KAINUUN ALUEVERKON TIETOTURVALLISUUS-PERI- AATTEET

Kainuun maakunta kuntayhtymä Kainuun alueverkon Kainuun Alueverkko tietoturvallisuusperiaatteet Tietohallinto Tietoturvaprojekti 2003-2004 20.12.2004 KAINUUN ALUEVERKON TIETOTURVALLISUUS-PERI- AATTEET

SISÄLLYSLUETTELO 20.12.2004 1 JOHDANTO 3 2 KÄSITTEITÄ 4 3 TIETOTURVASUUNNITTELUN PERUSTEET 6 3.1 Tietoturvallisuusperiaatteiden tarkoitus 6 3.2 Tietoturvallisuusvaatimukset 6 3.2.1 Tietoturvallisuustoimintaa ohjaavat säännökset 7 3.2.2 Tietoturvallisuuteen kohdistuvat uhkat 7 4 KAINUUN ALUEVERKON TIETOTURVALLISUUSPERIAATTEET (PERUSTIETO- TURVALLISUUS) 8 5 TIETOTURVALLISUUSPERIAATTEET OSA-ALUEITTAIN 9 5.1 Hallinnollinen tietoturvallisuus 10 5.2 Henkilöstöturvallisuus 11 5.3 Fyysinen turvallisuus 11 5.4 Tietoliikenneturvallisuus 12 5.5 Laitteistoturvallisuus 13 5.6 Ohjelmistoturvallisuus 13 5.7 Tietoaineistoturvallisuus 16 5.8 Käyttöturvallisuus 16 5.9 Suojattavien kohteiden luokitus ja valvonta 17 5.10 Pääsyoikeuksien valvonta 19 6 VASTUUT, VALTUUDET JA VALVONTA 19 7 TIETOTURVALLISUUSTOIMINNAN ORGANISOINTI 22 8 TIETOTURVAKOULUTUS JA TIETOTURVAOHJEET 24 8.1 Tietoturvallisuuskoulutus 24 8.2 Tietoturvallisuusohjeet 24 9 TOIMINNAN JATKUVUUDEN HALLINTA (JATKUVUUSSUUNNITELMAT) 25 10 TOIMINTA POIKKEUSTILANTEISSA (POIKKEUSOLOJEN VALMIUSSUUNNITEL- MA) 27 2

KAINUUN ALUEVERKON TIETOTURVALLISUUSPERIAATTEET Kainuun maakunta kuntayhtymän hallinnoiman Kainuun alueverkon tietoturvallisuusperiaatteisiin sitoutuneet toimintayksiköt ovat Hyrynsalmen kunta, Kajaa nin kaupunki, Kuhmon kaupunki, Paltamon kunta, Puolangan kunta, Ristijärven kunta, Sotkamon kunta, Suomussalmen kunta, Vuolijoen kunta sekä Kainuun maakunta -kuntayhtymä. Jatkossa näistä käytetään yhteisnimitystä Kainuun alueverkon toimijat. 1 JOHDANTO Kainuun alueverkon tietoturvallisuusperiaatteet (-politiikka, -linjaukset) on Kai nuun alueverkon toimijoiden hyväksymä ja vahvistama tietoturvallisuuden toteu tuksen perusperiaate, jota noudatetaan Kainuun alueverkon toimintayksiköissä. Tietoturvallisuusperiaatteiden toimeenpano hoidetaan tarkennetuilla määräyksil lä, tietoturvallisuusohjeilla ja -suosituksilla. Kainuun alueverkon toimijoiden toiminta on hyvin riippuvainen keskeisten tieto jen saatavuudesta, oikeellisuudesta ja käytettävyydestä sekä tietotekniikan toimivuudesta. Toimintaan liittyvät tiedot ovat sähköisessä muodossa alueverkos sa. Tämän vuoksi tietoturvallisuuden merkitys on toiminnan laadun ja jatkuvuu den kannalta erittäin tärkeä. Tietoturvallisuuden kehittäminen vaatii jatkuvia tietoturvallisuustoimenpiteitä sekä niiden toteuttamiseen ja ylläpitoon liittyviä ta lousja henkilöstöresursseja. Tietoturvallisuustyö on osa toiminnan kehittämistä ja toiminnan laatua. Kainuun alueverkon toimijoiden ja niiden yksiköiden tulee huolehtia siitä, että tietoturvallisuus ja tietojen sekä asiakirjojen suojaaminen toteutuvat omassa organisaatiossa ja myös hankittaessa palveluita organisaation ulkopuolelta. Tehtäväksianto ulkopuoliselle toimijalle ei vapauta käyttäjää velvoitteestaan huoleh tia tietoturvallisuudesta, eikä vastuuta voi siirtää yksinomaan toimeksisaajalle. Kokonaisvastuu tietoturvallisuudesta on aina asianomaisen toimijan johdolla. Kainuun alueverkon toimijat vastaavat alueverkkoinfrastruktuurin tietoturvallisuudesta. 3

Turvallisuusvaatimukset yksilöidään suorittamalla järjestelmällinen turvallisuusriskien arviointi määrävälein tai suurehkojen muutosten yhteydessä. Turvamekanismeihin sijoitetut varat tulee mitoittaa suhteessa turvajärjestelyjen epäonnistumisesta aiheutuneiden menetysten suuruuteen. Riskianalyysimenetelmiä sovelletaan koko Kainuun alueverkon toimijaorganisaatioihin tai vain osaan sii tä, mutta myös yksittäisiin tietojärjestelmiin, määriteltyihin järjestelmäkompo nentteihin tai palveluihin. 2 KÄSITTEITÄ Tietoturvallisuus on 1. Asiaintila, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä. 2. Keinojen ja toimenpiteiden kokonaisuus, joiden avulla pyritään varmistamaan tietoturvallisuus niin normaali- kuin poikkeusoloissa. Tietoturvallisuudella tarkoitetaan siis tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietoturvallisuustoimet koskevat kaikkea sähköisessä, audiovisuaalisessa, suullisessa ja kirjallisessa muodossa olevaa tiedon käsittelyä, siirtoa ja säilyttämistä. Tietoturvallisuus on kiinteä ja keskeinen osa organisaation koko toimintaa ja koskee koko henkilöstöä. Tietoturvallisuuden varmistaminen ja kehittäminen edellyttävät jatkuvaa kehitystyötä ohjeistuksen, toimeenpanon ja henkilöstön osaamisen osalta. Tietoturvallisuus on myös keskeinen osa organisaation toiminnan ja tietojenkäsittelyn laatutyötä ja varmistamista. Lisäksi on otettava huomioon, että normaalioloissa luodaan perusta poikkeusolojen toiminnoille. 4

Tietosuoja 1. Tietojen valtuudettoman saannin estäminen ja tietojen luottamuksellisuuden säilyttäminen. 2. Henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä. Tietosuoja tarkoittaa tietosuojalainsäädäntöön kirjoitetussa merkityksessä sitä, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiatto malta käsittelyltä. Henkilötiedot on lain mukaan pidettävä salassa asiattomilta ja ulkopuolisilta (luottamuksellisuus), henkilötietojen oikeellisuus on varmistettava (eheys), henkilötietoja ei saa tuhota tai käsitellä asiattomasti (eheys, käytettä vyys), merkittävien henkilötietojen on oltava käytettävissä (käytettävyys). Lisäksi tietosuojalainsäädäntö antaa rekisteröidyille monia oikeuksia, jotka koskevat hänen tietojensa rekisteröintiä, käsittelyä ja käyttöä. Tietosuojaa voidaan loukata väärien tietojen käytöllä, tietojen väärällä käytöllä, merkittäviä tietoja ei ole käytettävissä tai niitä ei käytetä. Tietosuoja siis sisältää tietoturvan keskeisimmät ulottuvuudet. Lisäksi tietosuo jaan kuuluu monia elementtejä, joihin tietoturva ei ota kantaa. Vastaavasti tieto turva sisältää lukuisia osatekijöitä, jotka vain välillisesti vaikuttavat tietosuojaan. Tietosuojasta on laadittu Kainuun maakunta -kuntayhtymälle erillinen Tietosuoja-käsikirja (luonnos), joka täydentää tätä ohjeistoa tietosuojaa koskevien erityiskysymysten osalta. Muita tietoturvallisuuteen liittyviä käsitteitä Pääsynvalvonta Toiminnot ja menettelyt, joiden avulla tietojärjestelmään pääsy tai tiedon saanti sallitaan vain valtuutetuille henkilöille tai sovelluksille. Käytettävyys 1. Ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. 2. Helppokäyttöisyys. 5

Luottamuksellisuus 1. Tietojen säilyminen luottamuksellisina ja tietoihin, tietojenkäsittelyyn ja tietoliikenteeseen kohdistuvien oikeuksien säilyminen vaarantumiselta ja loukkauksel ta. 2. Se, missä määrin luottamuksellisuutta pidetään tärkeänä. Eheys 1. Tietojen tai tietojärjestelmän aitous, väärentämättömyys, sisäinen ristiriidattomuus, kattavuus, ajantasaisuus, oikeellisuus ja käyttökelpoisuus. 2. Ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta. Kiistämättömyys Tietoverkossa eri menetelmin saatava varmuus siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys), vastaanottanut tietyn viestin (luovutuksen kiistämättömyys), tai että tietty viesti tai tapahtuma on jätetty käsiteltäväksi. Huom. Luovutukseen tai käsiteltäväksi jättämiseen voidaan liittää aikaleima, joka todistaa viestin saapumisajankohdan. 3 TIETOTURVASUUNNITTELUN PERUSTEET 1 Tietoturvallisuusperiaatteiden tarkoitus Tietoturvaperiaatteiden tarkoituksena on vähentää tietoturvariskejä sekä turvata tietojärjestelmien tietojen suojaaminen, saatavuus ja käyttökelpoisuus määrittelemällä tietojenkäsittelylle perusturvataso. 2 Tietoturvallisuusvaatimukset Tietoturvallisuudelle asetettavat vaatimuksia, velvoitteita ja tavoitteita monet eri tahot ja asiat: Lait, asetukset ym. määräykset ja ohjeet Organisaation sisäiset ja ulkoiset tavoitteet Sidosryhmien odotukset Erilaiset uhkatekijät 6

1 Tietoturvallisuustoimintaa ohjaavat säännökset Liite 2. Tietoturvallisuutta koskevat tärkeimmät säädökset. 2 Tietoturvallisuuteen kohdistuvat uhkat Toimintaan ja tietoturvallisuuteen kohdistuu sekä sisäisiä että ulkoisia uhkia. Uhkia voivat aiheuttaa ennalta arvaamattomat ja vaikeasti ennakoitavat tapah tumat, puutteelliset toimintatavat tai edellytykset, tekniset viat sekä tahattomat ja tahalliset teot. Osa näistä on pelkästään tietoteknisiä uhkia. Jokapäiväisiä uh kia ovat esim. virukset, sähkökatkot, henkilöstön osaamattomuus ja motivoitu misen puute tai sitoutumattomuus tietoturvaan liittyvissä asioissa. Näistä suurin uhka tietoturvallisuudelle on ihmisten oma toiminta. Virusten arvioidaan olevan vasta viidenneksi yleisin syy sattuneisiin käyttökatkoksiin, vaikka virusten val taama palstatila antaisi ymmärtää toisin. Käyttäjän omat virheet yhdessä järjestelmävirheiden ja ylläpitopuutteiden kanssa aiheuttavat noin puolet tietoriskeis tä. Organisaatiot sekä niiden tietojärjestelmät ja verkot joutuvat lisääntyvässä mää rin alttiiksi myös muille niiden turvallisuutta uhkaaville tekijöille. Uhkatekijöitä voivat olla mm. tietokoneavusteinen vilppi, vakoilu, sabotaasi, vandalismi, tuli palo tai vesivahinko. Vahingon aiheuttajat kuten tietokonevirukset, hakkerointi ja palvelun tarjonnan estäminen hyökkäyksellä ovat yleistymässä, ja ne kehittyvät yhä kunnianhimoisemmiksi ja taitavammiksi. 7

Uhkat voidaan luokitella esim. seuraavasti 1 Force majeure, luonnonilmiöt, esim. ukonilma 2 Puutteelliset toimintatavat tai edellytykset, esim. ohjeistus 3 Tahattomat teot, esim. virheet 4 Tekniset viat, esim. laiterikot 5 Tahalliset teot, esim. hakkerointi, virukset Turvallisuustoimenpiteiden toteuttamismahdollisuuksia arvioitaessa on otettava huomioon vahingosta aiheutuvat suorat ja välilliset menetykset, tapahtuman todennäköisyys sekä turvallisuustoimenpiteistä aiheutuvat kustannukset siten, et tä turvallisuustoimenpiteistä saavutetaan taloudellisesti ja toiminnan kannalta ajateltu hyöty. Tietoturvallisuustoimenpiteiden tulee perustua niihin vaatimuksiin, joita toiminta ja palvelut asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapi dolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien analyysiin. Tietoturvallisuutta uhkaavat keskeisimmät riskit on analysoitava iso jen muutosten yhteydessä ja muuten määrävälein säännöllisesti. Myös aluever kon ylätason uhkat kartoitetaan ja niiden tietoturvallisuudelle aiheuttamat riskit analysoidaan vastaavasti. 4 KAINUUN ALUEVERKON TIETOTURVALLISUUSPERIAATTEET (PERUSTIETOTURVALLISUUS) Useat lait, asetukset sekä määräykset ja ohjeet sisältävät tietoturvallisuusvelvoitteita, jotka on otettava lähtökohdiksi myös Kainuun alueverkkoa koskevien tiedonhallinnan ja tietoteknisten palveluiden turvallisuudelle. Kainuun alueverk ko noudattaa tietoturvallisuuden kansainvälisiä säädöksiä kuitenkin huomioiden kansalliset lait ja määräykset. Edellisten lisäksi tietoturvallisuuteen velvoittaa sopimusoikeudellinen lojaliteettiperiaate. Tietoturvallisuudesta on huolehdittava myös sopimuskumppanin tietojen osalta. Kainuun alueverkon tietoturvallisuusperiaatteet 8

20.12.2004 määrittelevät ja dokumentoivat keskitetysti tietoturvallisuuden tavoitteet ja toteutuksen periaatteet ohjaavat tietoturvallisuustoimien suunnittelua, toteutusta ja valvontaa määrittelevät tietoturvallisuuden organisoinnin ja vastuut määrittelevät Kainuun alueverkon tietoverkon piirissä tietoturvallisuudessa noudatettavat menettelytavat määrittelevät periaatteet hankittaessa ulkopuolisilta tahoilta tiedon hallintatietohallinto- ja tiedonsiirtopalveluja ylläpitävät henkilöstön ymmärrystä ja tietoisuutta tietoturvallisuuden tarpeellisuudesta tunnistavat organisaation toiminnan riippuvuuden tiedosta ja tiedon hallin nasta sekä tietotekniikan käytöstä ja ovat jatkuvasti ajantasalla. Tavoitteena on, että Kainuun alueverkon tietoturvallisuus noudattaa hyvän tietohallintotavan mukaista tasoa ja standardeja. 5 TIETOTURVALLISUUSPERIAATTEET OSA-ALUEITTAIN Tietoturvallisuus on laaja kokonaisuus, jonka toimenpidealueet on yleensä jao teltu seuraaviin osa-alueisiin: hallinnollinen tietoturvallisuus, henkilöstöturvalli suus, fyysinen turvallisuus, tietoliikenneturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus. Tietoturvallisuus on yleisesti ottaen yhteiskunnan toimintojen, palvelujen, sovellusten ja tietoteknisen infrastruktuurin perusedellytys. Kainuun maakunnan toiminnot ovat oleellisesti riippuvaisia tiedonkäsittelystä ja tiedonsiirrosta tietoliikenneverkossa. Lisäksi potilastietojen osittainen arkaluontoisuus asettaa lisävaatimuksia tietoturvallisuuden hoitamiseen niitä koskevien toimintojen osalta. Mahdollinen puutteellinen tietoturva vaarantaa pääasiassa tietojärjestelmien kautta tapahtuvan toiminnan sekä aiheuttaa lisätyötä ja -kustannuksia. Tietotur vallisuus kuuluu erottamattomasti hyvään tiedonhallintatapaan. Myös Suomen lainsäädännössä on laajasti tietoturvallisuusvelvoitteita - ts. lainsäädäntö lähtee 9

siitä, että tietoturvallisuus on hoidettava asianmukaisesti. Tietoturvallisuus voidaan jakaa suunnittelun, toteutuksen ja valvonnan helpottamiseksi osa-alueisiin. Seuraavassa tietoturvallisuusperiaatteet on esitetty tämän jaottelun mukaisesti. 1 Hallinnollinen tietoturvallisuus Hallinnollinen tietoturvallisuus on tietoturvallisuuden osa-alue, joka käsittää toimintalinjaukset, periaatteet, organisaatiojärjestelyt, henkilöstön tehtävien ja vastuiden määrittelyn sekä tietoturvallisuuteen tähtäävän ohjeistuksen, koulutuksen ja valvonnan. Kainuun alueverkon toimijoilla on oltava tarvittavat tietoturvallisuuden lyhyen ja pitkän aikavälin kehittämissuunnitelmat katastrofitilanteiden varalta on oltava tarvittavat jatkuvuussuunnitelmat, ja niiden toimivuus on myös testattava tietoturvallisuusvastuut määritellään henkilöstön tehtäväkuvauksissa ulkopuolisilta sidosryhmiltä, palvelun tuottajilta ja muilta toimittajilta edellytetään etukäteen hyväksytyn tason mukaiset turvatoimet ja menetelmät sekä tarvittavat salassapitositoumukset, jotka kirjataan sopimuksiin ja tarvittaessa auditoidaan tietoturvallisuustietämyksen jatkuvasta ajan tasalla pysymisestä huolehditaan säännöllisen koulutuksen, tiedotuksen ja motivoinnin keinoin kaikki toiminnan kannalta tärkeimmät tietoturvallisuusasiat ohjeistetaan henkilöstölle annetaan selkeät ohjeet tietoturvallisuudesta ja sitoutetaan noudatta maan niitä tietoturvallisuuden hoidosta aiheutuvat kustannukset ovat yksiköiden normaaleja toimintamenoja, jotka on huomioitava talousarvioita laadittaessa havaituista ja toteutuneista tietoturvallisuuteen kohdistuvista uhkista, väärinkäytök sistä ja tapahtumista raportoidaan tietoturvallisuusorganisaatiolle erillisten ohjeiden mukaisesti tietoturvallisuus integroidaan johtamismalliin 10

2 Henkilöstöturvallisuus Henkilöstöturvallisuuteen kuuluvat henkilöstöön liittyvien riskien hallinta henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien, suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta. Toimenpiteet: työtehtävät kuvataan riittävän tarkasti, jotta tietojärjestelmiin tarvittavat oikeudet ovat määriteltävissä henkilöstö perehdytetään ja sitoutetaan tietoturvalliseen toimintatapaan avainhenkilöriskit huomioidaan keskeisissä tehtävissä sijaisuusjärjestelyin ja varahenkilöiden koulutuksella, työnjaossa otetaan huomioon käyttöturvallisuuteen kuu luvat periaatteet kuten tehtävien eriyttäminen markkinatilanne otetaan huomioon avainhenkilöiden sitouttamisessa erityisen vastuullisiin tai tietoturvallisuuden kannalta riskialttiisiin tehtäviin rekrytoitavien henkilöiden taustat on tarkistettava sikäli kun se on mahdollista vaitiolositoumukset vaaditaan viestintä- ja tietosuojasäädösten edellyttämissä tehtävissä ulkopuolisten sidosryhmien edustajilta edellytetään tehtävien edellyttämiä turvallisuusjärjestelyjä, jotka ovat vähintään yhtä turvallisia kuin omalta henkilöstöltä edellytetyt järjestelyt 3 Fyysinen turvallisuus Fyysinen turvallisuus tarkoittaa henkilöiden, laitteiden, aineistojen, varastojen ja toimitilojen suojaamista tuhoja ja vahinkoja vastaan. Kainuun alueverkon tietoturvallisuusorganisaatio määrittelee kiinteistöjen ja toimitilojen turvallisuudelle asetettavat minimivaatimukset: toimitilojen turvallisuudesta vastaa se yksikkö, jonka hallinnassa tai käytössä kyseiset toimitilat ovat toimitiloissa liikkumista varten on oltava ohjeet sekä henkilökunnalle että vierailijoille tärkeimmät palvelut, laitteet ja tietoliikenneyhteydet turvataan varajärjeste lyin laitteet ja verkko suojataan onnettomuuksilta ja ilkivallalta 11

20.12.2004 kriittiset palvelimet tulee sijoittaa palvelintilaluokitusohjeiden mukaisesti 4 Tietoliikenneturvallisuus Tietoliikenneturvallisuus on tietoturvallisuuden osa-alue, johon kuuluvat mm. tietoliikennelaitteiston kokoonpano, sen luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, pääsyn valvonta, viestinnän salaus ja varmistaminen, tietoturvallisuuden kannalta merkityksellis ten tapahtumien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen. Kriittiset järjestelmät erotetaan ja turvataan vähemmän kriittisistä järjestel mistä teknisin keinoin. Yhteiset ulospäin näkyvät palvelut keskitetään verkon turvattuun osaan. Mitään alueverkosta ulospäin näkyvää palvelua ei saa tar jota sisäverkossa. Kainuun alueverkko vastaa alueverkon tietoliikenteen runkoverkosta, etäyhteyksistä, käyttöoikeuksista ja yleisestä verkonvalvonnasta erikseen sovitus sa laajuudessa etätyön, etäkäytön ja mobiilikäytön sekä langattomien verkkojen käytön tietoturvallisuuskäytännöt ohjeistetaan erikseen yksiköiden verkon tietoturvallisuuden tason on oltava myös Kainuun aluever kon tietoturvallisuusmäärittelyjen mukainen alueverkon toimintayksiköt vastaavat alueverkon tietoturvallisuusperiaattei den ja tietoturvallisuusohjeiden mukaisesti oman paikallisverkkonsa hallin nasta kuntien ja yksiköiden verkot on eristettävä riittävästi, kuitenkin toimintaa tarpeettomasti vaikeuttamatta, verkon heikoimmasta kohdasta mahdollisesti tapahtuvan tietovuodon tms. leviämisen ehkäisemiseksi koko verkkoon alueverkossa käytetään suositeltuja yhtenäisiä salauskäytäntöjä verkon teknistä tietoturvallisuutta auditoidaan määrävälein ja merkittävien muutosten yhteydessä 5 Laitteistoturvallisuus Laitteistoturvallisuus on tietoturvallisuuden alue, joka käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapi don ja laadunvarmistuksen. 12

20.12.2004 IT- laitteiden hankintapolitiikka perustuu alueverkon tietoteknisen ympäristön arkkitehtuurimäärittelyihin; suunnitelmallisilla hankinnoilla varmistetaan yhteensopivuus ja hallittavuus toiminnan jatkuvuus kriittisten laitteistojen osalta varmistetaan ylläpitosopimuksilla ja varajärjestelyillä laitteistojen luvaton käyttö estetään teknisillä turvamenetelmillä sekä salasanoilla kannettaville tietojenkäsittelylaitteille on oltava erikseen turvaohjeet ja yhtenäiset salauskäytännöt hankinnoissa noudatetaan alueverkon tietotekniikkahankintojen sopimuseh toja 6 Ohjelmistoturvallisuus Ohjelmistojen hankinta, kehittäminen ja ylläpito Kaikki turvallisuutta koskevat vaatimukset, myös varmuuskopioiden käsittely, tu lee yksilöidä vaatimuksia koskevassa vaiheessa sekä perustella, hyväksyä ja dokumentoida toimintakokonaisuuden informaatiojärjestelmän osana. Sovelluksissa, myös käyttäjän kehittämissä, tulee ottaa käyttöön asianmukaiset turvamekanismit ja tapahtumatiedostot tai -lokit. Turvajärjestelyihin tulee sisäl tyä syötettyjen tietojen, sisäisen käsittelyn ja tulostustietojen oikeellisuuden tarkistaminen. Lisätyt turvatoimet voivat olla tarpeen sovelluksissa, joissa käsitellään organisaation poikkeuksellisen arkaluontoisia, arvokkaita tai kriittisiä suojattavia koh teita tai joilla on vaikutusta niihin. Tällaisten turvamekanismien tarve tulee rat kaista turvallisuusvaatimuksien ja riskianalyysin perusteella. Salakirjoitusjärjestelmiä ja -tekniikoita tulee käyttää valtakunnallisten suositus ten mukaisesti suojaamaan tietoa, johon katsotaan kohdistuvan suuri riski ja jo ta ei muilla turvamekanismeilla kyetä riittävästi suojaamaan. Kehitys- ja tukiympäristöjä tulee valvoa tiukasti. Sovellusjärjestelmistä vastaavien esimiesten tulee vastata myös kehitys- ja tuki- 13

ympäristöjen turvallisuudesta. Heidän tulee varmistaa, että kaikki ehdotetut järjestelmämuutokset tarkastetaan huolellisesti, jotta ne eivät vaaranna järjestel män tai käyttöympäristön turvallisuutta. Ohjelmistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittää käyttöjärjestelmät, väliohjelmistot, sovellusohjelmat ja tietoliikenneohjelmistot. Alueeseen kuuluvat ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä niiden ylläpitoon ja päivitykseen liittyvät turvallisuustoimet: käytettävien perusohjelmistojen tulee olla tietohallinnon hyväksymiä erityisjärjestelmiin myönnetään käyttöoikeudet tehtäväkuvauksen mukai sesti sovellusvastaavan ja esimiehen suostumuksella hankinnoissa noudatetaan alueverkon tietotekniikkahankintojen sopimusehtoja; ohjelmistoissa on oltava riittävä suojaustaso sekä tuki; käytössä olevista ohjelmistoista on oltava kunnollinen dokumentaatio, joka säilytetään tarvittava aika myös ohjelmiston käytön lopettamisen jälkeen omassa ohjelmisto- ja sovelluskehityksessä käytetään alueverkon tietojärjestelmäkehityksen tietoturvallisuussuosituksen ohjeistoa jokaisella kriittiseksi luokitellulla sovelluksella on oltava sovelluskohtainen turvasuunnitelma, jossa huomioidaan sovelluksen tietosisällön eheyden, käytettävyyden ja tietosuojan vaatimukset kriittisistä tietojärjestelmistä ja ohjelmistoista otetaan säännöllisesti varmuuskopiot tietojärjestelmät ja niiden varmuuskopiot suojataan ja säilytetään tulipalo jen, vesivahinkojen ja varkauksien ulottumattomissa virustorjunta pidetään ajan tasalla. 7 14

Tietoaineistoturvallisuus 20.12.2004 Tietoaineistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittää asiakirjo jen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden, keinoina mm. tietoaineistojen luettelointi ja luokitus sekä tietovälineiden asianmukainen hallinta, käsittely, säilytys ja hävittäminen. jokaisella tietojärjestelmällä ja tietovarastolla on oltava omistaja, joka vastaa tietojen luokittelusta ja sen mukaisista käyttöperiaatteista: asiakirjat, tietojärjestelmät ja niiden sisältämät tiedot luokitellaan aluever kon suositusten mukaisesti turvallisuustoimenpiteiden suunnittelua ja toteutusta varten kaikki IT- järjestelmät, toiminnot ja tietoaineistot luokitellaan niiden kriittisyyden mukaisesti tieto talletetaan tietoturvallisuuden kannalta asianmukaisille tietovälineille ja tietovälineiden ja tulosteiden säilytyksessä noudatetaan alueverkon arkistolain ja asetuksen pohjalta antamia ohjeita tietojen varmistuksesta huolehditaan, varmistusten onnistuminen ja oikeellisuus tarkistetaan tietoaineiston hävittämiseen on oltava ohjeet organisaatio- ja yksikkökohtaisesti 8 Käyttöturvallisuus Käyttöturvallisuuteen kuuluvat tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvä turvallisuus: käytössä on oltava kontrolloitu, henkilökohtaisiin tunnuksiin ja kunnollisiin salasanoihin perustuva käyttäjätunnusten sekä käyttöoikeuksien myöntämis-/poistamis-, hallinta- ja seurantajärjestelmä luvattoman käytön ja verkkoon tunkeutumisen havaitsemiseen on oltava menetelmiä ja välineitä käyttäjille luovutetut käyttäjätunnukset, salasanat, tunnistuskortit, ja muu vastaava käyttöoikeuksien tueksi annettu materiaali ovat henkilökohtai sia, 15

ellei erikseen ole toisin määritelty; henkilökohtaista materiaalia ei ole luvallista luovuttaa muille tilapäiseenkään käyttöön toiminnan kannalta kriittisistä tietojärjestelmistä on oltava varajärjestel mät tai manuaaliset menettelytavat sellaisia tilannetta varten, joissa tietojärjestelmä on pois käytöstä tietojärjestelmät luokitellaan kriittisyyden mukaan mm. poikkeustilantei den priorisointia varten teknistä tietoturvallisuustoteutusta auditoidaan määrävälein ja merkittä vien muutosten yhteydessä etätyön, etäkäytön ja mobiili -käytön tietoturvallisuuskäytännöt ohjeiste taan erikseen tietoon ja toimintaprosesseihin pääsyä tulee valvoa turvallisuus- ja toimintavaatimusten mukaisesti. Tietojärjestelmien ja tietojenkäsittelypalvelujen käyttöoikeuksien myöntämisen valvontaan tulee olla määrämuotoi set ohjeet. Pääsyä sekä sisäisiin että ulkoisiin verkkopalveluihin tulee val voa. järjestelmiä tulee tarkkailla siltä varalta, että käytönvalvontaperiaatteista poiketaan, ja havaitut tapahtumat tulee tallentaa todistusaineistoksi. Vaadittavan suojauksen tulee olla oikeassa suhteessa näiden työskentelytapojen aiheuttamien riskien kanssa. suojaamattomassa ympäristössä työskentelemisen riskit tulee ottaa huomioon tietokoneiden matkakäytössä ja asianmukainen suojaus tulee järjestää. Etätyöskentelyn osalta organisaation tulee varmistaa etätyöskentelypaikan riittävä suojaus ja varmistaa, että sovittuja suojausjärjestelyjä noudatetaan. 9 Suojattavien kohteiden luokitus ja valvonta Kaikki merkittävät suojattavat kohteet tulee luetteloida ja määritellä niille omista jat/ pääkäyttäjät. Kukin suojattava kohde tulee selvästi tunnistaa, sen omistaja ja turvallisuusluokitus tulee sopia ja tiedot tulee dokumentoida. Luokitukseen vaikuttavat esim. potilasturvallisuus, asiakaspalvelun kriittisyys tai suuri joukko käyttäjiä, joiden työ on riippuvainen tietyn järjestelmän toimivuudesta. 16

Esimerkkejä tietojärjestelmiin liittyvistä suojattavista kohteista ovat: a) tietoaineistot: tietokannat ja tiedostot, järjestelmädokumentointi, käyttäjän käsikirjat, opetusmateriaali, käyttö- ja tukiohjeistot, jatkuvuussuunnitelmat, varajärjestelyt, arkistoitu informaatio b) ohjelmistot: sovellusohjelmisto, järjestelmäohjelmisto, kehitystyökalut ja apuohjelmat, tärkeimmän arkistoidun informaation vaatimat järjestelmät c) fyysiset kohteet: tietokonelaitteet (prosessorit, monitorit, kannettavat tietokoneet, modeemit), tietoliikennelaitteet (reitittimet, vaihteet (PABX), faksit, vastaajat), magneettiset välineet (nauhat ja levykkeet), muu tekninen laitteisto (virtalähteet, ilmastointilaitteet), kalusteet, toimitilat, tärkeimmän arkistoidun informaation vaatimat laitteet d) palvelut: tietojenkäsittely- ja tietoliikennepalvelut, yleishyödylliset palvelut, esim. lämmitys, valaistus, energia, ilmastointi. Turvallisuusluokitusta tulee käyttää turvallisuussuojauksen tarpeen ja tärkeysjärjestyksen ilmaisemiseen. Tiedon luokittelu on yleensä nopea keino ilmaista, kuinka informaatiota tulee käsitellä ja suojata. Tiedot ja luokiteltuja tietoja käsittelevien järjestelmien tulosteet tulee merkitä sen mukaan, minkä arvoista tai kuinka arkaluontoista se on organisaation kannalta. Voi myös olla tarkoituksenmukaista merkitä informaatio sen mukaan, kuinka kriittistä se on organisaatiolle, esim. informaation eheyden ja käytettävyyden merkityksen mukaan. Tiedon tuottajalla tai nimetyllä omistajalla tulee säilyä vastuu yksittäisen tietokokonaisuuden, esim. asiakirjan, tallenteen, tiedoston tai levykkeen, luokituksen määrittelystä ja luokituksen ajoittaisesta tarkistamisesta. Tiedon merkitsemistä ja käsittelyä koskevan asianmukaisen ohjeiston laatimi nen organisaation määrittelemien luokitteluperiaatteiden mukaisesti on tärkeää. Ohjeiden tulee kattaa sekä fyysisessä että elektronisessa muodossa olevat suojeltavat tietoaineistot. Kutakin luokitusta varten tulee määritellä käsittelyohjeet 10 Pääsyoikeuksien valvonta 17

Tietoon ja toimintaprosesseihin pääsyä tulee valvoa turvallisuus- ja toimintavaatimusten mukaisesti. Tietojärjestelmien ja tietojenkäsittelypalvelujen käyttöoikeuksien myöntämisen valvontaan tulee olla määrämuotoiset ohjeet. Pääsyä sekä sisäisiin että ulkoisiin verkkopalveluihin tulee valvoa. Järjestelmää tulee tarkkailla siltä varalta, että käytönvalvontaperiaatteista poiketaan, ja havaitut tapahtumat tulee tallentaa todistusaineistoksi. Vaadittavan suojauksen tulee olla oikeassa suhteessa näiden työskentelytapojen aiheuttamien riskien kanssa. Suojaamattomassa ympäristössä työskentelemisen riskit tulee ottaa huomioon tietokoneiden matkakäytössä ja asianmukainen suojaus tulee järjestää. Etätyöskentelyn osalta organisaation tulee varmistaa etätyöskentelypaikan riittävä suo jaus ja varmistaa, että sovittuja suojausjärjestelyjä noudatetaan. Käyttöoikeuksien hallintaprosessi elinkaaren koko ajalta hakemisesta lopettamiseen on kuvattava, tarkistettava dokumentaatioineen ja otettava käyttöön hallinnollisin päätöksin. 6 VASTUUT, VALTUUDET JA VALVONTA Kainuun alueverkko / Maakuntahallitus Kainuun alueverkko / Maakuntahallitus päättää alueverkkotason tietoturvallisuusperiaatteiden, riskianalyysien, tietoturvallisuusohjeiden ja suositusten tavoitetasosta. Kainuun alueverkko / Maakuntahallitus vastaa tietoturvallisuuden osalta alueverkosta, sähköpostista, virustorjunnasta ja erikseen määritellyistä sovelluksista ja sovellusalustoista. Johdon tulee osoittaa sitoutumisensa tietoturvallisuuden hallintajärjestelmän luomiseen, käyttöönottoon, käyttöön, valvontaan, katselmointiin, ylläpitoon ja parantamiseen: 18

a) määrittelemällä tietoturvallisuusperiaatteet b) varmistamalla, että tietoturvallisuustavoitteet asetetaan ja -suunnitelmat laaditaan kaikissa Kainuun alueverkon toimijaorganisaatioissa c) määrittelemällä tietoturvallisuuteen liittyvät roolit ja vastuut d) viestimällä organisaatiolle tietoturvallisuustavoitteiden ja tietoturvallisuuspolitiikan noudattamisen, niihin liittyvien lakisääteisten velvoitteiden noudattamisen ja jatkuvan parantamisen tärkeydestä e) huolehtimalla siitä, että käytettävissä on riittävät resurssit tietoturvallisuuden hallintajärjestelmän kehittämiseen, toteuttamiseen, käyttöön ja ylläpitoon f) päättämällä hyväksyttävästä riskitasosta g) suorittamalla tietoturvallisuuden hallintajärjestelmän johdon katselmukset h) ryhtymällä toimenpiteisiin (tahallisissa) väärinkäytöstapauksissa Kuntien ja yksiköiden johto Kunnat ja yksiköt vastaavat tietoturvallisuusperiaatteiden soveltamisesta ja tarkentamisesta paikallisesti. Kuntien ja yksiköiden johdolla ja esimiehillä on kokonaisvastuu yksiköidensä toiminnasta. Kokonaisvastuuseen sisältyy vastuu päättää tietoturvallisuuden kehittämistoimien tavoitteista, organisoinnista, toimeenpanosta, perehdyttämisestä, resursseista ja toimivaltuuksista sekä tietoturvaperiaatteiden ja ohjeiden noudattamisen valvonta. Kainuun alueverkon toimijoiden tietoturvavastaavat ja tietoturvallisuusryhmä vastaavat saamiensa valtuuksien puitteissa tietoturvallisuuden seurannasta, kehittämisestä, toteutuksen valvonnasta ja tietoturvatietouden kehittämisestä koko alueverkossa. Kuntien ja yksiköiden tietoturvallisuusvastaavilla on vastuu ohjata ja seurata tietoturvallisuuden toteutumista yksikössään. Tietoturvallisuusvastaavilla täytyy ol la yksikössään riittävät valtuudet tietoturvallisuusasioiden hoitoa varten. 19

Ylläpitäjä Verkon ylläpitäjillä on velvollisuus ja oikeudet valvoa sekä analysoida ja rapor toida teknisiin tarkoituksiin verkon liikennettä ja oikeudet tehdä verkkomuutok sia sekä rajoittaa verkkoliikennettä ongelmatilanteissa tehtäväkuvausten mukai sesti. Ylläpitäjillä on oikeus käyttää turvallisia etähallintamenetelmiä verkon eri osissa. Ylläpitäjiltä vaaditaan viestintä- ja tietosuojasäädösten edellyttämät vaitiolositoumukset. Pääkäyttäjä Tietojärjestelmien pääkäyttäjät/vastuuhenkilöt vastaavat järjestelmiensä tietoturvallisuuden toteuttamisesta. Käyttäjä Jokaisen Kainuun alueverkon toimijoiden tietojärjestelmien käyttäjällä on vastuu omien tehtäviensä osalta noudattaa alueverkossa hyväksyttyjä tietoturvallisuusperiaatteita ja sen perusteella annettuja ohjeita. Tahalliset tai toistuvat tietoturvarikkomukset rinnastetaan sanktioineen työ- ja virkaehtosopimusten vastai seen toimintaan. Tietoturvallisuuden toteutumisen valvonta Kainuun alueverkon toimijoiden tietoturvavastaavat valvovat toiminta-alueensa tietoturvallisuusperiaatteiden toteutumista. Kuntien ja yksiköiden johto valvoo oman yksikkönsä tietoturvallisuuden toteutumista. Yksiköiden tietoturvallisuusvastaavat raportoivat tietoturvallisuudesta se kä yksiköiden johdolle että alueverkon tietoturvallisuusryhmälle. Kainuun alueverkon tietoturvallisuusryhmä laatii auditointisuunnitelman, jossa määritellään mm. tietoturvallisuusauditointien kohteita ja ajankohtia. Auditointeja voidaan tehdä sisäisinä tai ulkopuolisen auditoijan tekemänä. Tärkeimpien tietojärjestelmien turvajärjestelyitä tulee testata ajoittain mm. harjoituksien avulla. Tietoturvallisuuteen kohdistuvat loukkaukset raportoidaan ja selvitetään viipy mättä. Tahalliset tai toistuvat tietoturvarikkomukset rinnastetaan sanktioineen työ- ja 20

virkaehtosopimusten vastaiseen toimintaan. 7 TIETOTURVALLISUUSTOIMINNAN ORGANISOINTI Yleisesti suunnitelmallinen tietoturvan hoitaminen edellyttää, että organisaatiolle on nimetty tietoturvallisuuden vastuuhenkilö, joka vastaa tietoturvallisuuden kehittämisestä, ylläpidosta, koordinoinnista ja ohjaamisesta. Lisäksi jokaisen toimintayksikön esimies vastaa oman yksikkönsä tietoturvan toteuttamisesta. Tietoturvallisuusasian omistajuus on oltava määriteltynä alueverkkotasolla. Tietoturvallisuustoiminnan vastuut on määriteltävä kunta- ja yksikkötasolla Tietoturvallisuusorganisaatio toimii yhteistyössä alueverkon muun turvallisuusorganisaation kanssa. Kainuun alueverkon tietoturvallisuuspäällikkö Kainuun alueverkossa on oltava alueverkon tietoturvallisuuspäällikkö. Tietoturvallisuuspäällikön tehtäviä ovat: selvittää maakunnan johdon kanssa se tietosuoja- ja tietoturvataso, jonka perusteella tietoja ja tietojärjestelmiä suojataan valmistella sitä tasoa vastaava tietoturvaohjeistus (mm. yleisperiaatteet ja tavoitteet sekä tietojen luokittelu- ja käsittelyohjeet) ja ylläpitää niitä toimia tietoturvallisuuden asiantuntijana alueverkon toiminta-alueella tietoturvallisuuden edistäminen ja jatkokehittäminen koordinoida ja valvoa tietoturvallisuuden yhtenäistä toteutumista aluever kon koko toiminta-alueella varmistaa että tietoturvallisuusasiat on organisoitu alueverkon toimijoiden yksiköissä valmistella tietoturvallisuuden kehittämishankkeita yhdessä tietoturvallisuusryhmän kanssa järjestää tarvittavan koulutuksen organisoinnin tiedottaa tietoturvallisuusasioista ja ongelmista raportoida tietoturvallisuudesta maakuntajohdolle auttaa alueverkon toimijoiden yksiköiden johtoa ja esimiehiä tunnista maan 21

tietoturvallisuuteen ja tietosuojaan kuuluvat riskit ja määrittelemään elintärkeät sovellukset seuraa tietosuojaan ja tietoturvaan liittyvän lainsäädännön muutoksia ja tiedottaa niistä Tietoturvallisuusryhmä Kainuun alueverkossa on toimijoiden tietoturvavastaavien muodostama tietoturvallisuusryhmä, jota täydennetään tarpeen mukaan. Tietoturvallisuusryhmän tehtäviä ovat mm.: huolehtia alueverkon tietoturvallisuusperiaatteiden toteuttamisesta valmistella tietoturvallisuuden kehittämishankkeet koordinoida tietoturvallisuustoimenpiteitä ja mahdollistaa eri yksiköille tietoturvallisuuden erityisosaamisen saanti tarvittaessa seurata tietoturvallisuustilannetta ja reagoida tarvittaessa havaittuihin ongelmiin ja uhkiin huolehtia, että yksiköt ja tietohallinto ovat tehneet jatkuvuussuunnitelmat infrastruktuurin ja keskeisten järjestelmien osalta poikkeustilanteita var ten huolehtia riski-/uhka-analysoinnin tekemisestä säännöllisesti huolehtia, että kuntien tiedot ja tietojärjestelmät on luokiteltu ohjeistaa tietoturvallisuusasiat ja huolehtia, että niistä tiedotetaan ja koulutetaan huolehtia auditoinnin järjestämisestä toimia tiedottajana poikkeustilanteissa Kuntien ja kuntayhtymien tietoturvallisuusvastaavat Kainuun alueverkon toimijaorganisaatioissa ja niiden yksiköissä on oltava tietoturvallisuusvastaava. Kunnan ja yksikön tietoturvallisuusvastaavan tehtäviä ovat: toteuttaa ja organisoida tietoturvallisuusryhmän määrittelemät alueverkon yhteiset tietoturvallisuushankkeet ja toimenpiteet yksikössään suunnitella, budjetoida ja organisoida yksikkönsä tietoturvallisuushank keet huolehtia, että keskeisille järjestelmille on nimetty vastuuhenkilöt hoitaa yksikkönsä yleiset tietoturvallisuusasiat raportoida tietoturvallisuusongelmista sekä yksikkönsä johdolle että tieto- 22

turvallisuusryhmälle 20.12.2004 Liite 3. Tietoturvallisuustoiminnan organisointi maakunnassa (luonnos) 8 TIETOTURVAKOULUTUS JA TIETOTURVAOHJEET 1 T i e t o t u r v a l l i s u u s k o u l u t u s Tietoturvakoulutusta annetaan henkilöryhmittäin täsmäkoulutuksena ja tietoiskutyyppisinä muiden ajankohtaisten asioiden yhteydessä. Siten henkilöstöä muistutetaan usein tietoturvallisuuden merkityksestä. Tietoturvaohjeet viedään pysyväisohjeisiin ja henkilöstön perehdyttämisoppaisiin. Henkilöstön koulutukseen liittyen on myös YT-menettelyissä kerrottava suoritettavasta tilojen valvonnasta, seurantatietojen säilyttämisestä, sähköpostin käyttö- ja mahdollisista seurantaperiaatteista yms. Kohteiden tärkeysluokituksen mu kaan on järjestettävä riittävä erityisalojen käyttö- ja huoltohenkilöstö, koulutetta va henkilöt ja huoltokatkojen yhteydessä varmistettava, että toiminnan erityis piirteet tunnetaan. 2 T i e t o t u r v a l l i s u u s o h j e e t Ohjeita pitää laatia mm. seuraavista liitteessä kuvatuista asioista, joista monet vielä työpistekohtaisesti: liite 4. Luettelo tietojenkäsittelyn tietoturvallisuusohjeista (luonnos) Käyttäjätunnusten ja tunnussanojen käyttämisellä suojataan tärkeät ohjelmat ja tiedot asiattomalta käytöltä, kopioinnilta ja varastamiselta. Tiedon muuttamista voidaan estää salaamalla tai erilaisin tarkistusluvuin. Oman tiedon syöttämistä voidaan estää salaamalla, tapahtumia numeroimalla ja käyttämällä tarkistussummia. 23

Yleiset suojaukset, joiden on aina oltava kunnossa, ovat: henkilökohtainen päätetunnus/käyttäjätunnus ja salasana verkkoon kirjautumiseen jokaisella henkilöllä oma sovelluskohtainen käyttäjätunnus ja salasana ja niihin sidotut oikeudet Kun rekisteröityjen käyttäjien tehtävät muuttuvat, on heidän valtuutensa muutettava uusia tehtäviä vastaaviksi. Henkilön erotessa palveluksesta on hänet poistettava käyttäjätiedostosta välittömästi. Tunnussanojen ja valtuustietojen ylläpi toon on määrättävä vastuullinen henkilö tai tarvittaessa vastuulliset henkilöt ja heille varamiehet joiden toimintaa on valvottava. Varahenkilöjärjestelyt takaavat henkilöstön käytettävyyden myös yllättävien poissaolojen ja henkilöstövaihdosten varalta. Kyseinen henkilöstö on koulutetta va ja heidän käytössään on oltava tarvittavat ohjeet toiminnan tueksi. Toimintaohjeissa on mainittava menettelytavat (esimerkiksi tehtävää ei saa suorittaa yksi henkilö), jos tiloissa joudutaan työskentelemään normaalin työajan ulkopuolella. Myös tiloissa suoritettavista vierailuista ja valokuvauksesta on oltava menettelyohje. Erityisen tärkeissä tehtävissä (ns. vaaralliset työyhdistelmät) on oltava ai na erillisten ohjeistuksen mukaan kaksi henkilöä. 9 TOIMINNAN JATKUVUUDEN HALLINTA (JATKUVUUSSUUNNITELMAT) Toiminnan jatkuvuuden hallintaprosessi tulee toteuttaa onnettomuuksien ja turvallisuushäiriöiden (joita voivat aiheuttaa esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamien keskeytysten vähentämiseksi hyväksyttävälle tasolle yhdistämällä ehkäiseviä ja palautumista edistäviä turvamekanismeja. Onnettomuuksien, turvallisuusrikkomusten ja palvelujen keskeytysten seurauk set tulee analysoida. Jatkuvuussuunnitelmia tulee kehittää ja toteuttaa käytän nössä varmistamaan, että toimintaprosessit saadaan palautettua toimintaan vaaditussa 24

ajassa. Suunnitelmia tulee pitää yllä ja harjoitella, jotta niistä tulee muiden hallinnollisten prosessien rinnalla integroitunut osa toimintaa. Toiminnan jatkuvuuden hallintaan tulee sisältyä turvamekanismit riskien havaitsemiseen ja vähentämiseen, niillä tulee rajoittaa uhkan mahdollisen toteutumi sen aiheuttamia seurauksia ja niillä tulee varmistaa olennaisen tärkeiden toimin tojen nopea palautuminen. Toiminnan jatkuvuussuunnitelmat on testattava säännöllisesti niiden toimivuu den varmistamiseksi. Testeillä tulee myös varmistaa, että suunnitelma on kaik kien palautusryhmän jäsenten ja muun asianomaisen henkilöstön mielessä. Toiminnan jatkuvuussuunnitelmia tulee pitää yllä säännöllisin arvioinnein ja päivityksin tehokkuuden säilymisen varmistamiseksi. Organisaation muutoksenhallintaohjelmaan tulee sisällyttää menettelyohjeet varmistamaan, että toiminnan jatkuvuuteen liittyvät seikat otetaan tarvittaessa huomioon. Toiminnan kannalta kriittisten järjestelmien varajärjestelyt ja tärkeimpiin uhkiin varautuminen on suunniteltava sekä testattava, kuten myös mahdollisesta katastrofista toipuminen. Kriittisiä järjestelmiä ovat esim. potilastietojärjestelmät, potilas- ja turvapuhelinjärjestelmät, kulunvalvonta, teknisen toimen kiinteistöautomaatiojärjestelmät, tietoverkon aktiivilaitteet ja asiakaspalvelupisteiden järjestelmät. 10 TOIMINTA POIKKEUSTILANTEISSA (POIKKEUSOLOJEN VALMIUS- SUUNNITELMA) Kainuun alueverkon toimijoilla ja yksiköillä on oltava suunnitelmat poikkeustilanteissa toimimisesta sekä niistä toipumisesta. Suunnitelmia ylläpidetään ja testataan säännöllisesti. Poikkeustilanteissa tietoturvallisuuteen liittyvästä tiedottamisesta vastaa Kainuun alueverkon johto. Kainuun alueverkon toimijoiden on huomioitava mahdolliset poikkeusoloihin liittyvät varautumisvaatimukset. Toiminta ja tiedotus poikkeusoloissa on määritelty 25

valmiussuunnitelmissa. Eri poikkeusolotilanteissa mahdollisesti tarvittavat tietojärjestelmät ja niiden toimintavaatimukset mahdollisesti supistettuna on selvitettävä, suunniteltava ja testattava alasajoineen kuten myös tilanteen palauttami nen normaalitilaan. Liitteet Liite 1. Tietoturvastrategia Liite 2. Tietoturvallisuutta koskevat tärkeimmät säädökset. Liite 3. Tietoturvallisuustoiminnan organisointi maakunnassa (luonnos) Liite 4. Luettelo tietojenkäsittelyn tietoturvallisuusohjeista (luonnos) 26