Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

VAHTI Koulutustyöryhmä

Samankaltaiset esitykset


Esitys aiheesta: "VAHTI Koulutustyöryhmä"— Esityksen transkriptio:

1 VAHTI Koulutustyöryhmä
KOULUTUSAINEISTON TARKOITUS Tämä koulutusaineisto on tarkoitettu julkishallinnon organisaatioissa tietoturvallisuuden sisäisille kouluttajille. Tämän aineiston avulla sisäisten kouluttajien on tarkoitus kouluttaa perustietoturva-asiat oman organisaationsa käyttäjille. Aineiston pohjana toimii Käyttäjän tietoturvaohje. KOULUTUSAINEISTON KÄYTTÖ Tähän koulutusaineistoon kuuluu 25 kalvoa. Kalvot on rakennettu niin että niiden avulla voidaan kertoa yleisesti tietoturvallisuudesta sekä erityisesti Käyttäjän tietoturvaohjeessa esitetyistä asioista. Kuhunkin kalvoon liittyy lyhyt tietopaketti, jossa kerrotaan laajemmin kalvon sisältämistä asioista. Lisäksi koulutuksen apuna toimii kouluttajille tarkoitettu tietoturvallisuuden multimedia-aineisto. Kalvot kannattaa kopioida oman organisaation kalvopohjille ja tarvittaessa elävöittää esimerkiksi kuvilla. Kaikkia tämän aineiston kalvoja ei tarvita kaikissa koulutustilanteissa. Tietoturvallisuudessa on tiettyjä asioita, jotka on syytä kouluttaa kaikille julkishallinnon työntekijöille organisaatiosta riippumatta. Aineistossa on kuitenkin myös syventäviä kalvoja, joita voidaan valita tilanteen mukaan. Pääsääntö on se, että koulutuksen pitäisi soveltua kohdeorganisaatiolle. Kouluttajan vastuulle jää aineiston muokkaaminen organisaation mukaisesti. Varsinaisen asian lisäksi koulutuksessa on tärkeä tuoda esiin positiivista asennetta tietoturvallisuuteen - kukaan ei saa koulutuksen takia ahdistua tai turhautua tietoturva-asioista! Tavoitteena on, että kaikki julkishallinnon työntekijät tietävät perusasiat tietoturvallisuudesta. On tärkeää, että kaikki sitoutuvat tietoturvallisiin toimintatapoihin. KOULUTUSTEN KOHDERYHMÄT Peruskäyttäjät Esimiehet, organisaation johto Organisaation uudet käyttäjät perehdytysvaiheessa Käyttäjän koulutus

2 Mitä on tietoturvallisuus?
Hyvällä tietoturvallisuudella tarkoitetaan tilannetta, jossa tietojen, järjestelmien, palveluiden ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä. KOULUTTAJAN LISÄTIETOA Tietoturvallisuudella (Information security) tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Valtionhallinnon tietoturvallisuuskäsitteistössä (VAHTI 1/2000) on myös seuraavat määritelmät: 1. Asiaintila, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä. 2. Keinojen ja toimenpiteiden kokonaisuus, joiden avulla pyritään varmistamaan tietoturvallisuus niin normaali- kuin poikkeusoloissa. Huom. Tietoturvallisuuden toteuttamisessa erotetaan kahdeksan toimenpidealuetta: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne-, laitteisto-, ohjelmisto-, tietoaineisto- ja käyttöturvallisuus. Hallinnolliset toimenpiteet kattavat mm. toimintalinjaukset, periaatteet, organisaatiojärjestelyt, henkilöstön tehtävien ja vastuiden määrittelyn, sopimukset sekä tietoturvallisuuteen tähtäävän ohjeistuksen, koulutuksen ja valvonnan. Teknisillä toimenpiteillä tarkoitetaan teknisten välineiden ja ratkaisujen avulla tapahtuvaa turvaamista. Näitä ovat esimerkiksi virustorjuntaohjelmistot, palomuuri sekä kovalevyn, tiedostojen ja sähköpostin salaus. Luottamuksellisuus (Confidentiality), eheys (Integrity) ja käytettävyys (Availability) on määritelty omilla kalvoillaan. KÄYTÄNNÖN ESIMERKKEJÄ Käytännön esimerkkejä luottamuksellisuudesta, eheydestä ja käytettävyydestä löytyy omilta kalvoiltaan. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujia voi johdatella aihealueeseen pyytämällä heitä pohtimaan mitä tietoturvallisuus kokonaisuutena tarkoittaa heidän omassa työssään ja miksi se on tärkeää. Miten tietoturvallisuus näkyy arkipäivän työtehtävissä? Missä asioissa tietoturvallisuuteen kiinnitetään erityistä huomiota? Missä asioissa tietoturvallisuus helposti unohdetaan? Osallistujia voi aktivoida ja koulutuksen sisältöä konkretisoida pyytämällä osallistujia luettelemaan esimerkkejä omasta työstään. Pyydä osallistujia miettimään, missä tiedon luottamuksellisuus, eheys ja käytettävyys ovat erityisen tärkeitä. Voit kerätä esimerkkejä vaikka fläppitaululle.

3 Miksi tietoturvallisuus on tärkeää?
Julkishallinnon toiminta on erittäin riippuvaista tiedoista ja tietotekniikasta. Tietoturvallisuuden avulla varmistetaan tärkeiden tietojen hallinta ja toiminnan jatkuvuus. Julkishallinnossa käsitellään paljon tärkeää tietoa, kuten esimerkiksi henkilötietoja, taloustietoja ja eri organisaatioiden asiakirjoja. Lainsäädäntö velvoittaa: mm. julkisuus-, tietosuoja-, henkilötieto- ja yrityssalaisuuslainsäädäntö. Tiedon on oltava saatavilla, kun sitä tarvitaan. Tiedon on oltava oikeaa ja muuttumatonta. KOULUTTAJAN LISÄTIETOA ”Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä.” (JulkL 18§, Hyvä tiedonhallintatapa) ”Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.” (HetiL 32§, Tietojen suojaaminen) Lista tietoturvallisuutta ohjaavasta lainsäädännöstä löytyy Mistä saan lisätietoja -kalvon lisätiedoista. KÄYTÄNNÖN ESIMERKKEJÄ Käytännön esimerkkejä luottamuksellisuudesta, eheydestä ja käytettävyydestä löytyy seuraavilta kalvoilta. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Sido tämän kalvon sanoma tietoturvallisuuden määritelmään, joka on esitetty edellisellä kalvolla. Korosta erityisesti tietoturvallisuuden merkitystä julkishallinnossa. Tarvittaessa tässä kohdassa voi viitata myös lainsäädäntöön.

4 Tietosuoja Tietosuojalla tarkoitetaan hyvän tietojenkäsittelytavan aikaansaamista henkilötietojen käsittelyssä. Tietosuoja toteutuu, kun henkilötietoja käsitellään vain säädetyin edellytyksin henkilötietoja käytetään vain ennalta määriteltyyn tarkoitukseen tietojen tarpeellisuus ja virheettömyys on varmistetaan tietojen suojaamisesta huolehditaan kaikissa käsittelyvaiheissa, henkilötietojen käsittelyyn liittyvistä rekisteröityjen oikeuksista huolehditaan henkilörekisteristä laadittu rekisteriseloste on kaikkien saatavilla KOULUTTAJAN LISÄTIETOA Yksityisyydensuoja henkilötietojen käsittelyssä on perusoikeus. Perustuslain mukaan henkilötietojen suojasta säädetään tarkemmin lailla (henkilötietolaki 523/1999) Henkilötietolain 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä (kerättäessä, talletettaessä, käytettäessä, luovutettaessa säilytettäessä jne ) sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötietolain soveltamisen kannalta keskeiset käsitteet; henkilötieto, henkilötietojen käsittely, henkilörekisteri, rekisterinpitäjä , rekisteröity,. sivullinen sekä suostumus määritellään lain 3.1 §:ssä.). ”Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. ” (HetiL 9§, Tietojen laatua koskevat periaatteet) ”Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.” (HetiL 32§, Tietojen suojaaminen) Tietosuojan vaatimukset ovat pitkälti yhtenevät tietoturvallisuuden vaatimusten kanssa. Rekistereihin kerättyjen tietojen valtuudeton käyttö on estettävä (luottamuksellisuus) ja rekistereissä olevien tietojen virheettömyys on taattava (eheys). KÄYTÄNNÖN ESIMERKKEJÄ Henkilötietoja on talletettuna väestötietojärjestelmässä verohallinnon rekistereissä rikosrekisterissä Kansaneläkelaitoksen etuusrekistereissä työeläkejärjestelmässä (mm.Eläketurvakeskus ja vakuutusyhtiöt) terveyskeskusten ja työterveyshuollon potilasrekistereissä työnantajan henkilörekistereissä oppilasrekistereissä OHJEITA JA VIHJEITÄ KOULUTTAJALLE Kerätkää listaa koulutettavan organisaation käytössä olevista tai ylläpitämistä henkilörekistereistä ja niiden käyttötarkoituksista. Mitä ohjeita organisaatiossa on annettu henkilörekistereiden/henkilötietojen käsittelystä?

5 Tietoturvallisuus ja tietosuoja
Tietosuoja sisältää tietoturvallisuuden keskeisimmät ulottuvuudet, mutta lisäksi tietosuojaan kuuluu monia asioita, joihin tietoturvallisuus ei ota kantaa. Vastaavasti tietoturvallisuus sisältää lukuisia osatekijöitä, jotka vain välillisesti vaikuttavat tietosuojaan. KOULUTTAJAN LISÄTIETOA Tietoturvallisuus ja tietosuoja käsitteinä liittyvät läheisesti toisiinsa, mutta ne eivät ole synonyymeja. Niihin sisältyy samoja asioita ja ne ovat osin päällekkäisiä, mutta molempiin kuuluu myös asioita, jotka eivät sisälly toiseen käsitteeseen. Henkilötietojen käsittelyssä tietoturvallisuus toteuttaa muun muassa henkilötietolaissa säädettyä suojaamis- ja virheettömyysvaatimusta (HetiL 32 ja 9 §). Tietoturvallisuus on suojaamiseen kuuluva, kaikissa henkilötietojen käsittelyvaiheissa huomioitava perusvaatimus. Henkilötietojen käsittelyssä tietoturvallisuuden suunnittelu on osa henkilötietojen käsittelyn suunnittelua HetiL 32 §:n mukaan rekisterinpitäjän on toteuttava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä , muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalata käsittelyltä Samat tekniset (mm. turvallisuustuotteiden käyttö) ja toiminnalliset järjestelyt (tietoturvapolitiikat ja –ohjeistot) parantavat sekä tietoturvallisuutta että tietosuojaa. KÄYTÄNNÖN ESIMERKKEJÄ Sekä tietoturvallisuuteen että tietosuojaan liittyviä asioita ovat: tietojen salaaminen tietojen eheyden varmistaminen (esimerkiksi rekistereissä olevat tiedot) julkisuusperiaate osa teknisistä tietoturvaratkaisuista (esimerkiksi varmuuskopointi) Pelkästään tietosuojaan liittyviä asioita ovat: henkilörekisterit rekisteriselosteen laatiminen Pelkästään tietoturvallisuuteen liittyviä asioita ovat: fyysinen turvallisuus osa teknisistä tietoturvaratkaisuista (esimerkiksi palomuuri) OHJEITA JA VIHJEITÄ KOULUTTAJALLE Miettikää yhdessä tietoturvallisuuden ja tietosuojan yhteneväisyyksiä ja eroavaiksuuksia organisaatiossa.

6 Organisaation johdon rooli
Tietoturvallisuuden onnistumisen lähtökohtana organisaatiossa on johdon sitoutuminen sekä johdon määrittelemä organisaation tietoturvapolitiikka. Tietoturvallisuuden toteutuminen edellyttää siihen liittyvien vastuiden jakamista organisaatiossa sekä vastuuhenkilöiden sitouttamista tehtäviinsä. Johdon vastuulla on riittävien resurssien varmistaminen tietoturvallisuuden toteuttamiseen. Johdon tehtävänä on varmistaa alaistensa tietoturvallinen toiminta. Johdon tulee toimia esimerkillisesti tietoturvallisuuden edistämisessä. KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa erityisesti johdolle suunnatuissa koulutuksissa tai jos osallistujissa on johdon edustajia. Johdon roolia voidaan tuoda esiin myös muille kohderyhmille. ”Virastoissa ja laitoksissa ylin johto hyväksyy virastokohtaisen tietoturvallisuuspolitiikan ja vahvistaa organisaatiossaan noudatettavat turvallisuus- ja varautumisperiaatteet sekä määrittelee vastuut ja sisäisen organisaation. Turvallisuus- ja varautumisperiaatteiden toteutumisesta ja seurannasta vastaavat yksiköiden esimiehet tulosohjauksen periaatteiden mukaisesti.” Ylimmän johdon tehtävänä on: vastata kokonaisvastuun osana tietoturvallisuuden toteutumisesta luoda edellytykset ja taata tietoturvallisuuden tarvitsemat resurssit sisällyttää tietoturvallisuus osaksi riskienhallintaa vahvistaa tietoturvallisuuden päälinjaukset tietoturvallisuuspolitiikan ja siihen liittyvien periaatteiden hyväksyminen edellyttää toimintojen tietoturvallisuuspriorisointia asettaa vaatimukset raportoinnille sekä asettaa vaatimukset tietoturvallisuuden huomioon ottamisesta toiminnoissa. (Valtion viranomaisen tietoturvallisuustyön yleisohje, VAHTI 1/2001.) KÄYTÄNNÖN ESIMERKKEJÄ Tietoturvapolitiikalla tarkoitetaan (Valtionhallinnon tietoturvallisuuskäsitteistö, VAHTI 1/2000): 1. Valtion tasolla tietoturvallisuusnormien ja niiden täytäntöönpanon muodostama kokonaisuus. 2. Organisaation tasolla johdon hyväksymä näkemys tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Johdolle suunnatuissa koulutuksissa osallistujia voi aktivoida ideariihellä, jossa kerätään johdon ajatuksia tietoturvallisuutta edistävistä toimista ja päätöksistä. Ideoinnin lähtökohtana voi olla esimerkiksi myös, kuinka johto voisi ottaa tietoturvallisuuden paremmin huomioon jokapäiväisessä toiminnassaan (toisaalta organisaation jäsenenä ja toisaalta johtajana)?

7 Suojattavat kohteet KOULUTTAJAN LISÄTIETOA
Tälle kalvopohjalle listataan organisaation suojattavat kohteet ja niiden luokittelu. Suojattavia kohteita ovat esimerkiksi: tiedot asiakirjat tilat tietojärjestelmät KÄYTÄNNÖN ESIMERKKEJÄ Esimerkkejä suojattavista kohteista salassa pidettävät tiedot valmisteilla oleva budjetti yhteistyöyritysten liiketoimintaan liittyvä salassa pidettävä tieto henkilörekisterit ja niihin sisältyvät henkilötiedot työsopimukset veroilmoitukset sairaskertomukset henkilöstön terveystiedot laitetilat paperiarkisto tilat, joissa käsitellään salassa pidettävää aineistoa sähköpostijärjestelmä järjestelmien suojausominaisuudet OHJEITA JA VIHJEITÄ KOULUTTAJALLE Selvitä ensin onko organisaatiossa koottu lista suojattavista kohteista. Jos valmista listaa ei ole, voit kerätä listaa valmiiksi ja täydentää sitä osallistujien kanssa.

8 Tietoturvallisuuden vaatimukset: Luottamuksellisuus
3. Käytettävyys 2. Eheys 1. Luottamuksellisuus Tiedot ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Sivullisille ei anneta mahdollisuutta muuttaa tai tuhota tietoja, eikä muutoin käsitellä tietoja. KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa havainnollistamaan mistä osista tietoturvallisuus koostuu. Luottamuksellisuus (Confidentiality) Tiedot ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Sivullisille ei anneta mahdollisuutta muuttaa tai tuhota tietoja eikä muutoin käsitellä tietoja. KÄYTÄNNÖN ESIMERKKEJÄ Esimerkkejä luottamuksellisista tiedoista ovat: Salassa pidettävät aineistot (Potilastiedot, palkkatiedot joiltain osin) Turvaluokiteltu tieto Henkilötiedot Salattu sähköposti Järjestelmäkohtaiset tietoturvakuvaukset Luottamuksellisuus rikkoontuu esimerkiksi silloin, kun salassa pidettävää aineistoa heitetään tavalliseen paperinkeräysroskakoriin salassa pidettävää aineistoa annetaan tai luovutetaan sivulliselle puhelimessa annetaan henkilötietoja varmistumatta ensin soittajan henkilöllisyydestä asiakkaiden asioista kerrotaan kotona perheenjäsenille OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujilta voi kysyä esimerkkejä heidän omassa työssään käsittelemistään tiedoista, joissa luottamuksellisuuden varmistaminen on erityisen tärkeää. Lisäksi osallistujia voidaan pyytää kertomaan, mitä henkilörekistereitä ja tietojärjestelmiä organisaatiossa on. Esimerkkejä luottamuksellisista tiedoista ja asiakirjoista: Salassa pidettävä aineisto (esim. Potilastiedot) Turvaluokiteltavat tiedot Arkaluonteiset henkilötiedot Salattu sähköposti Järjestelmäkohtaiset tietoturvakuvaukset Henkilörekisterien kuvaukset

9 Tietoturvallisuuden vaatimukset: Eheys
3. Käytettävyys 1. Luottamuksellisuus 2. Eheys Tiedot ja järjestelmät ovat luotettavia, oikeita, virheettömiä, ja ajantasaisia, eivätkä ne ole hallitsemattomasti muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena. KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa havainnollistamaan mistä osista tietoturvallisuus koostuu. Eheys (Integrity) Tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia, eivätkä ne ole hallitsemattomasti muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena. KÄYTÄNNÖN ESIMERKKEJÄ Eheydellä tarkoitetaan, että tieto on virheetöntä ja se ei ole päässyt tahattomasti muuttumaan. Eheys on rikkoontunut esimerkiksi silloin, kun Väestötietojärjestelmässä on henkilöitä, jotka eivät enää ole Suomen kansalaisia opiskelijalle hyväksytään tenttisuoritus tentistä, johon hän ei ole osallistunut valmisteltaviin verotustietoihin pääsee virheellistä tietoa aineiston versiohallinta on huonosti hoidettu ja samasta aineistosta on käyttäjillä useita versioita (esimerkiksi ohjeen eri versiot) OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujilta voi kysyä esimerkkejä heidän omasta työstään. Minkä tietojen eheys ja virheettömyys on erityisen tärkeää? Esimerkkejä: Verotustiedot, potilastiedot Tentti- ja kurssiarvosanat Budjettitiedot, palkkatiedot Ohjeet poikkeustilanteiden varalle Kansalaisille jaettava julkinen tieto Viranomaispäätökset Esimerkkejä tiedoista, joissa eheys korostuu: Verotustiedot, potilastiedot, budjettitiedot, palkkatiedot  Muuttumattomuus ja tietojen oikeellisuus Julkiset Internet -sivut  Tietojen oikeellisuus ja ajantasaisuus tärkeää Varmuuskopiot, arkistot  Pitkä säilytysaika, palautettavuus

10 Tietoturvallisuuden vaatimukset: Käytettävyys
1. Luottamuksellisuus 2. Eheys 3. Käytettävyys Järjestelmien tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyssä vasteajassa. Tiedot eivät ole tuhoutuneet tai tuhottavissa vikojen, tapahtumien tai muun toiminnan seurauksena. KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa havainnollistamaan mistä osista tietoturvallisuus koostuu. Käytettävyys (Availability) Järjestelmien tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyssä vasteajassa. Tiedot eivät ole tuhoutuneet tai tuhottavissa vikojen, tapahtumien tai muun toiminnan seurauksena. KÄYTÄNNÖN ESIMERKKEJÄ Käytettävyysongelma syntyy esimerkiksi sähkökatkoksen takia tai tietokoneen rikkoontumisen takia. Lukitun arkistokaapin avaimen häviäminen on myös käytettävyysongelma. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujilta voi kysyä esimerkkejä heidän omasta työstään. Missä tapauksissa tietojen ja palveluiden käytettävyys on erityisen tärkeää? Esimerkkejä: Jokapäiväisessä käytössä olevat järjestelmät, rekisterit ja palvelut Sähköpostijärjestelmän käytettävyysongelmat heijastuvat usein nopeastikin rutiinitöihin Verkkoyhteydet ja verkkolevyt Sähkönjakelu Arkistojen järjestys ja aineistojen löydettävyys Esimerkkejä: Tietoliikennehäiriöt, sähkökatkot  Palvelukatkot Paperiasiakirjat ja -arkistot  Häviäminen; arkistoiminen väärään paikkaan Intranet  Samat tiedot kaikilla käytettävissä.

11 Tietoturvallisuuden vaatimukset: Todentaminen
1. Luottamuksellisuus 2. Eheys 3. Käytettävyys KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa havainnollistamaan, mistä osista tietoturvallisuus koostuu. Tietoturvallisuuden perusvaatimusten (luottamuksellisuus, eheys, käytettävyys) lisäksi yleisiä tietoturvallisuuteen kuuluvia vaatimuksia ovat myös osapuolten todentaminen ja tapahtuman kiistämättömyys. Todentaminen ja kiistämättömyys ovat erityisen tärkeitä silloin, kun järjestelmän käyttäjät tulee pystyä tunnistamaan esimerkiksi käytettäessä vuorovaikutteisia sähköisiä asiointipalveluita tai etätyötä tehtäessä. Todentaminen (autentikointi) tarkoittaa osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. Lisätietoja todentamisesta Laissa sähköisestä asioinnista viranomaistoiminnassa 13/2003. KÄYTÄNNÖN ESIMERKKEJÄ Todentamisen ja tunnistamisen ero voidaan havainnollistaa vahtimestariesimerkillä: Tunnistamista on, kun henkilö kävelee viraston ovesta sisää ja vahtimestari tunnistaa hänet organisaation työntekijäksi tai tutuksi, usein virastossa käyväksi vieraaksi. Jos vahtimestari ei tunne henkilöä, kysyy hän henkilön nimeä ja pyytää ajokorttia tai muuta henkilöllisystodistusta sekä tiedustelee, ketä henkilö on tulossa tapaamaan. Tämä on todentamista. Yleisesti käytettyjä todentamisen menetelmiä ovat: käyttäjä tietää ainutkertaisen asian, esimerkiksi salasanan. (vrt. Internet-pankit) hänellä on hallussaan ainutkertainen väline, esimerkiksi henkilö- tai organisaatiokohtainen toimikortti. hänellä on hallussaan jokin ainutkertainen ominaisuus, kuten sormenjälki. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujilta voi kysyä esimerkkejä heidän omasta työstään. Missä tapauksissa henkilöt ja järjestelmät on todennettava? Esimerkkejä: Sähköinen asiointi asiakkaiden kanssa Etätyö Työasemaan kirjautuminen Järjestelmään kirjautuminen Mitä todentamisvälineitä osallistujat ovat käyttäneet? (Internet-pankkien salasanalistat, HST-kortti, organisaation oma toimikortti, USB token, sormenjälki jne) 5. Kiistämättömyys 4. Todentaminen Tarkoittaa osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. (Käytetään myös käsitettä autentikointi.) Esimerkkejä: Asioinnin osapuolten tunnistus ja todennus Kirjautuminen tietojärjestelmiin

12 Tietoturvallisuuden vaatimukset: Kiistämättömyys
1. Luottamuksellisuus 2. Eheys 3. Käytettävyys KOULUTTAJAN LISÄTIETOA Käytä tätä kalvoa havainnollistamaan mistä osista tietoturvallisuus koostuu. KÄYTÄNNÖN ESIMERKKEJÄ Kiistämättömyys (non-repudiation) tarkoittaa tapahtuneen todistamista jälkeenpäin, jolloin tavoitteena on juridinen sitovuus. Kiistämättömyys varmistaa sen, ettei toinen osapuoli voi kieltää toimintaansa jälkeenpäin. Luovutukseen tai käsiteltäväksi jättämiseen voidaan liittää aikaleima, joka todistaa viestin saapumisajankohdan. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Osallistujilta voi kysyä esimerkkejä heidän omasta työstään. Missä tapauksissa tapahtuminen kiistämättömyys on erityisen tärkeää? Esimerkkejä: Asian vireille saattaminen Tarjouskilpailut 4. Todentaminen 5. Kiistämättömyys Tarkoittaa tapahtuneen todistamista jälkeenpäin, jolloin tavoitteena on juridinen sitovuus. Kiistämättömyys varmistaa sen, ettei toinen osapuoli voi kieltää toimintaansa jälkeenpäin. Esimerkkejä: Sähköinen asiointi viranomaistoiminnassa Sähköinen kaupankäynti

13 Tietoturvallisuuden muistilista
Tietoturvallisuus perustuu lainsäädäntöön ja normiohjaukseen. Tietoturvallisuudesta huolehtiminen kuuluu kaikille, myös sinulle. Tunnista organisaatiosi suojattavat kohteet (tiedot, asiakirjat, tilat ja tietojärjestelmät). Tunnista asiakirjojen ja tietojen laatu (salassa pidettävät tiedot, henkilötiedot jne). Tutustu organisaatiosi tietoturvaohjeisiin ja noudata niitä. KOULUTTAJAN LISÄTIETOA JA OHJEITA 1. Lainsäädäntöä, joka edellyttää tietoturvallisuutta, on lueteltu viimeisen kalvon lisätiedoissa sekä laajemmin verkkokäyttöisessä tietoturvaoppaassa. 2. Ketju on niin vahva kuin sen heikoin lenkki. Kaikkien käyttäjien sitoutuminen on tärkeää. Tietoturvallisuus tulee vastaan jokapäiväisessä elämässä eikä se ole aina tekniikkaa: paperiasiakirjojen, tulosteiden, muistiinpanojen jne käsittely ja säilytys keskustelujen kuuluminen sivullisille kannettavan työaseman huolellinen säilytys tietojen näkyminen työaseman ruudulta erityisesti matkoilla, mutta myös asiakaspalvelutilanteessa 3. Valmistele tarvittaessa listaa koulutettavan organisaation suojattavista kohteista tai pyydä osallistujia listaamaan. Suojattavista kohteista voit tehdä myös oman kalvonsa. 4. Kerää osallistujilta tai valmistele ennen koulutusta lista eri tyyppisistä koulutettavassa organisaatiossa käytettävistä tai tuotettavista asiakirjoista ja tiedoista. 5. Selvitä etukäteen mistä kohderyhmän organisaation tai organisaatioiden oma tietoturvaohjeistus löytyy. Kysy tietävätkö osallistujat mistä ohjeistus löytyy ja mitä ohjeistusta on olemassa. Kerätkää yhdessä lista ohjeistuksesta. Tätä ja seuraavaa kalvoa voit käyttää lyhyemmissä koulutuksissa ja esitellä muiden kalvojen keskeisimpiä asioita muistilistan yhteydessä.

14 Tietoturvallisuuden muistilista jatkuu
Tietojärjestelmien käyttöön tarvitaan aina henkilökohtainen käyttöoikeus. Muista, että esiinnyt tietoverkossa julkishallinnon edustajana. Suojaamattoman sähköpostin turvallisuus on verrattavissa postikortin turvallisuuteen. Haitalliset ohjelmat, kuten virukset, madot ja troijalaiset voivat levitä pelkästään Internet-sivuja selaamalla. Pyydä tarvittaessa neuvoa organisaatiosi asiantuntijoilta. KOULUTTAJAN LISÄTIETOA JA OHJEITA 6. Käyttöoikeuksista on lisätietoja omalla kalvollaan 7. Korosta tietoturvallisuuden merkitystä julkishallinnossa. Korosta myös yksittäisen virkamiehen vastuuta. 8. Sähköpostiin liittyviä esimerkkejä on kalvon "Internet ja sähköposti" lisätiedoissa. 9. Haitallinen ohjelma on järjestelmään kuulumaton ohjelma, joka on liitetty siihen salaa yleensä tarkoituksella tuhota tai vääristää järjestelmässä olevia tai käsiteltäviä ohjelmia tai tietoja tai muuten haitata järjestelmän toimintaa. Virus on ohjelmaan tai dataan kätketty tuholaisohjelma, joka leviää tietokoneessa muihin ohjelmiin ja tietoverkossa muihin tietokoneisiin monistamalla itseään siten että monistetut virukset edelleen monistuvat. Mato on tuholaisohjelma, joka leviää tietoverkon välityksellä tietokoneesta toiseen. Troijalainen on ohjelma, johon on sijoitettu salaovi, joka luo yhteyden tuholaisohjelmaan. 10. Listatkaa koulutettavien kanssa organisaation tietoturva-asiantuntijat tai henkilöt, joilta voi pyytää apua ja neuvoja.

15 Tietojen käsitteleminen
Tieto voi esiintyä mm. sähköisessä tai paperimuodossa, filmillä, muistivälineellä ja puheessa. Käsittele sitä huolellisesti muodosta riippumatta. Huolehdi tiedosta koko sen elinkaaren ajan. Tunnista tietoaineiston luokittelu ja siihen liittyvät rajoitukset kaikissa tiedon käsittelyvaiheissa. Estä sivullisten pääsy käsiksi tietoaineistoon tai järjestelmiin (myös tulosteet, keskustelut). KOULUTTAJAN LISÄTIETOA Tiedolla tarkoitetaan eri muodossa talletettavaa, käsiteltävää tai siirrettävää tietoa. Tieto voi olla esimerkiksi yksittäisenä paperiasiakirjana, tiedostona, tietokantana tai suoritettavana ohjelmana, filmillä, ääni- tai kuvatallenteena. Tieto voi olla tallentuneena myös ihmisten muistiin ja se voi siirtyä ihmisten välisessä vuorovaikutuksessa, kuten keskusteluissa, esityksissä, puhelimessa, kirjeenvaihdossa, jopa elein tai ilmein. Viranomaisten aineisto ja tiedot voivat olla salassapidettäviä. Ne voivat myös kuulua henkilörekisteriin, jolloin niitä säätelee henkilötietolaki. Viranomaisten turvaluokiteltavat asiakirjat ja tiedot ovat aina salassa pidettävää tietoa. Ne on jaettu kolmeen luokkaan: I turvaluokka - erittäin salainen, II turvaluokka - salainen ja III turvaluokka - luottamuksellinen. Lisäksi on määritelty vielä muu salassa pidettävä tieto. Ohjeita salassa pidettävän tiedon käytöstä, luovutuksesta ja käsittelystä löytyy mm. Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeesta (VAHTI 2/2000). KÄYTÄNNÖN ESIMERKKEJÄ TIEDON ELINKAAREN VAIHEISTA Luominen: Pääsääntöisesti asiakirjan laatija vastaa turvaluokittelusta. Myös muistilaput tai muistiinpanot ovat uusia tallenteita. Käyttäminen: Huolehdi siitä, että sivulliset eivät näe tietokoneesi näyttöä tai papereitasi. Tietovarastoja, joihin sinulla on käyttöoikeus saa käyttää vain työ-/virkatehtäviin. Muuttaminen: Estä sivullisten pääsy koneellesi kun olet pois esim. lukitsemalla koneesi tai käyttämällä salasanallista näytönsäästäjää. Tallettaminen: Talleta tekemäsi työ mahdollisuuksien mukaan palvelimelle, jolta otetaan varmuuskopiot. Muista, että kaikkia tietoja ei kuitenkaan saa tallentaa palvelimelle. Siirtäminen: Kuljeta mukanasi vain välttämätön määrä tietoaineistoa. Varmista että sähköpostin tai telekopion vastaanottaja on oikea - varmista tarvittaessa perillemeno. Salaa siirrettävä tieto tarvittaessa. Vastaanottaessasi liitetiedostoja tai muistivälineitä kuten levykkeitä talon ulkopuolelta, tarkista ne virustentorjuntaohjelmalla. Jakelu: Huolehdi siitä, että vain asianmukaiset henkilöt kuuluvat jakelulistoihin (paperiaineistot, muu fyysinen jakelu, sähköinen jakelu). Kopioiminen: Vältä turhaa tulostamista ja kopiointia. Varmista mitä tulostinta käytät ja nouda tulosteet heti. Arkistointi: Varmista että tieto arkistoidaan oikeaan paikkaan. Tuhoaminen: Käytä asianmukaisia silppureita ja tietoturva-aineiston keräyslaatikoita salassa pidettävien paperiaineistojen, kalvojen, levykkeiden ja muiden muistivälineiden tuhoamiseen. Varmista ettet tuhoa tärkeää tietoa vahingossa. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Tiedon eri esiintymismuotoja on syytä käsitellä ja korostaa, ettei tietoturva-asioissa keskitytä vain tietotekniikkaan. Aktivoi osallistujia luettelemaan tiedon erilaisia esiintymismuotoja heidän työssään. Jos osallistujat ovat tekemisissä turvaluokitellun tiedon kanssa, voi siihen liittyvää ohjeistusta käsitellä tarkemmin. Turvaluokituksesta ja menettelytavoista saat lisätietoja VAHTI ohjeesta 2/2000 (Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje). Luettele esimerkkejä tietoturvavaatimuksista tai uhkakuvista tiedon eri käsittelyvaiheissa. Konkreettisia esimerkkejä löytyy varmasti myös osallistujilta.

16 Tietokoneen käyttö Tietokoneen käyttö sisältää sekä oman työaseman että verkon kautta käytettävien palveluiden käytön. Vastaat käyttäjänä omasta koneestasi. Kirjaudu aina omilla käyttäjätunnuksillasi koneelle ja ohjelmistoihin. Estä koneesi asiaton käyttö poissa ollessasi. Muista uloskirjautuminen ohjelmistoista ja koneelta. Ohjelmien ja laitteiden asennuksia koneellesi saa tehdä vain tietohallinto. KOULUTTAJAN LISÄTIETOA Internetistä on ladattavissa erilaisia ohjelmia; näiden asentaminen omalle koneelle on kuitenkin kiellettyä. Organisaatio on vastuussa siitä, että kaikilla sen työasemille asennetuilla ohjelmistoilla on lisenssi. Internetistä ladatuissa ohjelmistoissa on myös se riski että ne saattavat sisältää haitallisia ohjelmistoja. Haitallisia ohjelmistoja on käsitelty kouluttajan lisätiedoissa "Tietoturvallisuuden muistilista" -kalvolla. Omien laitteiden asentaminen työasemaan on myös kiellettyä. Pääsääntönä on, että kaikki asennukset ja päivitykset työasemille tekee tietohallinto tai ne tehdään tietohallinnon ohjeistuksen mukaisesti. KÄYTÄNNÖN ESIMERKKEJÄ Sivullinen voi päästä käsiksi esim. ruokatunnin ajaksi päälle jätettyyn työasemaan ja sitä kautta tietojärjestelmiin. Sivullisten käytön voi estää: lukitsemalla työaseman sen äärestä poistuttaessa (esim. Windows 2000 käyttöjärjestelmässä Ctrl-Alt-Del ja tämän jälkeen valitsemalla Lukitse työasema (Lock Computer)) käyttämällä salasanasuojattua näytönsäästäjää, joka menee päälle automaattisesti valitun ajan kuluttua kun tietokonetta ei käytetä. työpäivän päätteeksi tai poistuttaessa muuten pidemmäksi aikaa on syytä kirjautua ulos ohjelmistoista ja koneelta tunnuksia ei saa lainata toisille Käytettäessä yhteiskäyttöisiä koneita tai tilapäisesti toisen henkilön konetta on työn päätteeksi aina kirjauduttava ulos ohjelmistoista ja koneelta. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Ainakin järjestelmiin kirjautuminen henkilökohtaisilla tunnuksilla sekä uloskirjautumisen tärkeys on syytä käsitellä. Jos et käytä tätä kalvoa, voit mainita asian Tietoturvallisuuden muistilista -kalvon käsittelyn yhteydessä.

17 Käyttöoikeudet ja salasanat
Älä luovuta henkilökohtaista käyttäjätunnusta, salasanaa, toimikorttia tai PIN-koodia muille. Suhtaudu niihin kuin pankkikorttiin ja tunnuslukuun. Vaihda salasanoja riittävän usein. Älä käytä salasanaa, joka on helppo arvata. Hyvässä salasanassa on isoja ja pieniä kirjaimia sekä numeroita (myös erikoismerkkejä jos kyseinen järjestelmä ne sallii). Älä kirjoita salasanoja muistiin - ei varsinkaan muistilapuille työpisteessä. KOULUTTAJAN LISÄTIETOA Tietojärjestelmät tarvitsevat aina käyttöoikeuden. Käyttöoikeus on oikeus käyttää tietojärjestelmän tiedostoja ja ohjelmia tietyillä tavoin, esimerkiksi lukemalla, päivittämällä tai muiden käyttöoikeuksia muuttaen. Useimmiten käyttöoikeus on henkilökohtainen ja yhdistetty juuri tiettyyn henkilöllisyyteen. Käyttäjätunnus on sisäänkirjautumisen yhteydessä käyttäjän ilmoitettava hänet yksilöivä tunniste. Salasana on vain käyttäjän tiedossa oleva merkkijono, jonka avulla tietojärjestelmä voi todentaa käyttäjän tunnistuksen. Sanakirjahyökkäyksellä tarkoitetaan kaikkien sanakirjan tai muun sanalistan sanojen kokeilemista salasanaksi. Tietokoneet on tehty toistamaan yksinkertaisia asioita nopeasti. Laajankin sanalistan läpikäyminen voi käydä tietokoneella nopeasti. Siksi yleisiä sanoja ei pidä käyttää salasanoina. KÄYTÄNNÖN ESIMERKKEJÄ Hyvä salasana on käyttäjän helppo muistaa, mutta ulkopuolisten vaikea arvata Salasanojen tulee olla riittävän monimutkaisia. Tuttujen jokapäiväisten nimien käyttöä salasanana on vältettävä. Hyvässä salasanassa voi olla pieniä ja isoja kirjaimia, numeroita ja jopa erikoismerkkejä. Kaikkiin järjestelmiin ei kuitenkaan käy erikoismerkit. Hyvä salasana on sinun helppo muistaa, mutta vaikea ulkopuolisen arvata. Helposti arvattavia salasanoja ovat esim. tavalliset sanat, myös vieraskieliset, nimet, syntymäajat, jne. Samoin yksinkertaisia muunnoksia tavallisista sanoista, kuten L11sa, k01ra pitäisi välttää. Salasanan vaihtaminen on syytä tehdä säännöllisin väliajoin sekä aina jos on epäilys salasanan joutumisesta sivullisten tietoon. Henkilökohtaista salasanaa ei saa luovuttaa kenellekään, ei edes atk-henkilöstölle, koska he eivät sitä tarvitse. Kaikkiin tiedusteluihin, jotka liittyvät salasanoihin tai järjestelmien käyttöoikeuksiin, on suhtauduttava epäilevästi. Käyttämällä samaa salasanaa useassa järjestelmässä helpotetaan muistamista, mutta Internetistä löytyviin palveluihin ei pidä kirjautua samoilla käyttäjätunnuksilla ja salasanoilla kuin viraston järjestelmiin. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Erityisesti salasanojen laatuun on syytä kiinnittää koulutuksessa huomiota.

18 Internet ja sähköposti
Internet ja sähköposti on työpaikalla tarkoitettu työkäyttöön ja ne ovat hyviä työvälineitä sekä tiedon hakuun että yhteydenpitoon. On kuitenkin muistettava että sähköpostissa tai Internetissä ei itsessään ole mitään suojausta, vaan tiedot liikkuvat salaamattomana julkisessa verkossa. Julkisen verkon kautta ollaan alttiina myös esim. viruksille ja järjestelmiin tunkeutumiselle. Sähköpostin ja Internetin käyttö vaativatkin käyttäjältä huolellisuutta. KOULUTTAJAN LISÄTIETOA Internetin suojattomuus on uhka tiedon luottamuksellisuudelle ja eheydelle. Haitalliset ohjelmat ja julkisesta verkosta tulevat hyökkäykset ovat uhka tiedon eheydelle, luottamuksellisuudelle ja käytettävyydelle. Aiheesta on kattava kuvaus Valtion tietohallinnon Internet-tietoturvallisuusohjeessa (VAHTI 1/2003). Erityisesti liitteessä 1 on hyviä käytännön esimerkkejä. Viranomaisten henkilörekisteristä tapahtuva henkilötietojen luovuttaminen esimerkiksi Internetiin on erikseen säännelty julkisuuslaissa (621/1999, erityisesti 16 §). KÄYTÄNNÖN ESIMERKKEJÄ Internetin käyttöön liittyviä esimerkkejä ja ohjeita: Älä käytä tai asenna Internetin kautta saatavia ohjelmia. Tietohallinto vastaa asennuksista. Salassa pidettävä tieto on salattava ennen siirtämistä julkisen verkon yli. Internet-selaimen välimuisti ja evästeet (cookies) tallentavat koneelle tietoja käyttäjästä, annetuista salasanoista sekä sivustoista, joilla on vierailtu. Musiikkitiedostojen lataamiseen ja jakoon tarkoitetut sovellukset (esim. Napster) sisältävät tietoturvariskejä sekä käyttävät turhaan verkkoresursseja. Sähköpostiin liittyviä esimerkkejä ja ohjeita: Virkapostin käsittely kuuluu virkavelvollisuuksiin. Sähköpostin käsittelystä on huolehdittava poissaolojen aikana virkavelvollisuuksien mukaisesti. Virkasähköposti ohjataan tai vastaanotetaan oman organisaation sähköpostijärjestelmään ja käsitellään vain organisaation hallitsemilla laitteilla. Esimerkiksi Internetin ilmaissähköpostiohjelmiin tai kotisähköpostiin postia ei saa ohjata. Älä avaa epäilyttäviä viestejä; tarkista sähköpostin liitetiedostot virustorjuntaohjelmalla. Vältä turhien sähköpostien, erityisesti liitetiedostojen, lähettämistä. Kiertokirjeet, turhat virusvaroitukset (hoax) ja joulutervehdykset kuormittavat sähköpostijärjestelmää ja vastaanottajan postilaatikkoa, sekä lähettäjän postilaatikkoa jos lähetetyistä viesteistä tallentuu kopio. Lisäksi hupiviestien liitetiedostot ovat potentiaalisia virusten ja troijalaisten leviämisreittejä. Huolehdi että sähköpostit on kohdistettu oikeisiin osoitteisiin. Jos saat toiselle henkilölle kuuluvan viestin, informoi siitä lähettäjää. Ohjaa myös viesti oikealle vastaanottajalle. Jakelulista voi myös olla luottamuksellista tietoa. Käytä tarvittaessa piilokopio-toimintoa (bcc). Tällä toiminnolla lisätyt vastaanottajat eivät näy viestissä. Lähettäjän osoite on helppo väärentää; siihen ei siis voi aina luottaa. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Aktivoi osallistujia listaamaan käytännön vinkkejä tietoturvallisuuden huomioimiseksi verkkoympäristössä.

19 Etäkäyttö ja etätyö Etäkäytöstä on kysymys silloin kun käytät organisaation tietoverkkoa tai sen osaa tietoliikenneyhteyden avulla organisaation ulkopuolelta. Etätyöllä tarkoitetaan muualla kuin viraston vakituisessa toimipisteessä tehtävää työtä. Etäkäyttö on sallittua vain, jos siitä on tehty erillinen sopimus. Käyttäessäsi etäyhteyttä olet osa organisaation tietoverkkoa ja näin ollen tietojen käsittelyssä tulee ottaa samat asiat huomioon kuin ollessasi varsinaisissa toimitiloissa. KOULUTTAJAN LISÄTIETOA Etätyö on tietoverkkoon kytkettyä työasemaa käyttäen tapahtuvaa työtä, jota tehdään säännöllisesti muualla kuin vakituisella työpaikalla, yleensä joko työntekijän asunnossa tai erityisessä etätyöpisteessä, mutta ollen jatkuvassa tai säännöllisessä yhteydessä työpaikkaan tietoverkon tai tiedonsiirtoyhteyden avulla. Etäkäyttö on tietokoneen käyttöä verkon välityksellä. Verkkoyhteys voi olla esimerkiksi suoraan modeemilla tai VPN-yhteyden yli Internetin kautta. Modeemiyhteys voidaan muodostaa esim. analogisella puhelimella, ISDN:llä tai GSM-puhelimella joko suoraan organisaation soittosarjaan tai palveluntarjoajan soittosarjan kautta Internetiin. Etäkäyttäjä voi saada Internet-yhteyden myös esim. kotoa ADSL:n tai kaapelimodeemin kautta tai matkoilla esim. kumppanin toimistoverkosta, hotellista tai julkisesta WLAN-verkosta. VPN-yhteydessä muodostetaan salattu tunneli käyttäjän työaseman ja organisaation tietoverkossa olevan yhdyspalvelimen (gateway) välille. KÄYTÄNNÖN ESIMERKKEJÄ Hyviä käytännön ohjeita käyttäjälle löytyy myös Valtionhallinnon etätyön tietoturvallisuusohjeen (VAHTI 3/2002) luvusta 4. Kaikkea virastossa tehtävää työtä ei voida tehdä turvallisesti etätyönä. Käyttäjän tulee tunnistaa nämä työt. Työnantaja hoitaa etäkäytössä vaadittavien laitteiden, ohjelmistojen ja tietoliikenneyhteyksien hankinnan ja asentamisen. Etätyötä ei tehdä omilla koneilla eikä etäkäytössä olevia laitteita ole tarkoitettu kotikäyttöön. Huolehdi, että etätyössä käyttämäsi laitteistot, ohjelmistot, tietoliikenneyhteydet ja paperiaineistot ovat vain sinun käytössäsi. Huolehdi, että käyttämäsi käyttäjätunnukset, salasanat ja mahdolliset toimikortit ja muut todennusvälineet ovat vain sinun hallussasi ja tiedossasi. Etätyö on rajattava aineistoon, jonka paljastuminen ei vaaranna viraston tietoturvallisuutta. Samoin kuin virastossa, on myös etätyössä otettava huomioon aineiston luokittelu ja siihen liittyvä käyttö sekä luovutusta, käyttöä ja käsittelyä koskevat rajoitukset. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Tämän kalvon valitsemiseen esityksen osaksi vaikuttaa erityisesti koulutuksen kohderyhmä. Jos koulutettavien joukossa on etätyön tekijöitä tai myös satunnaisia etäkäyttäjiä on aihepiiriä hyvä ainakin sivuta. Pohtikaa osallistujien kanssa yhdessä etäkäyttöön liittyviä uhkatekijöitä. Syvennä käsittelyä organisaation oman etäkäyttöohjeen tai -käytäntöjen pohjalta.

20 Toimitilojen turvallisuus
Toimitilojen turvallisuudella varmistetaan että tietoja, asiakirjoja ja tietokonelaitteita säilytetään ja käsitellään asianmukaisesti turvallisissa tiloissa. Toimitilojen turvallisuus sisältää mm. kulunvalvonnan, teknisen valvonnan ja vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Noudata kulunvalvonnasta annettuja ohjeita. Ohjaa vieraat henkilöt oikeisiin paikkoihin äläkä päästä asiattomia henkilöitä toimitiloihin. KOULUTTAJAN LISÄTIETOA 1. Liiketoiminnan kannalta kriittisten tai arkaluontoisten tietojenkäsittelylaitteistojen ja toimintojen tulee sijaita asianmukaisin turvasuluin ja kulunvalvontalaitteistoin varustetuilla ja määrätyin turvavyöhykkein suojatuilla turva-alueilla. Laitteistojen tulee olla fyysisesti suojattuja luvattoman käytön, vahinkojen ja häiriöiden varalta. (British Standard BS Tietoturvallisuuden hallinta) 2. Puhtaan pöydän periaatteella tarkoitetaan toimintatapaa, jossa pöydät pidetään puhtaina tietoaineistoista. Poistuttaessa työpisteestä tietoaineistot siirretään esim. lukolliseen kaappiin. Myös työpisteessä työskennellessä pidetään tarpeettomat tietoaineistot poissa näkyvistä. Puhtaan pöydän periaatteella estetään sivullisten pääsy käsiksi tietoaineistoihin. Samoin pyritään välttämään tietoaineistojen hukkuminen tai tuhoutuminen. Puhtaan pöydän periaate lähtee olettamuksesta, että työpöydän ääressä käy useita henkilöitä (kollegoja, vierailijoita, huoltomiehiä, asentajia, siivoojia, yms.), joiden ei kuulu päästä käsiksi käsiteltävään tietoon. KÄYTÄNNÖN ESIMERKKEJÄ Vieraat tai ”eksyneet” henkilöt tulee ohjata oikeisiin paikkoihin. Asiattomia henkilöitä ei saa päästää toimitiloihin esim. töistä lähdettäessä. Kulunvalvonnassa olevia ovia ei saa jättää auki. Kukin vastaa omista vieraistaan ja heidän kulkemisistaan toimitiloissa. Vieraita ei saa jättää yksin tai ilman valvontaa työhuoneisiin tai muihin toimitiloihin. Tieto ja laitteet on säilytettävä turvassa, mahdollisuuksien mukaan lukitussa kaapissa ja huoneessa. On muistettava myös levykkeiden, paperitulosteiden ym. asianmukainen säilyttäminen. Kannettavia tietokoneita tai matkapuhelimia ei saa jättää ilman valvontaa. Erityisesti matkustettaessa on oltava varovainen. Asiakaspalvelupisteessä tietokoneen näyttö ei saa näkyä asiakkaalle. OHJEITA JA VIHJEITÄ KOULUTTAJALLE 1. Valinnainen kalvo. Jos organisaatiolla on erityisiä tilojen turvallisuusvaatimuksia on tämän kalvon asiat syytä sisällyttää esitykseen. 2. Selvitä onko organisaation tiloja turvaluokiteltu ja anna havainnollisia esimerkkejä erilaisista tiloista. Listatkaa yhdessä organisaation tiloja, joihin pääsyä pitäisi erityisesti rajoittaa. 3. Miettikää kuinka ulkopuolisten on mahdollista päästä organisaation tiloihin ja kuinka tätä voitaisiin rajoittaa. 4. Korosta erityisesti puhtaan pöydän periaatetta ja sen soveltamista kaikessa työssä.

21 Omat tiedot ja yksityisyys
Omia henkilökohtaisia tiedostoja ei saa tarpeettomasti tallentaa työasemalle tai palvelimelle. Käyttäjä vastaa itse vastaanottamiensa henkilökohtaisten viestien käsittelystä. Sähköpostiliikennettä ja internet-selausta sekä kyselyjärjestelmien käyttöä valvotaan mm. kapasiteetin riittävyyden takia ja väärinkäytöksiin voidaan puuttua. Kaikki työntekijät ovat vaitiolovelvollisia tietoonsa tulleista yksityisistä viesteistä. KOULUTTAJAN LISÄTIETOA Yksityisyydellä tarkoitetaan muun muassa henkilökohtaista itsemääräämisoikeutta, oikeutta vaikuttaa itseään koskevien tietojen käsittelyyn, oikeutta tulla arvioiduksi oikeiden ja virheettömien tietojen perusteella sekä oikeutta yksityiselämään ilman ulkopuolisten puuttumista. 2. Työkone ja työpaikan tietojärjestelmät on kuitenkin tarkoitettu työkäyttöön. Siksi omia tietoja ei pidä tarpeettomasti tallentaa työasemalle tai palvelimelle. KÄYTÄNNÖN ESIMERKKEJÄ Ylläpito on jokapäiväisessä työssään tekemisissä käyttäjien tietojen tai toimintaan liittyvän tiedon kanssa Järjestelmiin ja tietoverkon laitteisiin tallentuu yksityiskohtaista lokitietoa järjestelmien käytöstä. Tietoja käytetään ylläpidossa, vianmäärityksessä ja tietoturvallisuuden valvonnassa. Sähköpostiliikennettä ja internet-selausta sekä kyselyjärjestelmien käyttöä valvotaan mm. kapasiteetin riittävyyden takia. Valvonnassa esiin tulleisiin väärinkäytöksiin voidaan puuttua. Virkatehtävien hoito voi edellyttää sähköpostin ohjaamista toiselle henkilölle esim. lomien ajaksi. Samoin työsuhteen päättyessä on virkaposti siirrettävä työnantajan käyttöön. Käyttäjän on huomioitava tämä ja poistettava mahdolliset henkilökohtaiset viestit. Henkilökohtaiset sähköpostit on hyvä ohjata muualle kuin virkasähköpostiin. OHJEITA JA VIHJEITÄ KOULUTTAJALLE 1. Pohtikaa yhdessä koulutettavien kanssa omien tietojen ja yksityisyyden suhdetta virkatehtävien hoitamiseen työkoneella. Kuinka omat tiedot voidaan pitää yksityisinä? 2. Miten voidaan estää mahdolliset yksityisyyden loukkaukset töissä? 3. Kannattaa tutustua uusin työelämän tietosuojan säännöksiin (luonnosvalmistelut)

22 Mitä teen ongelmatilanteessa?
Tietoturvaloukkausta voidaan epäillä, kun tietokone esimerkiksi äkillisesti hidastuu ilman että olet tehnyt mitään erityistä toimintoa tai näytölle ilmestyy odottamattomia ilmoituksia ja varoituksia. Älä hätiköi; tietokonetta ei tarvitse sulkea. Kirjoita ylös mitä mahdollisessa ilmoituksessa tai varoituksessa luki. Ilmoita aina ongelmatilanteista ja turvallisuuteen liittyvistä epäilyistä tietohallintoon ja/tai tietoturvavastaaville ja toimi ohjeiden mukaisesti. KOULUTTAJAN LISÄTIETOA Tietoturvallisuuteen liittyviä ongelmatilanteita voivat olla esim: virustartunta muu haitallinen ohjelma työasemalla tai järjestelmässä tietomurto joku muu vikatilanne kuten verkkokatkos, ohjelmisto- tai laitteistovika sivullisen henkilön pääsy toimitiloihin auki jäänyt ovi järjestelmissä olevissa tiedoissa "vikaa" tietoaineistoa väärässä paikassa tai hukassa Tietomurto on tahallinen valtuudeton tunkeutuminen suojattuun tietojärjestelmään tai tunkeutumattakin järjestelmässä olevan tiedon jäljentäminen teknisen erikoislaitteen avulla. Haittaohjelmiin liittyviä ohjeita löytyy myös Tietokoneviruksilta ja muilta haittaohjelmilta suojautumisen yleisohjeesta (VAHTI 4/2000). Liitteessä 5 on peruskäyttäjän pikaohje. KÄYTÄNNÖN ESIMERKKEJÄ JA OHJEITA KÄYTTÄJÄLLE Ilmoita aina haittaohjelmista (virukset, madot tai troijalaiset) välittömästi tietoturvavastaavalle, tietohallintoon tai omalle esimiehellesi. Auta tutkinnassa. Kerro mitä olit tekemässä kun kone alkoi toimia odottamattomasti. Kirjaa muistiin tekemisesi ja kirjaa menetetty työaika mahdollista korvausvaadetta varten. Ilmoita aina myös muista turvallisuuteen liittyvistä epäilyistä tai ongelmista välittömästi turvallisuusvastaaville, virastomestareille tai omalle esimiehellesi. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Valmistele ohje siitä mihin tai kenelle erilaiset ongelmatilanteet on organisaatiossa ilmoitettava tai keneltä niihin saa apua.

23 Seuraamukset Sääntöjen ja periaatteiden rikkomisesta käyttöoikeudet tietojärjestelmiin voidaan peruuttaa. Rikkomuksista tiedotetaan aina esimiehelle. Mikäli rikkomuksesta aiheutuu taloudellisia menetyksiä, voidaan päätyä vahingonkorvausvaatimuksiin. Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella kurinpidollisiin ja rikosoikeudellisiin seuraamuksiin. KOULUTTAJAN LISÄTIETOA Tämä on vapaaehtoinen kalvo, jota voidaan käyttää tarpeen mukaan. Tarkoituksena ei ole kuitenkaan pelotella käyttäjiä, vaan tuoda avoimesti esiin se että sääntöjä on noudatettava. KÄYTÄNNÖN ESIMERKKEJÄ Käyttäjätunnuksia ja salasanoja ei saa antaa toisten käyttöön. Käyttäjä ei saa kokeilla esim. verkkoskannausta työasemaltaan. Se voidaan tulkita verkkohyökkäykseksi. Tietovarastoista saatavaa tietoa ei saa käyttää muuhun kuin työkäyttöön. Äärimmäisinä keinoina rikkomuksista voi olla myös irtisanominen tai oikeustoimet. OHJEITA JA VIHJEITÄ KOULUTTAJALLE Kalvon tarkoituksena ei ole pelotella käyttäjiä, vaan tuoda avoimesti esiin se, että sääntöjä on noudatettava ja rikkomuksista koituu seuraamuksia. Aiheen käsittelyn yhteydessä voit pyytää osallistujia pohtimaan esimerkkejä rikkomuksista, joihin käyttäjät voivat syyllistyä epähuomiossa tai tietämättömyyttään.

24 Mistä saan lisätietoja?
Organisaation omat ohjeet Lainsäädäntö ( Valtiovarainministeriön ja VAHTI:n ohjeet ( Muut tietoturvallisuutta ohjeistavat ja säätelevät organisaatiot, kuten esimerkiksi Viestintävirasto ( Tietosuojavaltuutetun toimisto ( Arkistolaitos ( Tietoturvapäällikkö, tietohallinto, esimies, turvallisuuspäällikkö KOULUTTAJAN LISÄTIETOA Tärkeimpiä lakeja tietoturvallisuuden kannalta ovat: Perustuslaki (731/1999) 2.luku 10 § (Yksityiselämän suoja ja luottamuksellisen viestin salaisuus) Perustuslaki (731/1999) 2.luku 12 § (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) Laki viranomaisten toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet) Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö) Valtion virkamieslaki (750/1994) 17§ (Säädös valtion virkasuhteesta) Laki kunnallisesta viranhaltijasta (304/2003) Työsopimuslaki (55/2001) Rikoslaki (39/1889) 34.luku 9a § (Vaaran aiheuttaminen tietojenkäsittelylle) Rikoslaki (39/1889) 38.luku 8 § (Tietomurto) Rikoslaki (39/1889) 38.luku 9 § 1. kohta (Henkilörekisteririkos) Henkilötietolaki (523/1999) 48 § (Henkilörekisteririkkomus) Vahingonkorvauslaki (41/1974) Laki yksityisyyden suojasta työelämässä (477/2001) Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) Lainsäädäntöön voi tutustua Internetissä osoitteessa OHJEITA JA VIHJEITÄ KOULUTTAJALLE Lisää tälle kalvolle linkki organisaation omiin tietoturvaohjeistuksiin. Voit myös lisätä organisaation tietoturvallisuudesta vastaavien henkilöiden yhteystiedot.

25 KYSYMYKSIÄ?


Lataa ppt "VAHTI Koulutustyöryhmä"

Samankaltaiset esitykset


Iklan oleh Google