riskien arviointi, jatkuvuussuunnitelmat ja suunnitelmien testaus Tukihakemuslomakkeiden säilytys tallennusjärjestyksessä Joulukuu 2007 tuija.lehtinen@mavi.fi 34
Vaatimustenmukaisuus Säädökset ja määräykset julkisuuslaki ja -asetus henkilötietolaki ja asetus jne. Joulukuu 2007 tuija.lehtinen@mavi.fi 35
Kunnista tulleita kysymyksiä Voiko koko kuntaa koskeva tietoturvaohjeistus korvata Mavilta delegoitujen tehtävien tietoturvaohjeistuksen? Tarvitaanko lisäksi maaseutupuolta koskevaa lisädokumentaatiota? Kuinka tehdään riskien arviointi ja käsittely? Johdon tuki / ylimmän johdon sitoutuminen? Voiko tietoturvallisuudesta vastata joku muu kuin ylin johto? Pitääkö tietoturvaohjeet hyväksyttää johdolla? Voidaanko kunnassa noudattaa naapurikunnan antamaa tietoturvaohjetta? Joulukuu 2007 tuija.lehtinen@mavi.fi 36
Kiitos! Joulukuu 2007 tuija.lehtinen@mavi.fi 37