Käyttäjän tietoturvakäsikirja
Transcription
Käyttäjän tietoturvakäsikirja
Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 1(22) KONTIOLAHDEN KUNTA Käyttäjän tietoturvakäsikirja Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 2(22) Sisällysluettelo Tietoturvanhuoneentaulu.............................................................................................................................................4 Käyttäjänkäsikirjaperustuukunnanhallituksenhyväksymääntietoturvapolitiikkaanja– suunnitelmaan.....................................................................................................................................................................5 Järjestelmienjatietoliikenneverkonkäytönsäännöt.......................................................................................5 Tietosuojantoteuttaminenkunnassa..................................................................................................................5 Tietoaineistonluokittelu...........................................................................................................................................5 Tiedostojen,asiakirjojenjamuidentietovälineidensäilytys...................................................................5 Tietoaineistojenarkistointijasuojakopioidensäilytys.........................................................................6 Tarpeettomientietojenhävittäminenturvallisesti.................................................................................6 Tietojärjestelmienluokittelu...................................................................................................................................6 Ylläpitäjienhyvätkäytännöt:...................................................................................................................................7 Käyttäjänhyvätkäytännöt:......................................................................................................................................7 Väärinkäytöksetjaniidenseuraamukset..........................................................................................................7 Oikeusjärjestelmientietoihinjakäytöstäkerättäviintietoihin.............................................................7 Henkilöstöturvallisuus:..............................................................................................................................................8 OhjeInternetinjasähköpostinkäytöstä.................................................................................................................9 Internetinkäyttö............................................................................................................................................................9 Yleistä.............................................................................................................................................................................9 Kielletyttairajoitetutsovelluksetjapalvelutsekäsosiaalinenmedia..........................................9 Käyttösäännöt.........................................................................................................................................................10 Käyttöohjeet............................................................................................................................................................10 Sähköpostinkäyttöohjeistus.................................................................................................................................11 Loma-ajatjapidemmätpoissaolot................................................................................................................12 Liitetiedostot...........................................................................................................................................................12 Sähköpostintietoturva.......................................................................................................................................13 Roskaposti................................................................................................................................................................13 Toimenpiteettyösuhteenpäättyessä..........................................................................................................14 Etätyö....................................................................................................................................................................................15 Työhakemistot..................................................................................................................................................................16 Toimenpiteettyösuhteenpäättyessä...............................................................................................................16 Siirrettävättietovälineet..............................................................................................................................................17 Työpuhelin..........................................................................................................................................................................18 Sosiaalinenhakkerointi................................................................................................................................................19 Ulkoistettujentietojenkäsittelytoimintojenturvallisuus............................................................................19 Tietoturvahankintojenyhteydessä........................................................................................................................20 Virusepäily..........................................................................................................................................................................21 Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 3(22) Viruksiltasuojautuminen.......................................................................................................................................21 Tietoturvanseuranta.....................................................................................................................................................22 Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 4(22) Tietoturvanhuoneentaulu ü Tueosaltasikunnankulunvalvontaa;käytäkunnantoimitiloissajaasiakkaidenluonakuvallista henkilökorttiasi(mikälisinullasellainenon). ü Jos tapaat tuntemattoman henkilön kunnan toimitiloissa, selvitä kohteliaasti (esim. opastustatarjoamalla)milläasiallahenkilötiloissammeliikkuu. ü Työasemankäyttäjänävastaatitsetyöasemasiturvallisuudesta. ü Käytä työasemaa ja siihen liittyviä laitteita, ohjelmia ja tietoja vain työtehtäviesi edellyttämiinjaesimiehesihyväksymiintarkoituksiin. ü Äläluovutatyöasemasihallintaakenellekääntuntemattomallehenkilölle. ü Käyttäjätunnuksesionhenkilökohtainen.Äläkerrosalasanaasikenellekään. ü Salasanantuleetietoturvankannaltasisältäävähintään8merkkiä.Valitsesalasanaksi sellainenjonkamuistat. ü Vaihda salasanasi riittävän usein ja heti kun epäilet sen paljastuneen. Älä koskaan kirjoita salasanaasi paperille. Mikäli joudut näin kuitenkin tekemään, älä säilytä salasanaanäppäimistönallataityöpöytäsiylälaatikossa. ü Älä käytä työpaikan käyttäjätunnusta ja salasanaa rekisteröityessäsi Internetin palveluihin. ü Poistuessasityöpisteeltälukitsetyöasemasi. ü Muistakannettavientietokoneidenpoikkeuksellisenkorkeavarkausriski.Älätallenna mitäänsalassapidettävääkannettavaasi! ü Älä avaa tuntemattomista osoitteista/lähettäjiltä saapuneita sähköpostiviestejä, eikä varsinkaannäidenliitetiedostoja.Äläavaamitäänexe-taibat–päätteisiäliitetiedostoja, elletehdottomastitiedämitänesisältävät. ü Käytä vain virustarkastusohjelmalla tarkastettuja ja salausohjelmalla salattuja USBtikkuja. ü Käynnistätyöasemasisiten,ettäUSB-tikkueiolekiinnitettynäjaetteiCD-asemassaole levyä. ü Voit epäillä virustartuntaa, jos työasemassasi näytölle ilmestyy tunnistamattomia viestejä, levytilan loppuu äkillisesti, tallentamasi tiedostot muuttuvat tai katoavat, ohjelmistonkäyttöhidastuuoleellisestitaiestyykokonaan. ü Jos epäilet virustartuntaa, tee seuraavaa: jos virustorjuntaohjelma tarjoaa mahdollisuuden viruksen poistoon, suorita kyseinen toimenpide ja varmistu toimenpiteentuloksista.Etenetorjuntaohjeidenmukaan. ü Jos torjuntaohjelma ei kykene poistamaan virusta älä sammuta konetta vaan tee seuraavaa: irrota työasemasi verkosta (eli ota atk-verkkokaapeli irti työasemasta), tarkistajakirjaaylösmitätietojanäytöllekirjautuujaraportoitapahtumastaatk-tuelle ja tietoturvavastaavalle. Jos epäilet tartuttaneesi viruksen toisten työasemiin tai lähettäneesiviruksensisältävääpostia,varoitaheitäsiitä. ü ServiceDesk0133390700/[email protected] Kontiolahdenkunta 5(22) Tietoturvakäsikirja 27.1.2015 Käyttäjänkäsikirjaperustuukunnanhallituksenhyväksymään tietoturvapolitiikkaanja–suunnitelmaan Tämäkäyttäjänkäsikirjapohjautuukunnanhallituksenhyväksymääntietoturvapolitiikkaanja –suunnitelmaan. Tietoturvapolitiikka on julkinen asiakirja. Tietoturvasuunnitelma on salainen asiakirja. Käyttäjän käsikirja käsitellään henkilöstöasiain työryhmässä ja yhteistyötoimikunnassajasenhyväksyykunnanhallitus. Järjestelmienjatietoliikenneverkonkäytönsäännöt Hyvien työskentelyolojen takaamiseksi on tarpeen noudattaa seuraavia yhteisesti sovittuja sääntöjä, joiden tarkoituksena on määritellä järjestelmien käyttäjille ja ylläpitäjille heidän oikeutensajavelvollisuutensa. Säännötperustuvatseuraaviinyleisperiaatteisiin: ü Kaikillaonmahdollisuusasialliseenkäyttöön. ü Muilleeisaaaiheuttaahaittaa. ü Yksityisyydensuojaapitääkunnioittaa. Tietosuojantoteuttaminenkunnassa Dokumentti kuvaa ne menetelmät ja toimintatavat mitenkä tietojen käsittelyä Kontiolahden kunnassavalvotaan,sekäseuraamuksetmahdollisistatietoturvarikkomuksista. Tietoaineistonluokittelu Tietoaineisto voidaan jakaa julkiseen tai salassa pidettävään tietoon. Salassa pidettävä tieto onjokokokonaantaiosittainsalassapidettävää. Tietoturvatoimien oikean kohdistamisen vuoksi Kontiolahden kunnassa käsiteltävät tiedot käydäänläpijaluokitellaantiedonohjaussuunnittelunyhteydessä. Kunnaneriyksiköidenkäsittelemientietojenluovutuksestapäättävätne,joilleonmääritelty asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon tietojen luokitus sekä julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin tietojenluovuttamiseenvaikuttaviensäädöstenjamääräystenasettamatehdot. Tiedostojen,asiakirjojenjamuidentietovälineidensäilytys Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle tai asianhallintajärjestelmään mahdollisuuksien mukaan päivittäin.Paperidokumentitskannataansähköiseenmuotoonjatallennetaanasianhallintaan, minkäjälkeenpaperiversiottarvittaessaarkistoidaan. Tietoaineistojen asianhallintaan viemisen yhteydessä tehdään aineiston luokitus ja tämän luokituksenperusteellavoidaanmääritelläko.aineistonkäsittely-jasäilytystavat. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 6(22) MuuttietovälineetkutenCD/DVD:t,videokasetit,jne.luetteloidaanjaluokitellaanennenkuin nelaitetaansopivaansäilytyspaikkaan. Kontiolahdenkunnanhenkilökunnan omientiedostojentallennuspaikkanatoimivatjokaisen työntekijän henkilökohtaiset työhakemistot, jotka sijaitsevat tähän käyttöön tarkoitetulla verkkolevyllä.Työhakemistoihinliittyvätkäytännötonohjeistettutarkemmintässäohjeessa. Tietoaineistojenarkistointijasuojakopioidensäilytys Kunnan toiminnan yhteydessä muodostuvat tiedonohjaussuunnitelmienmukaisesti. tietoaineistot arkistoidaan Tarpeettomientietojenhävittäminenturvallisesti Tietoaineistojenluokittelunyhteydessämääritetäänko.aineistonsäilytysaika,jonkajälkeen aineistonjasiihenliittyvänmuuntiedonvoipoistaakunnantietojärjestelmistä. Tuhottavatpaperidokumentitlaitetaanniilleerikseenvarattuihinlukittuihinsäiliöihin,joiden täyttyessä palvelua tarjoava turvayhtiö huolehtii säiliöiden noutamisesta ja dokumenttien tuhoamisesta. Kunnankäytöstäpoistuville/uuteenkäyttöönmenevientyöasemien,kiintolevyjenjamuiden talletusmedioidentietojenhävittämiselleonluotuPTTKOy:npuolestakäytäntö,jotakunnassa myös noudatetaan kautta linjan. Poistuvat tai uuteen käyttöön menevät työasemat sekä kiintolevytkäsitelläänPTTKOy:ntoimestakäyttäenem.käytäntöjä. Tietojärjestelmienluokittelu Kontiolahden kunnassa käytettävät tietojärjestelmät luetteloidaan ja luokitellaan kunnan toiminnankannaltatärkeysjärjestykseenriskianalyysinavulla.Järjestelmientärkeysluokkaan vaikuttavia tekijöitä ovat muun muassa niiden sisältämän tiedon tärkeysluokitus ja kunkin järjestelmänkäytettävyysvaatimukset. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 7(22) Ylläpitäjienhyvätkäytännöt: Käyttöoikeuksien määrittely ja oikeellisuus on esimiehen vastuulla. Nimetyt vastuuhenkilöt huolehtivat järjestelmien ylläpidosta. Ylläpitäjät tiedottavat järjestelmiin tehtävistä muutoksistajaniidenvaikutuksistasekäantavattarvittaessaopastusta.Ylläpitäjilläonoikeus rajoittaajasäädelläjärjestelmienkäyttöävelvollisuuksiensahoitamiseksi. Käyttäjänhyvätkäytännöt: ü Käyttäjäntuleeainakäyttääomaanimeäänjaomaakäyttäjätunnustaan.Kukinkäyttäjä vastaakaikestatunnuksellaantapahtuvastakäytöstä. ü Työasioihin liittyvät ja niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaanverkkolevylletaiasianhallintajärjestelmään. ü Muutjärjestelmänkäyttäjätonotettavahuomioon. ü Kaikillakäyttäjilläonvastuujärjestelmänkokonaisturvallisuudesta. ü Järjestelmään pyrkiminen väärällä käyttäjätunnuksella sekä oman tunnuksen valtuuksienylittäminentaiylityksenyrittäminenonkiellettyä. ü Laitteiston ja systeemiohjelmiston muuttaminen on kiellettyä. Tämä koskee myös yhteisessäkäytössäoleviayhdenkäyttäjänjärjestelmiä. ü Kiintiöidenjamuidenkäyttörajoitustenkiertäminenonkiellettyä. ü Tunnettujenja/taiuusienturvallisuusaukkojenetsiminenjakäyttäminenonkiellettyä. ü Ohjelmien,ohjelmistojentaitiedostojenkopiointiluvattaonkiellettyä. Väärinkäytöksetjaniidenseuraamukset ü Käyttäjien tulee ottaa huomioon voimassa oleva lainsäädäntö. Mm. henkilörekisterilaissa, rikoslaissa ja tekijänoikeuslaissa on atk:n käyttöä säänteleviä määräyksiä. ü Väärinkäytöksen laadusta riippuen käyttäjälle voidaan antaa varoitus, käyttöön liittyviärajoituksiataimääräaikainenkäyttökielto. ü Mikäliväärinkäytösonvakavajatekomuodostaarikoksen,asiavoidaanantaapoliisin tutkittavaksi. Oikeusjärjestelmientietoihinjakäytöstäkerättäviintietoihin ü Kunta on järjestänyt tietojärjestelmät henkilöstön käyttöön kunnan toimintaan kuuluvaatiedonvälitystävarten.NäinollenKontiolahdenkunnallaonoikeusmäärätä henkilöilleannettujen,järjestelmienkäyttöönoikeuttavientunnustenkäytöstä. ü Tietojärjestelmien tietoturvan valvonnan, tietojen varmistamisen ja toiminnan kehittämisen sekä tietojärjestelmien hallinnan tarpeisiin niiden käytöstä voidaan kerätä tietoja, jotka on kuvattu kyseisestä tietojärjestelmästä tehdyn selosteen yhteydessä. ü Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien toiminnanylläpitämistävartenniidenvastuuhenkilöilläonoikeusvalvoajärjestelmien käyttöä ja tarvittaessa päästä käsiksi järjestelmien sisältämiin viesteihin ja muihin tietoihinsekälukea,kopioida,siirtääjatuhotaniitä. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 8(22) ü Kunnalla on tekijänoikeus kaikkiin palvelusuhteessa tai siihen verrattavissa olevan henkilöstönlaatimiin,tietojärjestelmissäoleviin,kunnantoimintaanliittyviintietoihin javiesteihin. ü Tietojärjestelmientietojenjaviestienkäyttö,kopiointijasiirtoonsallittuvainkunnan toimintaanliittyvientehtävienhoitamiseksi. ü Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuulokitietoja,joitakäytetäänainoastaantietoturvapoikkeamienselvityksessäja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia tapahtumia,niistäraportoidaankunnantietoturvavastaavalle(talousjohtaja). Henkilöstöturvallisuus: ü Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuutja–tehtävätonselkeästikuvattutoimenkuvissa ü Työyksiköissä tulee olla riittävällä tasolla määritellyt prosessit, joissa kuvataan työtehtävätniintarkasti,ettäavainhenkilöriskiensyntyminenvältetään. ü Tehtävien vaativuudesta tai luottamuksellisuudesta riippuen rekrytoitavan henkilön tausta,sopivuusjaosaaminenonselvitettäväennentyöhönottoa. ü Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös vaitiolositoumus,viranhaltijanosaltaasiahuomioidaanvirkamääräystäannettaessa. ü Perehdytyksen yhteydessä tulee käydä läpi kunnan tietoturvapolitiikka ohjeistuksineen. ü Henkilökunnan tietoturvaosaaminen varmistetaan sähköisen koulutusympäristön avulla(Granite) Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 9(22) OhjeInternetinjasähköpostinkäytöstä Internetinkäyttö Yleistä Internet-verkko on laaja “virtuaaliympäristö”, jossa pätevät lähtökohtaisesti normaalit yhteiskunnan ja työympäristön säännöt. Työnantajalla ei ole velvollisuutta eikä mahdollisuutta Internet-yhteyden avaamisen yhteydessä edeltä käsin tyhjentävästi joko kieltää tai sallia kaikkia kyseenalaisia tai väärinkäytösmahdollisuuden sisältäviä sovelluksia tai käyttötapoja. Tästä syystä käyttäjällä itsellään on vastuu noudattaa organisaation tietoturvaohjeistusta, jotta Internetissä käytettävien palveluiden käyttö ei aiheuta tietojenkäsittelylle ja kunnan toiminnalle ylimääräisiä tietoturvariskejä. Työnantaja tarkkailee jatkuvasti ulkopuolisia yhteyksiä palomuuriohjelmistolla sekä erilaisilla virus- ja turvaohjelmistoilla, etteivät luvattomat tunkeilijat pääsisi sisään järjestelmään. Kaikista ulkopuolisista yhteyksistä jää lokiin tiedot mahdollisia myöhempiä selvityksiävarten.ValvonnassanoudatetaanSähköisenviestinnäntietosuojalakia(516/2004, 125/2009)jalakiayksityisyydensuojastatyöelämässä(759/2004). Internet-yhteysontarkoitettutyötehtävienhoitamiseen. Sallitutkäyttötarkoituksetovat: ü informaationhankkiminentyötehtäviensuorittamiseksi ü ammatillisensivistyksenkehittäminen ü ammattiyhdistystoiminta Sallittuayksityiskäyttöäovat: ü henkilökohtainenpankkiasiointityötehtäviähaittaamatta ü satunnainenviestintä,ilmoituksettms.jotkaovatesim.kiireellisiäjatyöläitähoitaa muullatavoin Verkon palveluiden ja sovellusten käyttäminen ei saa olla ristiriidassa organisaation viestinnän,toiminnantarkoituksentaitietoturvallisuudenkanssa. Kielletyttairajoitetutsovelluksetjapalvelutsekäsosiaalinenmedia Seuraavien sovellusten käyttö ei ole sallittua niiden sisältämien erityisen korkeiden tietoturvariskientaimuunhaitanvuoksi: ü Musiikki-javideotiedostojenlataamiseentarkoitetutsovellukset ü Vertaisverkkopalvelut(Kazaa,eDonkeysekävastaavat) ü Automaattiset näytönsäästäjät, jotka kuluttavat työaseman resursseja omaan toimintaansaesim.SETI@home(SearchfoExtraTerrestialIntelligence) ü KeskusteluryhmätkutenIRCjaerilaisetchat-ryhmät ü Uutisryhmä-palveluihin (News Groups) saavat osallistua ainoastaan erikseen nimetythenkilöt. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 10(22) ü Kaikki käyttötarkoitukseltaan haitalliset, hyvän tavan vastaiset tai työtehtävien kanssaristiriidassaolevatpalvelut(esim.salauksenpurkujolainnojalla) Sosiaaliseenmediaanliittyenkunnassaonlaadittusosiaalisenmediankäyttöpolitiikka,jonka hyväksyykunnanjohtoryhmä. Käyttösäännöt Tekijänoikeussäännöt on huomioitava myös Internetistä peräisin olevan aineiston suhteen. Samoinonsuhtauduttavavarauksinkaikenlaisenaineistonluotettavuuteenjaoikeellisuuteen. Internetissä kuka tahansa voi julkaista mitä tahansa. Kuten muuallakin, kannattaa lähtökohtaisestipitääluotettavanavainennestääntunnettujalähteitä. Internetiä käytettäessä on toimittava niin, että haittaohjelmien pääsy sisäiseen verkkoon estetään mahdollisimman pitkälle ennalta. Tunnetut ja luotettavat verkkopalvelut eivät pääsääntöisesti sisällä haittaohjelmia. Epämääräisiä ja käyttötarkoitukseltaan työtehtävien suorittamiseenliittymättömiäsivustojapitäämm.haittaohjelmavaarantakiavälttääjavaroa. SeuraavillatoimenpiteillävoidaanInternet-uhkiahallitaperuskäyttäjätasolla: ü Sisäisten tietojärjestelmien ja -verkkojen käyttöön tarkoitettua henkilökohtaista käyttäjätunnusta ja salasanaa ei saa käyttää Internetissä oleviin palveluihin rekisteröitymiseenkoskasevoitätäkauttapaljastuaulkopuoliselle. ü Myös työnantajan sähköpostiosoitteen luovuttamisessa esim. Internet-palveluihin rekisteröidyttäessä tulee olla varovainen. Osoite voi tätä kautta kulkeutua ns. eitoivottuunkaupalliseenviestintäänkäytetyille(spam)postituslistoille. ü Työnantajan sähköpostiosoitteen saa luovuttaa vain sellaiseen Internet-palveluun rekisteröidyttäessä,jollaonselkeäyhteystyötehtäviin.(vrt.SOME) ü Internet-selaimentietoturva-asetuksiaeisaaheikentääilmantietohallinnonlupaa. ü Ohjelmien lataaminen ja asentaminen Internetistä muun kuin tietohallinnon toimestaonkielletty. Käyttöohjeet 1. Internetinkäytöstäjääainajäljet.Kunsivuhaetaanselaimeen,siitäjäämerkintäwwwpalvelimen lokitiedostoon. Samoin merkintä käynnistäsi jää myös niille sivustoille, joillakävit.KäytäInternetiätyöpaikallasivaintyöhösitarvittavantiedonhakemiseen. 2. Älä anna Internetissä nimeäsi, yhteystietojasi tai sähköpostiosoitettasi ilmoitustauluille, keskusteluryhmiin tms. Henkilötiedot voivat päätyä ulkopuolisten käyttöön ja niitä voidaan käyttää muihin tarkoituksiin kuin mihin olet ne antanut. Ulkopuoliset voivat ottaa selvää verkossa liikkumisestasi ja luoda tämän perusteella sinustaprofiileja,jonkajälkeenalatsaadasähköpostiisimainoksiajaroskapostia. 3. ÄläkoskaankäytätaiasennaInternetistäperäisinoleviatiedostojajaohjelmia. 4. Poistuainaverkkopalvelustasenomallauloskirjautumiskomennolla. 5. Sivuhistoria muistaa kaikkien niiden sivujen osoitteet, joilla käyttäjä on vieraillut. Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, sivuhistoria täytyy tyhjentääaina. 6. SelaimenvälimuistinopeuttaaInternet-surffausta.Seviekuitenkinrunsaastilevytilaa ja siksi se kannattaa aika ajoin tyhjentää. Käytettäessä yhteis- tai julkisessa käytössä olevaatietokonetta,välimuistitäytyytyhjentääaina. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 11(22) 7. Jos olet kirjautumassa palveluun, jossa kysytään salasanaa, selain ehdottaa usein salasanan tallentamista. Tätä ei kuitenkaan koskaan pidä tehdä, sillä toiset käyttäjät pääsevätsilloinsinuntunnuksellasipalveluun. 8. Eväste, on tekstitiedosto, jonka sivuston omistaja tallentaa koneesi kiintolevylle käydessäsihänenweb-sivustollaan.Evästeetovatpääsääntöisestiharmittomia,mutta niitävoidaankäyttääväärin.Lukemallaevästetiedostonsisältö,voidaanselvittää,millä sivuilla käyttäjä on käynyt. Evästeeseen voi myös tallentua sivustolle vaadittavat käyttäjätunnus- ja salasanatiedot. Evästeitä on kahdentyyppisiä; istuntokohtaisia ja pysyviä. Istuntokohtaiset evästeet säilyvät selaimen muistissa niin kauan kuin selain on auki ja häviävät sittenitsestään.Pysyvätevästeettallentuvattyöasemanlevylle ja säilyvätsielläelleiniitäpoistetamanuaalisesti. 9. Sosiaalinen media ei sinänsä tuo uusia tietoturvahaasteita, mutta sosiaalisen median käyttötavat eroavat merkittävästi perinteisen median käyttötavoista ja perinteisistä Internet-palveluista,jonkatakiatietoturvauhatilmeneväteritavalla.Tämäjohtuusiitä, ettäsosiaalisessamediassakäyttäjäntoimenpiteetovatnormaaliapalveluidenkäyttöä keskeisemmässä asemassa. Tahaton hölmöily saattaa johtaa ikäviin seurauksiin, esimerkiksi organisaation tietojen vuotamiseen, henkilökohtaisen mielipiteen esittämiseenorganisaationvirallisenakannanottona,haittaohjelmanleviämiseentms. Henkilöstön ohjeistamiseksi ja selkeiden linjausten tekemiseksi on kuntaan laadittu sosiaalisenmediankäyttöpolitiikka. 10. Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuulokitietoja,joitakäytetäänainoastaantietoturvapoikkeamienselvityksessäja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia tapahtumia,niistäraportoidaankunnantietoturvavastaavalle. Sähköpostinkäyttöohjeistus Kontiolahden kunnalla on käytössään Microsoft Outlook sekä Outlook Web Access – sähköpostiohjelmat.WebAccessonOutlookinInternet-selainpohjainenkäyttöliittymä. Työnantajan sähköposti on tarkoitettu pääasiallisesti työasioiden hoitamiseen. Sähköpostia on lupa käyttää myös yksityisviestintään, mutta yksityisviestit on pidettävä erillään työviesteistä. Työnantajan sähköpostin käyttö ei ole kuitenkaan sallittua henkilökohtaisten tarjouspyyntöjen tai tarjousten tekemiseen sekä kaupankäyntiin tai muiden sellaisten oikeustoimientekemiseen,joidenyhteydessävastaanottajanonvaikeaatulkitaonkokyseessä henkilökohtainenvaityöasia. Työntekijöille suositellaan yksityisasioiden hoitamista varten erillisen henkilökohtaisen sähköpostiosoitteenhankkimista. Työntekijä vastaa sähköpostin käytöstä, sähköpostilaatikon sisällöstä ja sisällön ylläpidosta. Tällöintyöntekijäntuleeottaahuomioonseuraavatseikat: ü Työsähköpostia on käytettävä kuin mitä tahansa työvälinettä työtehtävien hoitamiseen. ü Sähköpostiviesti on dokumentti, josta voi olla kopioita monessa paikassa (mm. varmuuskopiot, sähköpostipalvelimet, työasemat) jota voidaan riittävän perusteenilmetessäkäyttääyhtenätodistusaineistona. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 12(22) ü Sähköpostia suojaa viestintäsalaisuus, mutta se ei sellaisenaan takaa tietojen salassapitoa. Salassa pidettävien tietojen lähettäminen salaamattomassa Internetsähköpostissaonkielletty. ü Sähköpostiviestien automaattinen edelleen lähetys sisäisestä ja/tai suojatusta sähköpostiympäristöstä suojattomaan (Internet) on kielletty. Tapauskohtainen edelleenlähetysonsallittuvaintilannekohtaisenharkinnanperusteella. ü Sähköpostin liitetiedostot ovat yleisimpiä virusten ja muiden haittaohjelmistojen leviämistapoja. ü Tuntemattomaltalähettäjältäsaadun,epätavallisestiotsikoiduntaimuutenoudon sähköpostiviestin liitetiedostoa avattaessa tulee noudattaa varovaisuutta. Ota tarvittaessayhteyttätekniseentukeenennenepäilyttävänliitetiedostonavaamista. ü Roskapostiviesteihineli”spamiin”eipidävastata. ü Ketjukirjeiden lähettäminen työnantajan laitteista sähköpostitse on kielletty. Ketjukirjeet ovat haittaohjelmien levittäjiä ja kuormittavat turhaan tietotekniikkaresursseja. ü Sähköpostitse kiertävät vitsit, adressit tms. sisältävät vaaran sähköpostiosoitteen joutumisesta ns. spam-listalle, koska ihmiseltä toiselle siirtyvien viestien mukana kulkeesuurimääräsähköpostiosoitteita. Sähköpostitse saapuneet viranomaisen asiakirjat on kirjattava. Jos viesti sisältää asian, jota todennäköisesti tullaan käsittelemään myöhemmin eri hallintoelimissä, toimita viesti organisaatiossasihenkilölle,jokahoitaaasiankirjaamisendiaariin. Loma-ajatjapidemmätpoissaolot Työtehtävien katkottoman hoitamisen vuoksi työntekijällä on velvollisuus käyttää sähköpostijärjestelmän automaattista vastaustoimintoa ilmoittaakseen poissaolostaan, sen kestostajasiitäkukahoitaahänentehtäviäänpoissaolonaikana. Liitetiedostot Vältä liitetiedostojen käyttöä jos se on mahdollista. Usein pelkkää tekstiä sisältävän liitetiedostonsisällönvoikopioidasähköpostinviestiosaan.JosWordillatehtyliitetiedostoei sisälläkuvia,lähetätiedostovastaanottajallertf–muodossa.Tällöinsinuneitarvitsevälittää siitä,mikätekstinkäsittelyohjelmavastaanottajallaon.Tiedostontallentaminenrtf–muotoon: 1. ValitseWordissaTiedosto–Tallennanimellä 2. ValitseTallennusmuoto–kohdassa’Word-asiakirja’–tekstinpaikalleRTF 3. Annatiedostollenimijatallennanormaalisti Toinen tapa dokumenttien lähettämiseen on PDF-muoto. PDF-muotoon voidaan tallentaa tekstidokumentteja(Word-asiakirjoja),esityksiä(PowerPoint)taitaulukoita(Excel). Useimmissa postijärjestelmissä on määritelty välitettävien sähköpostien maksimikoko. Vastaanottajalta kannattaa tarkistaa, minkä suuruisia liitetiedostoja heidän postijärjestelmänsä voi ottaa vastaan. Tiedoston koon voi tarkistaa esimerkiksi resurssienhallinnassa. Mikäli on tarve lähettää/vastaanottaa sähköisessä muodossa suurempiakokonaisuuksia,kannattaaharkitavaihtoehtoina: Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 13(22) 1. Tiedostojen pakkaaminen esim. WinZip:llä ja pienentää näin lähetettävän viestin kokoa. 2. TiedostojenpolttaminenCD-ROMillejalähettäminentavallisenapostina. 3. Tiedostojensiirtäminenftp:llä. 4. Viestin paloitteleminen useampaan viestiin, jolloin yksittäisen viestin koko pienenee. Sähköpostintietoturva Sähköpostin lähettäminen kunnan henkilöstön sisäisesti on suhteellisen turvallista, koska sähköpostijärjestelmämme salaa automaattisesti kaikki sanomat. Sen sijaan ulkoisiin osoitteisiin lähetettävä posti on selväkielistä, jolloin tietoturvan säilyminen edellyttäisi viestien salaamista ja digitaalista allekirjoitusta. Tätä mahdollisuutta meillä ei vielä ole käytössä. Tavallisen, suojaamattoman sähköpostin käyttö on rajattava vain niiden viestien välittämiseen, jotka soveltuvat sen käyttöön. Koska suojaamattoman sähköpostin tietoturva on tavallisen postikortin luokkaa, mitään salassa pidettävää tietoa ei saa lähettää suojaamattomansähköpostinvälityksellä. Kunkäytössäonsuojattusähköpostijasähköinenallekirjoitus,voidaansitäkäyttäävirallisten asiapapereidenvälitykseen.Potilasasiakirjojensiirtoajayksiköidenvälistäkonsultointia varten on olemassa oma tietoturvallinen ohjelmisto, potilastietojärjestelmän viestinvälitys. Sähköpostin tietoturvaohjeita Ø Varmista lähettäjän aitous, jos vähänkin epäilet sitä. Sähköpostin lähettäjätieto on helppoväärentää,jolloinlähettäjästäeivoiollatäysinvarma.Vastaavastikukatahansa voilähettääviestinnimissäsi. Ø Älä koskaan avaa tuntemattomalta lähettäjältä tullutta liitetiedostoa tai viestissä olevaawww-linkkiä. Ø Älälähetäketjukirjeitäeteenpäin. Ø Pyydätärkeistäviesteistäkuittausvastaanottajalta. Roskaposti Roskapostilla tarkoitetaan sähköpostiin tulevia mainoksia, joita vastaanottaja ei ole tilannut eikä niiden lähettämiseenolekysytty lupaa.Mainostettavattuotteetjapalvelutovatyleensä epämääräisiätailaittomia.Roskapostionhaitallista,koskasetuhlaaaikaajalevytilaa. PTTK Oy:llä on käytössä roskapostien suodatusjärjestelmä, joka poistaa automaattisesti suurimmanosanroskaposteista.Jossaatsuodatuksestahuolimattaroskapostia,poistaviestit välittömästi. Älä koskaan vastaa roskapostiviestiin, vaikka siinä olisi linkki, johon ilmoittamalla pääset pois jakelulistalta. Outlook- ja Outlook Web Access – sähköpostiohjelmissaonroskapostinkäsittelyynjoitakintoimintoja,joillavoitmääritellämitä roskapostiksitulkituilleviesteilletehdään. Jos epäillään, että jokin viesti on jäänyt saamatta, kannattaa siitä laittaa palvelupyyntö ServiceDeskiin ja sisällyttää siihen milloin(pvm+klo) ja mistä(lähettäjänspostiosoite) kyseisenviestinolisipitänyttulla. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 14(22) Työnantajanoikeuslukeatyöntekijänsähköpostia Perustuslain10.2§:nmukaankirjeen,puhelunjamuunluottamuksellisenviestinsalaisuuson loukkaamaton. Työnantajan tarjoamaan sähköpostiosoitteeseen voi kuitenkin tulla sekä luottamuksellisia viestejä että julkisuuslain 5.2 §:ssä määriteltyjä viranomaisen asiakirjoja, jotkaovatpääsääntöisestijulkisia. Viestintäsalaisuus koskee myös sähköpostiviestejä. Työnantajalla ei ole oikeutta lukea työntekijän sähköpostia, jos työnantaja ja työntekijä eivät ole yhteisesti asiasta sopineet. Työntekijävoiantaasuostumuksensasiihen,ettätyöntekijänpoissaollessatämänvalitsema ja työnantajan tehtäväänhyväksymä toinenhenkilövoiottaavastaantyöntekijällelähetetyt viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai työtehtävienasianmukaisenjärjestämisenvuoksivälttämätöntäsaadatieto. Jos työnantaja tai hänen tähän tehtävään osoittama henkilö tällaisessa tilanteessa saa tietoonsamyösmuitakuintyöasioihinliittyviäluottamuksellisiaviestejä,eihänsaailmaista tai käyttää hyväksi tietoa viestin sisällöstä tai sen olemassaolosta, eikä käsitellä työntekijän henkilötietoja yksityisyyttä vaarantavasti. Työnantajan oikeudesta lukea työntekijälle tulleitasähköpostejasovitaanainaerilliselläsopimuksella. Virkasähköpostia voi olla mahdotonta erottaa henkilökohtaisesta viestinnästä. Jotta yksityisviestitsäilyisivätyksityisinä,suositellaanviestinnässäkäytettäväksiseuraaviaohjeita: 1. Tee sähköpostiisi oma kansio henkilökohtaisille viesteille ja nimeä se selvästi esim. ’Henkilökohtainen’tai’Omatviestit’ 2. Poista yksityiset viestit heti lukemisen jälkeen tai siirrä säilytettävät viestit omaan selvästinimettyynkansioon 3. Lisäälähetettävänyksityisenviestinotsikkoonteksti”HENKILÖKOHTAINEN” Toimenpiteettyösuhteenpäättyessä Sähköpostin käyttöoikeus päättyy työsuhteen päättyessä ja sähköpostitili suljetaan. Ennen työsuhteen päättymistä työntekijän tulee poistaa kaikki henkilökohtaiset viestinsä ja sopia esimiehensäkanssavaltakirjantekemisestäjäljellejääneidentyönantajallekuuluvienviestien hakemisestajaavaamisestatarvittaessa. Jostyöntekijälopettaatyönteonennentyösuhteenpäättymistä(esim.lomanvuoksi),täytyy hänen lisäksi laittaa sähköpostitililleen automaattivastaus ilmoittaakseen viestintäkumppaneilleen, ettei sähköpostiosoite ole enää voimassa työsuhteen päättymispäivämääränjälkeen. Työnantajalla on tämän jälkeen oikeus päättää tuhotaanko suljetun sähköpostitilin sisältö kokonaanvaihaetaankosisällöstäjoitaintyöantajantoiminnalletärkeitäviestejätyöntekijän antaman valtakirjan ja lain yksityisyyden suojasta työelämässä 13.8.2004/759 (759/2004) luvun6määrittelemienkäytäntöjenmukaan. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 15(22) Etätyö Etätyöskentelystä on aina sovittava työnantajan kanssa erillisellä kirjallisella etätyösopimuksella. Kun työnantaja ja työtehtäväsi antavat sinulle mahdollisuuden työskennelläkotona(taimuuallakuinnormaalissatoimipisteessä),huomioiseuraavatasiat: ü Älä missään tilanteessa luovuta tunnistautumistietojasi kenenkään muun käyttöön, äläkäjätäniitämuidensaataville. ü Käytä vain työnantajan tarkoitusta varten osoittamaa laitteistoa. Oman laitteiston käytöstäonainasovittavaerikseen. ü Käytä etätyössä ainoastaan sovittuja tietoliikennetapoja ja varmista, että sovitut salaus-jasuojausmenettelytovatkäytössä. ü Varmista,ettämuuteivätpääsekäyttämäänpäätelaitteitasi. ü Huolehdi etteivät muut perheenjäsenet tai vieraasi pääse salassa pidettäviin asioihin käsiksitaikuule luottamuksellisiakeskustelujapuhelimessa.Varmistu,että sivulliset, kutenperheenjäsenesi,eivätsaaotetuksiyhteyttätietojärjestelmiin. ü Käsittele etätyössä ainoastaan sellaista tietoaineistoa, jonka salaisuusaste vastaa käyttämääsi työskentely-ympäristöä, tarvittaessa käytä tiedostojen salausta. Älä tallennatyöasemankovalevyllemitäänsalassapidettäväätietoa. ü Huolehdityöasemasi (tai muunpäätelaitteen)tietoturvasta.Laitteistoaeisaakäyttää siten, että sen turvallisuus vaarantuu esimerkiksi pelien, ohjelmien lataamisen tai epäluotettavien Internet – sivujen selaamisen vuoksi. Opettele tietoturvan kannalta tärkeidenohjelmienpäivittäminenjakäyttö. ü Älämuutataipoistakäytöstäsuojausohjelmia. ü Huolehdi, että tiedät miten toimit erilaisissa ongelmatilanteissa. Todennäköisiä tilanteita ovat tietoliikenneyhteyden ongelmat sekä laitteiden ja tietoaineiston varastaminentaikatoaminen. ü Huolehdi,ettätyövälineesijatietosiovatturvassamyöskuljetuksenaikana. ü Huolehdi työnteossa käyttämiesi puhelinten ja mobiililaitteiden turvallisuudesta. Älä säilytäniissäylimääräistätietoajakäytätiedonsalausta. ü Vie toimistotilojen ulkopuolelle vain työn suorittamisen kannalta välttämätöntä materiaalia(asiakirjat,tallenteet,laitteet)japalautanemahdollisimmanpian. ü Huolehditietoaineistosivarmuuskopioinnistajavirustarkastuksista. ü Vältä salassa pidettävien tietojen tulostamista paperille ja tallentamista siirrettäville muistivälineille. ü Jostulostatjatallennat,huolehditiedonasianmukaisestakäsittelystäjahävittämisestä. Tuosalassapidettävämateriaalihävitettäväksiomaantyöyksikkösiarkistovastaavalle. ü Asiakirjojaeisaakäsitellä,säilyttääeikähävittääniin,ettänevoivatjoutuasivullisten käsiin. ü Lukitseaineistojensäilytyspaikkaniinettätiedoteivätoleasiattomienkäytössä. ü Mikäli etätyöntekijä epäilee luottamuksellisen tai salaiseksi luokitellun tiedon tai siihenpääsyynoikeuttavientunnistetietojenjoutuneentaipaljastuneenulkopuolisille, tulee etätyöntekijän ilmoittaa tästä välittömästi lähimmälle esimiehelleen. Tätä menettelyänoudatetaanmyös,mikälitietoja,laitteitataiohjelmistojaonvarastettutai niitäonkadonnut. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 16(22) Työhakemistot Jokaisella kunnan työntekijällä on oma työhakemisto, jonka saa käyttöönsä MADympäristössä. Tällä tarkoitetaan verkossa olevaa nimettyä kansiota, johon yhteys aukeaa automaattisestikirjauduttaessaverkkoonomallakäyttäjätunnuksellajasalasanalla. Kansioontarkoitettutyössätarvittavientietojentallennukseen.Kansiooneikuitenkaanpidä tallentaamitäänsuuriatiedostoja(useampiGt),koskakansionkäyttötilaonrajoitettu. Verkossa olevat kansiot varmuuskopioidaan tietyin väliajoin, millä varmistetaan tiedon pysyvyys ja käytettävyys. Esimerkiksi työpöydälle tallennetut tiedostot voivat muuttua käyttökelvottomiksitietokoneenkiintolevynrikkoutuessa. Älä tallenna työasemasi tai kannettavasi kiintolevyille mitään sellaista tietoa, jonka joutuminen ulkopuolisten käsiin on vahingollista tai jonka häviäminen aiheuttaa vahinkoa. Verkkokansioon tallennettu tieto ei joudu ulkopuolisten käsiin, mikäli esim. kannettava tietokonevarastetaan. Verkkolevyvarmistaamyösautomaattisestisinnetallennetuntiedonvirustenvaralta. Toimenpiteettyösuhteenpäättyessä Käyttöoikeuden päättyminen Käyttöoikeustietojärjestelmäänpäättyykun, ü henkilöeienääkuuluorganisaatioon, ü määräaikaiseksimyönnettykäyttöoikeusvanheneetai ü henkilön rooli muuttuu siten, ettei tietojärjestelmän käyttöoikeudelle enää ole perustetta. Käyttäjätunnussuljetaan,kun ü käyttöoikeus,johonliittyenseonannettu,loppuu ü silleeienääoletarvetta ü onperusteltuepäilysenväärinkäytöstätaitietoturvallisuudenvaarantumisesta Tietojenkäsittelykäyttöoikeudenpäätyessä: ü Työntekijän tulee siirtää, tarvittavissa määrin työtehtävien jatkamiksi, työhön liittyneetviestitjatiedostotesimiehenkanssasovitullehenkilölle. ü Henkilön tulee poistaa henkilökohtaiset sähköpostinsa ja tiedostonsa ennen tietojärjestelmänkäyttöoikeudenloppumista. ü Henkilön tulee poistaa organisaation kotikäyttöön tarjoamat ohjelmistot palvelussuhteenpäättyessä,elleiohjelmistonlisenssiehdoissatoisinmainita. ü Kolmannen osapuolen (esim. toimittajan edustajan) tulee siirtää tai tuhotahankkeen toteuttamiseksi annettuun käyttäjätunnukseen liittyvät tiedot hankkeesta solmitun sopimuksenmukaisesti. ü Henkilöntiedostotjapostilaatikkopoistetaankolmenkuukaudenkuluttuatunnuksen käytön/käyttöoikeudenloppumisesta. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 17(22) Siirrettävättietovälineet Yleisenä periaatteena on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle. Kuitenkinontilanteita,jolloinmm.sähköisessämuodossaoleviatyötiedostojatarvitaanesim. koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan seuraaviaperiaatteita: ü CD/DVD –levyjä tai USB-muistitikkuja käytettäessä varmistutaan, ettei tietoväline tai sensisältämätietojouduulkopuolistentahojenhaltuun. ü Lisäksi USB-muistia käytettäessä tikulla oleva tieto salataan käyttämällä joko tikun omaasalaustataierillistäsalausohjelmaa. ü JosUSB-tikunmukanaeitulesalausominaisuutta,saaerillisensalausohjelmanjasiihen liittyvänkäyttökoulutuksenpyydettäessäPTTKOy:nServiceDeskistä. ü Jokainenkunnantyöntekijävastaakäyttämiensämedioidentietoturvasta. ü Jos löydät kunnan tiloista (tai mistä vain) USB-muistitikun tai CD/DVD-levyn, jonka käyttäjää tai alkuperää et tiedä, älä liitä sitä kunnan työasemaan (haittaohjelmien riski).Alkuperältääntuntematontietovälinekannattaaviedätuhottaviensäiliöön. CD/DVD-levyjen ja levykkeiden hävitys Kontiolahden kunnalla on paperimuotoisen aineiston turvallista hävittämistä koskevan sopimuksen lisäksi myös CD/DVD:itä ja levykkeitä koskeva sopimus. Hävitettäväksi tarkoitetutCD:t,DVD:tjalevykkeettoimitetaanasianhallintasihteerille. USB-muistitikkujen hävitys SalatutUSB-tikutvoidaanhävittääpoistamallaniistäensintiedotformatoimalla(alustamalla) tikkunormaalistiPTTKOy:ntoimesta. Jos käytössä on salaamattomia USB-tikkuja, jotka halutaan poistaa käytöstä, ne ensin formatoidaan ja toimitetaan sen jälkeen asianhallintasihteerille. Samoin toimitaan rikkoutuneidenUSB-tikkujenkanssa. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 18(22) Työpuhelin Puhelinkäyttäytyminen ü Älä puhu luottamuksellisista/salassa pidettävistä asioista asiaankuulumattomien kuullen,esim.kerrosalasanojalinja-autossamatkallatöihin. ü Puheluasi voidaan aina kuunnella, oli kyseessä sitten lankapuhelin tai matkapuhelin. Luottamuksellisiaasioitaeikannatapuhuapuhelimessa. ü Puhelintavoidaankuunnellanykytekniikallajopailmansim-korttia. ü Tekstiviestin suojaus on heikko, siinä ei kannata lähettää luottamuksellista tietoa. Tekstiviestiä lähettäessäsi varmistu vastaanottajan numerosta, ettei tieto mene väärälleihmiselle. ü Puhelimetontarkoitettutyötehtävienhoitamiseen. ü Ostostentekomatkapuhelimellaonkielletty. ü Numerotiedusteluaeisaakäyttääpuhelujenyhdistämiseen. ü Puhelimen katoamis- tai varkaustapauksessa välittömästi soitto Elisan asiakaspalveluun liittymän tilapäistä sulkua varten. Tämän jälkeen mahdollinen rikosilmoitus. Rikosilmoitukseen ja puhelimen verkosta sulkemista varten tarvitaan puhelimen IMEI-koodi. Koodi löytyy puhelimen akun alta, myyntipakkauksesta tai näppäilemälläpuhelimeen*#06#. Puhelimen tietoturva Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim. puhelimenkadotessatodellistatietoturvauhkaa. ü Työtiedostojen ja salasanojen tallentaminen salaamatta puhelimeen tai siinä olevaan erilliseenmuistikorttiineiolesallittu. ü Suojaa puhelin suojakoodilla. Jos mahdollista, käytä automaattista lukitusta, kun olet käyttämättäpuhelintatietynaikaa. ü Suojaapuhelimessaolevamuistikorttisalasanalla. ü Puhelimesi on kytketty etähallintajärjestelmään, jolla voidaan lukita tai tyhjentää puhelintarvittaessaetänä(eikoskeperuspuhelimia). ü Jos puhelimesi katoaa tai varastetaan, ota välittömästi yhteyttä puhelinasioista vastaaviinhenkilöihinpuhelimentietojentyhjentämiseksi. PTTKOy:npuhelinasioistavastaavienyhteystiedot: MiikaReijonen LassiTurunen HenriSainio [email protected] [email protected] [email protected] 0133390107 0133390133 0133390689 Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 19(22) Sosiaalinenhakkerointi Tietojenuteleminenonyleinentiedustelutapa.Henkilösaattaaesittääpuhelimitsejoukon merkityksettömiltätuntuviakysymyksiä.Kunnäitäkysymyksiätehdäänriittävänusealle henkilölleorganisaatiossa,välittyykysyjälleyleiskuvaorganisaationtoiminnasta,jasen heikoistakohdista. Joskunnanhenkilöstöönkuuluvaltatyöntekijältäkysytäänhänentyötavoistaantaikunnan turvallisuusasioista,kyseisentyöntekijänonpyydettäväkyselijäälähettämäänkysymykset kirjallisenayhteystietojenkanssajailmoitettavatapahtuneestavälittömästilähimmälle esimiehellejakunnantietoturvastavastaavallehenkilölle,jotkatekevätpäätökset jatkotoimenpiteistä. Näintoimitaanetenkin,jos: -kysyjääeitunnetataihänenhenkilöllisyydestääneivoidaollavarmoja -työntekijäeivoivakuuttuahänelleesitettyjenkysymystentarkoitusperästä. Ulkoistettujentietojenkäsittelytoimintojenturvallisuus Ulkoistamisenedellytyksenäonkunnantietoturvavaatimuksistajohdettujenmenettelyjen ulottaminenulkoistettujenpalvelujentoimittajaan.Vaatimuksetjatavoitteetonsovittava ulkoistamisprosessinalussajaneonkirjattavatehtäväänpalvelusopimukseen. Toimintojenjapalvelujenulkoistaminenedellyttääorganisaationjatoimittajanvälisten velvoitteidenjakoa,tehtävämäärittelyäjasuunnitelmaa,jottahaluttutietoturvallisuudentaso voidaansaavuttaajasäilyttääkokoulkoistamisprosessinajan. Kokonaisvastuutoiminnoistasäilyyorganisaatiolla,vaikkapalveluntoimittajavastaa organisaatiolletuottamistaanpalveluista.Palvelujenyhteydessäonsiisniidensisällöstä riippuentarkistettavatietoturvatarpeetjalaadittavatarvittaessasalassapito-tai turvallisuussopimus.Samakoskeelaite-jajärjestelmähankintoja. Kontiolahdenkunta Tietoturvahankintojenyhteydessä Tietoturvakäsikirja 27.1.2015 20(22) Hankintojenyhteydessävoiollatarvettasolmiaerillinenturvallisuussopimus.Siinä määritetäänmm.sopimusosapuolienkeskenjaettavientietojensuojausperiaatteetja salassapitoajat.Sopimuksillapyritäänestämääntietovuotojaja-varkauksiatoimitusten yhteydessätainiidenjälkeensekävarmistamaan,ettätoimitusvastaakunnan tietoturvapolitiikkaa.Toimittajastatehdäänturvallisuusselvitysriippuenhankkeentai palvelunkriittisyydestä. Palvelukokonaisuuden,tietoteknisenlaitteentaitietojärjestelmänhankintaanliittyytuotteen tietoturvavaatimustenmäärittelyjatietoturvaominaisuuksienarviointi.Keskeiset vaatimuksetmääritelläänjaesitetäänselkeästijotarjouspyyntövaiheessajatietoturvatekijät sisällytetääntarjouksenvertailu-javalintaperusteisiin.Tietoturvavaatimustentoteutuminen voiollahankinnanehdotonedellytys. Hankintojenyhteydessätarkasteltaviatekijöitäovat: · turvallisuusvaatimuksetpalveluille · järjestelmähallinta, ohjelmistojen tarjoamat turvallisuusominaisuudet ja valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja kiistämättömyys · riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden luominen · palvelu-,huolto-,laite-jaohjelmistotoimittajienosaaminenjavoimavarat · nopeanhuollonjavaraosapalvelujenvarmistaminen · varalaitteidensaatavuudenvarmistaminensopimuksissa. · Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja tukipalveluyrityksenmahdollisuudettoimituksiinmyöspoikkeusoloissa. Tietojärjestelmähankkeiden yhteydessä varmistetaan tietoturvan sisällyttäminen hankkeeseen ja uuteen tietojärjestelmään. Tietoturva liittyy tietojärjestelmän muutoksiin ja kehittymiseen tietojärjestelmän koko elinkaaren ajan. Myös järjestelmän teknisten ja hallinnollistenrajapintojenturvallisuusvarmistetaan. Hankkeen alussa tehtävällä riskien arvioinnilla suunnataan tietoturvatoimenpiteet kehitystyön kohteena olevan järjestelmän luonteen mukaisesti. Tietojärjestelmän esitutkimusvaiheessamääritellääntärkeysluokitus,turvallisuustarpeetja-tasosekäasetetaan tietoturvavaatimukset. Tietojärjestelmän testaus suunnitellaan sekä hallinnolliselta että tekniseltä kannalta. Testit voivat kohdistua joko kertaluonteisesti osaan tai koko järjestelmään tai säännöllisesti tuotantoympäristöön, jolloin voidaan testata vähitellen järjestelmässä tapahtuvia pieniäkin muutoksia. Hallinnollisia tietoturvatarkastuksia ovat erilaiset vaatimusmäärittely- ja suunnitelmakatselmoinnit sekä ratkaisujen varmentamiset tietoturva-asiantuntijoita käyttäen. Teknisiä tarkastuksia ovat katselmoinnit erityisesti ohjelmistojen tai järjestelmien kriittisiintoimintoihinliittyen. Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 21(22) Virusepäily Kunnalla on käytössä Microsoft System Center Endpoint Protection tietoturvaohjelmisto. Ohjelma asennetaan työasemille siten, että se päivittää uusimmat viruskuvaukset verkosta automaattisesti.Ohjelmaaeisaaottaapoiskäytöstä. Onsyytäepäillävirusta,jostyöasemassasi: 1.esiintyyylimääräisiäääniefektejä 2.näytölleilmestyytunnistamattomiaviestejä 3.levytilaloppuuäkkiä 4.ohjelmienkäyttöhidastuuoleellisestitaiestyykokonaan 5.tallennetuttiedostotmuuttuvattaikatoavat 6.asiakirjamuuttuukäytönaikana Jostorjuntaohjelmahavaitseetyöasemassasiviruksen,toimiseuraavasti: 1.Tarkistamitätietoanäyttööntulee: ü Jostorjuntaohjelmailmoittaalöytyneestäviruksestajatarjoaamahdollisuudenpoistaa virus,toiminäytölläolevienohjeidenmukaan.Tarkistatoimenpiteenjälkeentulevasta raportista, onko virus todellakin poistunut. Jos torjuntaohjelma poisti viruksen, voit sulkearaportinjajatkaatyötäsi. ü Jos torjuntaohjelma ilmoittaa löytäneensä viruksen, mutta ei pysty sitä poistamaan, irrota työ-asemasi verkosta muttaäläsuljetyöasemaa.Työasemairrotetaanverkosta ottamallaverkko-kaapeliirtijokoverkkokortistakeskusyksikössätaiseinärasiasta. 2.Kirjaaylöshavaintosijaongelmaaedeltäneettoimenpiteet 3.IlmoitaasiastaServiceDeskiinpuh.0133390700/[email protected] 4.Ilmoitakaikille,jotkaovatvoineetsaadaviruksensinulta Viruksiltasuojautuminen Käytätyöasemassasivainluotettavistalähteistähankittujaohjelmia. Vältäsähköpostissaliitetiedostojenkäyttöä,josseonmahdollista. Käytäliitetiedostoissartfjatxt–tallennusmuotoja. Äläasennaverkostailmaiseksisaatavianäytönsäästäjiätaiapuohjelmia. Älä liitä kunnan työasemaan löytämääsi USB-muistia tai muuta tietovälinettä, jonka käyttäjäätaialkuperääettiedä(virus-jahaittaohjelmienriski). ü Vältäsurffailuaepämääräisilläwww-sivuilla. ü ü ü ü ü Kontiolahdenkunta Tietoturvakäsikirja 27.1.2015 22(22) Tietoturvanseuranta Kunnan tietoturvavastaavan (talousjohtaja) tehtävänä on tarvittaessa vuosittain koostaa tiedot toteutuneista tietoturvatoimista ja tietoturvan muutoksista sekä niiden perusteella esitellä kunnan johdolle kuvaus tietoturvan tilasta. Seurannalla pyritään selvittämään ja mittaamaan,missämäärintietoturvatoimillasaavutetaanhaluttuvaikutus. Tietoturvaongelmista (esimerkiksi hyökkäysepäilyt) tulee ilmoittaa välittömästi esimiehelle ja kunnan tietoturvavastaavalle. Merkittävistä tietoturvarikkomuksista ja niiden epäilyistä tuleetietoturvavastaavanraportoidaylimmällejohdolle. Havaittaessa vakava tietoturvaongelma, siitä laitetaan välittömästi tieto kunnan ICTtyöryhmälle, johdolle sekä tietoturvavastaavalle. Näiden kaltaisiin tapahtumiin varaudutaan varautumissuunnitelmassa,jossaonkuvattumm.käynnistettävätvastatoimenpiteet.