Käyttäjän tietoturvakäsikirja

Transcription

Käyttäjän tietoturvakäsikirja
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
1(22)
KONTIOLAHDEN
KUNTA
Käyttäjän tietoturvakäsikirja
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
2(22)
Sisällysluettelo
Tietoturvanhuoneentaulu.............................................................................................................................................4
Käyttäjänkäsikirjaperustuukunnanhallituksenhyväksymääntietoturvapolitiikkaanja–
suunnitelmaan.....................................................................................................................................................................5
Järjestelmienjatietoliikenneverkonkäytönsäännöt.......................................................................................5
Tietosuojantoteuttaminenkunnassa..................................................................................................................5
Tietoaineistonluokittelu...........................................................................................................................................5
Tiedostojen,asiakirjojenjamuidentietovälineidensäilytys...................................................................5
Tietoaineistojenarkistointijasuojakopioidensäilytys.........................................................................6
Tarpeettomientietojenhävittäminenturvallisesti.................................................................................6
Tietojärjestelmienluokittelu...................................................................................................................................6
Ylläpitäjienhyvätkäytännöt:...................................................................................................................................7
Käyttäjänhyvätkäytännöt:......................................................................................................................................7
Väärinkäytöksetjaniidenseuraamukset..........................................................................................................7
Oikeusjärjestelmientietoihinjakäytöstäkerättäviintietoihin.............................................................7
Henkilöstöturvallisuus:..............................................................................................................................................8
OhjeInternetinjasähköpostinkäytöstä.................................................................................................................9
Internetinkäyttö............................................................................................................................................................9
Yleistä.............................................................................................................................................................................9
Kielletyttairajoitetutsovelluksetjapalvelutsekäsosiaalinenmedia..........................................9
Käyttösäännöt.........................................................................................................................................................10
Käyttöohjeet............................................................................................................................................................10
Sähköpostinkäyttöohjeistus.................................................................................................................................11
Loma-ajatjapidemmätpoissaolot................................................................................................................12
Liitetiedostot...........................................................................................................................................................12
Sähköpostintietoturva.......................................................................................................................................13
Roskaposti................................................................................................................................................................13
Toimenpiteettyösuhteenpäättyessä..........................................................................................................14
Etätyö....................................................................................................................................................................................15
Työhakemistot..................................................................................................................................................................16
Toimenpiteettyösuhteenpäättyessä...............................................................................................................16
Siirrettävättietovälineet..............................................................................................................................................17
Työpuhelin..........................................................................................................................................................................18
Sosiaalinenhakkerointi................................................................................................................................................19
Ulkoistettujentietojenkäsittelytoimintojenturvallisuus............................................................................19
Tietoturvahankintojenyhteydessä........................................................................................................................20
Virusepäily..........................................................................................................................................................................21
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
3(22)
Viruksiltasuojautuminen.......................................................................................................................................21
Tietoturvanseuranta.....................................................................................................................................................22
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
4(22)
Tietoturvanhuoneentaulu
ü Tueosaltasikunnankulunvalvontaa;käytäkunnantoimitiloissajaasiakkaidenluonakuvallista
henkilökorttiasi(mikälisinullasellainenon).
ü Jos tapaat tuntemattoman henkilön kunnan toimitiloissa, selvitä kohteliaasti (esim.
opastustatarjoamalla)milläasiallahenkilötiloissammeliikkuu.
ü Työasemankäyttäjänävastaatitsetyöasemasiturvallisuudesta.
ü Käytä työasemaa ja siihen liittyviä laitteita, ohjelmia ja tietoja vain työtehtäviesi
edellyttämiinjaesimiehesihyväksymiintarkoituksiin.
ü Äläluovutatyöasemasihallintaakenellekääntuntemattomallehenkilölle.
ü Käyttäjätunnuksesionhenkilökohtainen.Äläkerrosalasanaasikenellekään.
ü Salasanantuleetietoturvankannaltasisältäävähintään8merkkiä.Valitsesalasanaksi
sellainenjonkamuistat.
ü Vaihda salasanasi riittävän usein ja heti kun epäilet sen paljastuneen. Älä koskaan
kirjoita salasanaasi paperille. Mikäli joudut näin kuitenkin tekemään, älä säilytä
salasanaanäppäimistönallataityöpöytäsiylälaatikossa.
ü Älä käytä työpaikan käyttäjätunnusta ja salasanaa rekisteröityessäsi Internetin
palveluihin.
ü Poistuessasityöpisteeltälukitsetyöasemasi.
ü Muistakannettavientietokoneidenpoikkeuksellisenkorkeavarkausriski.Älätallenna
mitäänsalassapidettävääkannettavaasi!
ü Älä avaa tuntemattomista osoitteista/lähettäjiltä saapuneita sähköpostiviestejä, eikä
varsinkaannäidenliitetiedostoja.Äläavaamitäänexe-taibat–päätteisiäliitetiedostoja,
elletehdottomastitiedämitänesisältävät.
ü Käytä vain virustarkastusohjelmalla tarkastettuja ja salausohjelmalla salattuja USBtikkuja.
ü Käynnistätyöasemasisiten,ettäUSB-tikkueiolekiinnitettynäjaetteiCD-asemassaole
levyä.
ü Voit epäillä virustartuntaa, jos työasemassasi näytölle ilmestyy tunnistamattomia
viestejä, levytilan loppuu äkillisesti, tallentamasi tiedostot muuttuvat tai katoavat,
ohjelmistonkäyttöhidastuuoleellisestitaiestyykokonaan.
ü Jos epäilet virustartuntaa, tee seuraavaa: jos virustorjuntaohjelma tarjoaa
mahdollisuuden viruksen poistoon, suorita kyseinen toimenpide ja varmistu
toimenpiteentuloksista.Etenetorjuntaohjeidenmukaan.
ü Jos torjuntaohjelma ei kykene poistamaan virusta älä sammuta konetta vaan tee
seuraavaa: irrota työasemasi verkosta (eli ota atk-verkkokaapeli irti työasemasta),
tarkistajakirjaaylösmitätietojanäytöllekirjautuujaraportoitapahtumastaatk-tuelle
ja tietoturvavastaavalle. Jos epäilet tartuttaneesi viruksen toisten työasemiin tai
lähettäneesiviruksensisältävääpostia,varoitaheitäsiitä.
ü ServiceDesk0133390700/[email protected]
Kontiolahdenkunta
5(22)
Tietoturvakäsikirja
27.1.2015
Käyttäjänkäsikirjaperustuukunnanhallituksenhyväksymään
tietoturvapolitiikkaanja–suunnitelmaan
Tämäkäyttäjänkäsikirjapohjautuukunnanhallituksenhyväksymääntietoturvapolitiikkaanja
–suunnitelmaan. Tietoturvapolitiikka on julkinen asiakirja. Tietoturvasuunnitelma on
salainen asiakirja. Käyttäjän käsikirja käsitellään henkilöstöasiain työryhmässä ja
yhteistyötoimikunnassajasenhyväksyykunnanhallitus.
Järjestelmienjatietoliikenneverkonkäytönsäännöt
Hyvien työskentelyolojen takaamiseksi on tarpeen noudattaa seuraavia yhteisesti sovittuja
sääntöjä, joiden tarkoituksena on määritellä järjestelmien käyttäjille ja ylläpitäjille heidän
oikeutensajavelvollisuutensa.
Säännötperustuvatseuraaviinyleisperiaatteisiin:
ü Kaikillaonmahdollisuusasialliseenkäyttöön.
ü Muilleeisaaaiheuttaahaittaa.
ü Yksityisyydensuojaapitääkunnioittaa.
Tietosuojantoteuttaminenkunnassa
Dokumentti kuvaa ne menetelmät ja toimintatavat mitenkä tietojen käsittelyä Kontiolahden
kunnassavalvotaan,sekäseuraamuksetmahdollisistatietoturvarikkomuksista.
Tietoaineistonluokittelu
Tietoaineisto voidaan jakaa julkiseen tai salassa pidettävään tietoon. Salassa pidettävä tieto
onjokokokonaantaiosittainsalassapidettävää.
Tietoturvatoimien oikean kohdistamisen vuoksi Kontiolahden kunnassa käsiteltävät tiedot
käydäänläpijaluokitellaantiedonohjaussuunnittelunyhteydessä.
Kunnaneriyksiköidenkäsittelemientietojenluovutuksestapäättävätne,joilleonmääritelty
asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon
tietojen luokitus sekä julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin
tietojenluovuttamiseenvaikuttaviensäädöstenjamääräystenasettamatehdot.
Tiedostojen,asiakirjojenjamuidentietovälineidensäilytys
Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot
tallennetaan verkkolevylle tai asianhallintajärjestelmään mahdollisuuksien mukaan
päivittäin.Paperidokumentitskannataansähköiseenmuotoonjatallennetaanasianhallintaan,
minkäjälkeenpaperiversiottarvittaessaarkistoidaan.
Tietoaineistojen asianhallintaan viemisen yhteydessä tehdään aineiston luokitus ja tämän
luokituksenperusteellavoidaanmääritelläko.aineistonkäsittely-jasäilytystavat.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
6(22)
MuuttietovälineetkutenCD/DVD:t,videokasetit,jne.luetteloidaanjaluokitellaanennenkuin
nelaitetaansopivaansäilytyspaikkaan.
Kontiolahdenkunnanhenkilökunnan omientiedostojentallennuspaikkanatoimivatjokaisen
työntekijän henkilökohtaiset työhakemistot, jotka sijaitsevat tähän käyttöön tarkoitetulla
verkkolevyllä.Työhakemistoihinliittyvätkäytännötonohjeistettutarkemmintässäohjeessa.
Tietoaineistojenarkistointijasuojakopioidensäilytys
Kunnan
toiminnan
yhteydessä
muodostuvat
tiedonohjaussuunnitelmienmukaisesti.
tietoaineistot
arkistoidaan
Tarpeettomientietojenhävittäminenturvallisesti
Tietoaineistojenluokittelunyhteydessämääritetäänko.aineistonsäilytysaika,jonkajälkeen
aineistonjasiihenliittyvänmuuntiedonvoipoistaakunnantietojärjestelmistä.
Tuhottavatpaperidokumentitlaitetaanniilleerikseenvarattuihinlukittuihinsäiliöihin,joiden
täyttyessä palvelua tarjoava turvayhtiö huolehtii säiliöiden noutamisesta ja dokumenttien
tuhoamisesta.
Kunnankäytöstäpoistuville/uuteenkäyttöönmenevientyöasemien,kiintolevyjenjamuiden
talletusmedioidentietojenhävittämiselleonluotuPTTKOy:npuolestakäytäntö,jotakunnassa
myös noudatetaan kautta linjan. Poistuvat tai uuteen käyttöön menevät työasemat sekä
kiintolevytkäsitelläänPTTKOy:ntoimestakäyttäenem.käytäntöjä.
Tietojärjestelmienluokittelu
Kontiolahden kunnassa käytettävät tietojärjestelmät luetteloidaan ja luokitellaan kunnan
toiminnankannaltatärkeysjärjestykseenriskianalyysinavulla.Järjestelmientärkeysluokkaan
vaikuttavia tekijöitä ovat muun muassa niiden sisältämän tiedon tärkeysluokitus ja kunkin
järjestelmänkäytettävyysvaatimukset.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
7(22)
Ylläpitäjienhyvätkäytännöt:
Käyttöoikeuksien määrittely ja oikeellisuus on esimiehen vastuulla. Nimetyt vastuuhenkilöt
huolehtivat järjestelmien ylläpidosta. Ylläpitäjät tiedottavat järjestelmiin tehtävistä
muutoksistajaniidenvaikutuksistasekäantavattarvittaessaopastusta.Ylläpitäjilläonoikeus
rajoittaajasäädelläjärjestelmienkäyttöävelvollisuuksiensahoitamiseksi.
Käyttäjänhyvätkäytännöt:
ü Käyttäjäntuleeainakäyttääomaanimeäänjaomaakäyttäjätunnustaan.Kukinkäyttäjä
vastaakaikestatunnuksellaantapahtuvastakäytöstä.
ü Työasioihin liittyvät ja niiden yhteydessä muodostuvat asiakirjat ja tiedostot
tallennetaanverkkolevylletaiasianhallintajärjestelmään.
ü Muutjärjestelmänkäyttäjätonotettavahuomioon.
ü Kaikillakäyttäjilläonvastuujärjestelmänkokonaisturvallisuudesta.
ü Järjestelmään pyrkiminen väärällä käyttäjätunnuksella sekä oman tunnuksen
valtuuksienylittäminentaiylityksenyrittäminenonkiellettyä.
ü Laitteiston ja systeemiohjelmiston muuttaminen on kiellettyä. Tämä koskee myös
yhteisessäkäytössäoleviayhdenkäyttäjänjärjestelmiä.
ü Kiintiöidenjamuidenkäyttörajoitustenkiertäminenonkiellettyä.
ü Tunnettujenja/taiuusienturvallisuusaukkojenetsiminenjakäyttäminenonkiellettyä.
ü Ohjelmien,ohjelmistojentaitiedostojenkopiointiluvattaonkiellettyä.
Väärinkäytöksetjaniidenseuraamukset
ü Käyttäjien tulee ottaa huomioon voimassa oleva lainsäädäntö. Mm.
henkilörekisterilaissa, rikoslaissa ja tekijänoikeuslaissa on atk:n käyttöä säänteleviä
määräyksiä.
ü Väärinkäytöksen laadusta riippuen käyttäjälle voidaan antaa varoitus, käyttöön
liittyviärajoituksiataimääräaikainenkäyttökielto.
ü Mikäliväärinkäytösonvakavajatekomuodostaarikoksen,asiavoidaanantaapoliisin
tutkittavaksi.
Oikeusjärjestelmientietoihinjakäytöstäkerättäviintietoihin
ü Kunta on järjestänyt tietojärjestelmät henkilöstön käyttöön kunnan toimintaan
kuuluvaatiedonvälitystävarten.NäinollenKontiolahdenkunnallaonoikeusmäärätä
henkilöilleannettujen,järjestelmienkäyttöönoikeuttavientunnustenkäytöstä.
ü Tietojärjestelmien tietoturvan valvonnan, tietojen varmistamisen ja toiminnan
kehittämisen sekä tietojärjestelmien hallinnan tarpeisiin niiden käytöstä voidaan
kerätä tietoja, jotka on kuvattu kyseisestä tietojärjestelmästä tehdyn selosteen
yhteydessä.
ü Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien
toiminnanylläpitämistävartenniidenvastuuhenkilöilläonoikeusvalvoajärjestelmien
käyttöä ja tarvittaessa päästä käsiksi järjestelmien sisältämiin viesteihin ja muihin
tietoihinsekälukea,kopioida,siirtääjatuhotaniitä.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
8(22)
ü Kunnalla on tekijänoikeus kaikkiin palvelusuhteessa tai siihen verrattavissa olevan
henkilöstönlaatimiin,tietojärjestelmissäoleviin,kunnantoimintaanliittyviintietoihin
javiesteihin.
ü Tietojärjestelmientietojenjaviestienkäyttö,kopiointijasiirtoonsallittuvainkunnan
toimintaanliittyvientehtävienhoitamiseksi.
ü Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä
kirjautuulokitietoja,joitakäytetäänainoastaantietoturvapoikkeamienselvityksessäja
niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien
selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia
tapahtumia,niistäraportoidaankunnantietoturvavastaavalle(talousjohtaja).
Henkilöstöturvallisuus:
ü Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle
tietoturvavastuutja–tehtävätonselkeästikuvattutoimenkuvissa
ü Työyksiköissä tulee olla riittävällä tasolla määritellyt prosessit, joissa kuvataan
työtehtävätniintarkasti,ettäavainhenkilöriskiensyntyminenvältetään.
ü Tehtävien vaativuudesta tai luottamuksellisuudesta riippuen rekrytoitavan henkilön
tausta,sopivuusjaosaaminenonselvitettäväennentyöhönottoa.
ü Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös
vaitiolositoumus,viranhaltijanosaltaasiahuomioidaanvirkamääräystäannettaessa.
ü Perehdytyksen yhteydessä tulee käydä läpi kunnan tietoturvapolitiikka
ohjeistuksineen.
ü Henkilökunnan tietoturvaosaaminen varmistetaan sähköisen koulutusympäristön
avulla(Granite)
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
9(22)
OhjeInternetinjasähköpostinkäytöstä
Internetinkäyttö
Yleistä
Internet-verkko on laaja “virtuaaliympäristö”, jossa pätevät lähtökohtaisesti normaalit
yhteiskunnan ja työympäristön säännöt. Työnantajalla ei ole velvollisuutta eikä
mahdollisuutta Internet-yhteyden avaamisen yhteydessä edeltä käsin tyhjentävästi joko
kieltää tai sallia kaikkia kyseenalaisia tai väärinkäytösmahdollisuuden sisältäviä sovelluksia
tai käyttötapoja. Tästä syystä käyttäjällä itsellään on vastuu noudattaa organisaation
tietoturvaohjeistusta, jotta Internetissä käytettävien palveluiden käyttö ei aiheuta
tietojenkäsittelylle
ja
kunnan
toiminnalle
ylimääräisiä
tietoturvariskejä.
Työnantaja tarkkailee jatkuvasti ulkopuolisia yhteyksiä palomuuriohjelmistolla sekä
erilaisilla virus- ja turvaohjelmistoilla, etteivät luvattomat tunkeilijat pääsisi sisään
järjestelmään. Kaikista ulkopuolisista yhteyksistä jää lokiin tiedot mahdollisia myöhempiä
selvityksiävarten.ValvonnassanoudatetaanSähköisenviestinnäntietosuojalakia(516/2004,
125/2009)jalakiayksityisyydensuojastatyöelämässä(759/2004).
Internet-yhteysontarkoitettutyötehtävienhoitamiseen.
Sallitutkäyttötarkoituksetovat:
ü informaationhankkiminentyötehtäviensuorittamiseksi
ü ammatillisensivistyksenkehittäminen
ü ammattiyhdistystoiminta
Sallittuayksityiskäyttöäovat:
ü henkilökohtainenpankkiasiointityötehtäviähaittaamatta
ü satunnainenviestintä,ilmoituksettms.jotkaovatesim.kiireellisiäjatyöläitähoitaa
muullatavoin
Verkon palveluiden ja sovellusten käyttäminen ei saa olla ristiriidassa organisaation
viestinnän,toiminnantarkoituksentaitietoturvallisuudenkanssa.
Kielletyttairajoitetutsovelluksetjapalvelutsekäsosiaalinenmedia
Seuraavien sovellusten käyttö ei ole sallittua niiden sisältämien erityisen korkeiden
tietoturvariskientaimuunhaitanvuoksi:
ü Musiikki-javideotiedostojenlataamiseentarkoitetutsovellukset
ü Vertaisverkkopalvelut(Kazaa,eDonkeysekävastaavat)
ü Automaattiset näytönsäästäjät, jotka kuluttavat työaseman resursseja omaan
toimintaansaesim.SETI@home(SearchfoExtraTerrestialIntelligence)
ü KeskusteluryhmätkutenIRCjaerilaisetchat-ryhmät
ü Uutisryhmä-palveluihin (News Groups) saavat osallistua ainoastaan erikseen
nimetythenkilöt.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
10(22)
ü Kaikki käyttötarkoitukseltaan haitalliset, hyvän tavan vastaiset tai työtehtävien
kanssaristiriidassaolevatpalvelut(esim.salauksenpurkujolainnojalla)
Sosiaaliseenmediaanliittyenkunnassaonlaadittusosiaalisenmediankäyttöpolitiikka,jonka
hyväksyykunnanjohtoryhmä.
Käyttösäännöt
Tekijänoikeussäännöt on huomioitava myös Internetistä peräisin olevan aineiston suhteen.
Samoinonsuhtauduttavavarauksinkaikenlaisenaineistonluotettavuuteenjaoikeellisuuteen.
Internetissä kuka tahansa voi julkaista mitä tahansa. Kuten muuallakin, kannattaa
lähtökohtaisestipitääluotettavanavainennestääntunnettujalähteitä.
Internetiä käytettäessä on toimittava niin, että haittaohjelmien pääsy sisäiseen verkkoon
estetään mahdollisimman pitkälle ennalta. Tunnetut ja luotettavat verkkopalvelut eivät
pääsääntöisesti sisällä haittaohjelmia. Epämääräisiä ja käyttötarkoitukseltaan työtehtävien
suorittamiseenliittymättömiäsivustojapitäämm.haittaohjelmavaarantakiavälttääjavaroa.
SeuraavillatoimenpiteillävoidaanInternet-uhkiahallitaperuskäyttäjätasolla:
ü Sisäisten tietojärjestelmien ja -verkkojen käyttöön tarkoitettua henkilökohtaista
käyttäjätunnusta ja salasanaa ei saa käyttää Internetissä oleviin palveluihin
rekisteröitymiseenkoskasevoitätäkauttapaljastuaulkopuoliselle.
ü Myös työnantajan sähköpostiosoitteen luovuttamisessa esim. Internet-palveluihin
rekisteröidyttäessä tulee olla varovainen. Osoite voi tätä kautta kulkeutua ns. eitoivottuunkaupalliseenviestintäänkäytetyille(spam)postituslistoille.
ü Työnantajan sähköpostiosoitteen saa luovuttaa vain sellaiseen Internet-palveluun
rekisteröidyttäessä,jollaonselkeäyhteystyötehtäviin.(vrt.SOME)
ü Internet-selaimentietoturva-asetuksiaeisaaheikentääilmantietohallinnonlupaa.
ü Ohjelmien lataaminen ja asentaminen Internetistä muun kuin tietohallinnon
toimestaonkielletty.
Käyttöohjeet
1. Internetinkäytöstäjääainajäljet.Kunsivuhaetaanselaimeen,siitäjäämerkintäwwwpalvelimen lokitiedostoon. Samoin merkintä käynnistäsi jää myös niille sivustoille,
joillakävit.KäytäInternetiätyöpaikallasivaintyöhösitarvittavantiedonhakemiseen.
2. Älä anna Internetissä nimeäsi, yhteystietojasi tai sähköpostiosoitettasi
ilmoitustauluille, keskusteluryhmiin tms. Henkilötiedot voivat päätyä ulkopuolisten
käyttöön ja niitä voidaan käyttää muihin tarkoituksiin kuin mihin olet ne antanut.
Ulkopuoliset voivat ottaa selvää verkossa liikkumisestasi ja luoda tämän perusteella
sinustaprofiileja,jonkajälkeenalatsaadasähköpostiisimainoksiajaroskapostia.
3. ÄläkoskaankäytätaiasennaInternetistäperäisinoleviatiedostojajaohjelmia.
4. Poistuainaverkkopalvelustasenomallauloskirjautumiskomennolla.
5. Sivuhistoria muistaa kaikkien niiden sivujen osoitteet, joilla käyttäjä on vieraillut.
Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, sivuhistoria täytyy
tyhjentääaina.
6. SelaimenvälimuistinopeuttaaInternet-surffausta.Seviekuitenkinrunsaastilevytilaa
ja siksi se kannattaa aika ajoin tyhjentää. Käytettäessä yhteis- tai julkisessa käytössä
olevaatietokonetta,välimuistitäytyytyhjentääaina.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
11(22)
7. Jos olet kirjautumassa palveluun, jossa kysytään salasanaa, selain ehdottaa usein
salasanan tallentamista. Tätä ei kuitenkaan koskaan pidä tehdä, sillä toiset käyttäjät
pääsevätsilloinsinuntunnuksellasipalveluun.
8. Eväste, on tekstitiedosto, jonka sivuston omistaja tallentaa koneesi kiintolevylle
käydessäsihänenweb-sivustollaan.Evästeetovatpääsääntöisestiharmittomia,mutta
niitävoidaankäyttääväärin.Lukemallaevästetiedostonsisältö,voidaanselvittää,millä
sivuilla käyttäjä on käynyt. Evästeeseen voi myös tallentua sivustolle vaadittavat
käyttäjätunnus- ja salasanatiedot. Evästeitä on kahdentyyppisiä; istuntokohtaisia ja
pysyviä. Istuntokohtaiset evästeet säilyvät selaimen muistissa niin kauan kuin selain
on auki ja häviävät sittenitsestään.Pysyvätevästeettallentuvattyöasemanlevylle ja
säilyvätsielläelleiniitäpoistetamanuaalisesti.
9. Sosiaalinen media ei sinänsä tuo uusia tietoturvahaasteita, mutta sosiaalisen median
käyttötavat eroavat merkittävästi perinteisen median käyttötavoista ja perinteisistä
Internet-palveluista,jonkatakiatietoturvauhatilmeneväteritavalla.Tämäjohtuusiitä,
ettäsosiaalisessamediassakäyttäjäntoimenpiteetovatnormaaliapalveluidenkäyttöä
keskeisemmässä asemassa. Tahaton hölmöily saattaa johtaa ikäviin seurauksiin,
esimerkiksi organisaation tietojen vuotamiseen, henkilökohtaisen mielipiteen
esittämiseenorganisaationvirallisenakannanottona,haittaohjelmanleviämiseentms.
Henkilöstön ohjeistamiseksi ja selkeiden linjausten tekemiseksi on kuntaan laadittu
sosiaalisenmediankäyttöpolitiikka.
10. Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä
kirjautuulokitietoja,joitakäytetäänainoastaantietoturvapoikkeamienselvityksessäja
niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien
selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia
tapahtumia,niistäraportoidaankunnantietoturvavastaavalle.
Sähköpostinkäyttöohjeistus
Kontiolahden kunnalla on käytössään Microsoft Outlook sekä Outlook Web Access –
sähköpostiohjelmat.WebAccessonOutlookinInternet-selainpohjainenkäyttöliittymä.
Työnantajan sähköposti on tarkoitettu pääasiallisesti työasioiden hoitamiseen. Sähköpostia
on lupa käyttää myös yksityisviestintään, mutta yksityisviestit on pidettävä erillään
työviesteistä. Työnantajan sähköpostin käyttö ei ole kuitenkaan sallittua henkilökohtaisten
tarjouspyyntöjen tai tarjousten tekemiseen sekä kaupankäyntiin tai muiden sellaisten
oikeustoimientekemiseen,joidenyhteydessävastaanottajanonvaikeaatulkitaonkokyseessä
henkilökohtainenvaityöasia.
Työntekijöille suositellaan yksityisasioiden hoitamista varten erillisen henkilökohtaisen
sähköpostiosoitteenhankkimista.
Työntekijä vastaa sähköpostin käytöstä, sähköpostilaatikon sisällöstä ja sisällön ylläpidosta.
Tällöintyöntekijäntuleeottaahuomioonseuraavatseikat:
ü Työsähköpostia on käytettävä kuin mitä tahansa työvälinettä työtehtävien
hoitamiseen.
ü Sähköpostiviesti on dokumentti, josta voi olla kopioita monessa paikassa
(mm. varmuuskopiot, sähköpostipalvelimet, työasemat) jota voidaan riittävän
perusteenilmetessäkäyttääyhtenätodistusaineistona.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
12(22)
ü Sähköpostia suojaa viestintäsalaisuus, mutta se ei sellaisenaan takaa tietojen
salassapitoa. Salassa pidettävien tietojen lähettäminen salaamattomassa Internetsähköpostissaonkielletty.
ü Sähköpostiviestien automaattinen edelleen lähetys sisäisestä ja/tai suojatusta
sähköpostiympäristöstä suojattomaan (Internet) on kielletty. Tapauskohtainen
edelleenlähetysonsallittuvaintilannekohtaisenharkinnanperusteella.
ü Sähköpostin liitetiedostot ovat yleisimpiä virusten ja muiden haittaohjelmistojen
leviämistapoja.
ü Tuntemattomaltalähettäjältäsaadun,epätavallisestiotsikoiduntaimuutenoudon
sähköpostiviestin liitetiedostoa avattaessa tulee noudattaa varovaisuutta. Ota
tarvittaessayhteyttätekniseentukeenennenepäilyttävänliitetiedostonavaamista.
ü Roskapostiviesteihineli”spamiin”eipidävastata.
ü Ketjukirjeiden lähettäminen työnantajan laitteista sähköpostitse on kielletty.
Ketjukirjeet ovat haittaohjelmien levittäjiä ja kuormittavat turhaan
tietotekniikkaresursseja.
ü Sähköpostitse kiertävät vitsit, adressit tms. sisältävät vaaran sähköpostiosoitteen
joutumisesta ns. spam-listalle, koska ihmiseltä toiselle siirtyvien viestien mukana
kulkeesuurimääräsähköpostiosoitteita.
Sähköpostitse saapuneet viranomaisen asiakirjat on kirjattava. Jos viesti sisältää asian, jota
todennäköisesti tullaan käsittelemään myöhemmin eri hallintoelimissä, toimita viesti
organisaatiossasihenkilölle,jokahoitaaasiankirjaamisendiaariin.
Loma-ajatjapidemmätpoissaolot
Työtehtävien katkottoman hoitamisen vuoksi työntekijällä on velvollisuus käyttää
sähköpostijärjestelmän automaattista vastaustoimintoa ilmoittaakseen poissaolostaan, sen
kestostajasiitäkukahoitaahänentehtäviäänpoissaolonaikana.
Liitetiedostot
Vältä liitetiedostojen käyttöä jos se on mahdollista. Usein pelkkää tekstiä sisältävän
liitetiedostonsisällönvoikopioidasähköpostinviestiosaan.JosWordillatehtyliitetiedostoei
sisälläkuvia,lähetätiedostovastaanottajallertf–muodossa.Tällöinsinuneitarvitsevälittää
siitä,mikätekstinkäsittelyohjelmavastaanottajallaon.Tiedostontallentaminenrtf–muotoon:
1. ValitseWordissaTiedosto–Tallennanimellä
2. ValitseTallennusmuoto–kohdassa’Word-asiakirja’–tekstinpaikalleRTF
3. Annatiedostollenimijatallennanormaalisti
Toinen tapa dokumenttien lähettämiseen on PDF-muoto. PDF-muotoon voidaan tallentaa
tekstidokumentteja(Word-asiakirjoja),esityksiä(PowerPoint)taitaulukoita(Excel).
Useimmissa postijärjestelmissä on määritelty välitettävien sähköpostien maksimikoko.
Vastaanottajalta kannattaa tarkistaa, minkä suuruisia liitetiedostoja heidän
postijärjestelmänsä voi ottaa vastaan. Tiedoston koon voi tarkistaa esimerkiksi
resurssienhallinnassa. Mikäli on tarve lähettää/vastaanottaa sähköisessä muodossa
suurempiakokonaisuuksia,kannattaaharkitavaihtoehtoina:
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
13(22)
1. Tiedostojen pakkaaminen esim. WinZip:llä ja pienentää näin lähetettävän viestin
kokoa.
2. TiedostojenpolttaminenCD-ROMillejalähettäminentavallisenapostina.
3. Tiedostojensiirtäminenftp:llä.
4. Viestin paloitteleminen useampaan viestiin, jolloin yksittäisen viestin koko pienenee.
Sähköpostintietoturva
Sähköpostin lähettäminen kunnan henkilöstön sisäisesti on suhteellisen turvallista, koska
sähköpostijärjestelmämme salaa automaattisesti kaikki sanomat. Sen sijaan ulkoisiin
osoitteisiin lähetettävä posti on selväkielistä, jolloin tietoturvan säilyminen edellyttäisi
viestien salaamista ja digitaalista allekirjoitusta. Tätä mahdollisuutta meillä ei vielä ole
käytössä.
Tavallisen, suojaamattoman sähköpostin käyttö on rajattava vain niiden viestien
välittämiseen, jotka soveltuvat sen käyttöön. Koska suojaamattoman sähköpostin tietoturva
on tavallisen postikortin luokkaa, mitään salassa pidettävää tietoa ei saa lähettää
suojaamattomansähköpostinvälityksellä.
Kunkäytössäonsuojattusähköpostijasähköinenallekirjoitus,voidaansitäkäyttäävirallisten
asiapapereidenvälitykseen.Potilasasiakirjojensiirtoajayksiköidenvälistäkonsultointia
varten on olemassa oma tietoturvallinen ohjelmisto, potilastietojärjestelmän
viestinvälitys.
Sähköpostin tietoturvaohjeita
Ø Varmista lähettäjän aitous, jos vähänkin epäilet sitä. Sähköpostin lähettäjätieto on
helppoväärentää,jolloinlähettäjästäeivoiollatäysinvarma.Vastaavastikukatahansa
voilähettääviestinnimissäsi.
Ø Älä koskaan avaa tuntemattomalta lähettäjältä tullutta liitetiedostoa tai viestissä
olevaawww-linkkiä.
Ø Älälähetäketjukirjeitäeteenpäin.
Ø Pyydätärkeistäviesteistäkuittausvastaanottajalta.
Roskaposti
Roskapostilla tarkoitetaan sähköpostiin tulevia mainoksia, joita vastaanottaja ei ole tilannut
eikä niiden lähettämiseenolekysytty lupaa.Mainostettavattuotteetjapalvelutovatyleensä
epämääräisiätailaittomia.Roskapostionhaitallista,koskasetuhlaaaikaajalevytilaa.
PTTK Oy:llä on käytössä roskapostien suodatusjärjestelmä, joka poistaa automaattisesti
suurimmanosanroskaposteista.Jossaatsuodatuksestahuolimattaroskapostia,poistaviestit
välittömästi. Älä koskaan vastaa roskapostiviestiin, vaikka siinä olisi linkki, johon
ilmoittamalla pääset pois jakelulistalta. Outlook- ja Outlook Web Access –
sähköpostiohjelmissaonroskapostinkäsittelyynjoitakintoimintoja,joillavoitmääritellämitä
roskapostiksitulkituilleviesteilletehdään.
Jos epäillään, että jokin viesti on jäänyt saamatta, kannattaa siitä laittaa palvelupyyntö
ServiceDeskiin ja sisällyttää siihen milloin(pvm+klo) ja mistä(lähettäjänspostiosoite)
kyseisenviestinolisipitänyttulla.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
14(22)
Työnantajanoikeuslukeatyöntekijänsähköpostia
Perustuslain10.2§:nmukaankirjeen,puhelunjamuunluottamuksellisenviestinsalaisuuson
loukkaamaton. Työnantajan tarjoamaan sähköpostiosoitteeseen voi kuitenkin tulla sekä
luottamuksellisia viestejä että julkisuuslain 5.2 §:ssä määriteltyjä viranomaisen asiakirjoja,
jotkaovatpääsääntöisestijulkisia.
Viestintäsalaisuus koskee myös sähköpostiviestejä. Työnantajalla ei ole oikeutta lukea
työntekijän sähköpostia, jos työnantaja ja työntekijä eivät ole yhteisesti asiasta sopineet.
Työntekijävoiantaasuostumuksensasiihen,ettätyöntekijänpoissaollessatämänvalitsema
ja työnantajan tehtäväänhyväksymä toinenhenkilövoiottaavastaantyöntekijällelähetetyt
viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi
tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai
työtehtävienasianmukaisenjärjestämisenvuoksivälttämätöntäsaadatieto.
Jos työnantaja tai hänen tähän tehtävään osoittama henkilö tällaisessa tilanteessa saa
tietoonsamyösmuitakuintyöasioihinliittyviäluottamuksellisiaviestejä,eihänsaailmaista
tai käyttää hyväksi tietoa viestin sisällöstä tai sen olemassaolosta, eikä käsitellä työntekijän
henkilötietoja yksityisyyttä vaarantavasti. Työnantajan oikeudesta lukea työntekijälle
tulleitasähköpostejasovitaanainaerilliselläsopimuksella.
Virkasähköpostia voi olla mahdotonta erottaa henkilökohtaisesta viestinnästä. Jotta
yksityisviestitsäilyisivätyksityisinä,suositellaanviestinnässäkäytettäväksiseuraaviaohjeita:
1. Tee sähköpostiisi oma kansio henkilökohtaisille viesteille ja nimeä se selvästi esim.
’Henkilökohtainen’tai’Omatviestit’
2. Poista yksityiset viestit heti lukemisen jälkeen tai siirrä säilytettävät viestit omaan
selvästinimettyynkansioon
3. Lisäälähetettävänyksityisenviestinotsikkoonteksti”HENKILÖKOHTAINEN”
Toimenpiteettyösuhteenpäättyessä
Sähköpostin käyttöoikeus päättyy työsuhteen päättyessä ja sähköpostitili suljetaan. Ennen
työsuhteen päättymistä työntekijän tulee poistaa kaikki henkilökohtaiset viestinsä ja sopia
esimiehensäkanssavaltakirjantekemisestäjäljellejääneidentyönantajallekuuluvienviestien
hakemisestajaavaamisestatarvittaessa.
Jostyöntekijälopettaatyönteonennentyösuhteenpäättymistä(esim.lomanvuoksi),täytyy
hänen
lisäksi
laittaa
sähköpostitililleen
automaattivastaus
ilmoittaakseen
viestintäkumppaneilleen, ettei sähköpostiosoite ole enää voimassa työsuhteen
päättymispäivämääränjälkeen.
Työnantajalla on tämän jälkeen oikeus päättää tuhotaanko suljetun sähköpostitilin sisältö
kokonaanvaihaetaankosisällöstäjoitaintyöantajantoiminnalletärkeitäviestejätyöntekijän
antaman valtakirjan ja lain yksityisyyden suojasta työelämässä 13.8.2004/759 (759/2004)
luvun6määrittelemienkäytäntöjenmukaan.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
15(22)
Etätyö
Etätyöskentelystä on aina sovittava työnantajan kanssa erillisellä kirjallisella
etätyösopimuksella. Kun työnantaja ja työtehtäväsi antavat sinulle mahdollisuuden
työskennelläkotona(taimuuallakuinnormaalissatoimipisteessä),huomioiseuraavatasiat:
ü Älä missään tilanteessa luovuta tunnistautumistietojasi kenenkään muun käyttöön,
äläkäjätäniitämuidensaataville.
ü Käytä vain työnantajan tarkoitusta varten osoittamaa laitteistoa. Oman laitteiston
käytöstäonainasovittavaerikseen.
ü Käytä etätyössä ainoastaan sovittuja tietoliikennetapoja ja varmista, että sovitut
salaus-jasuojausmenettelytovatkäytössä.
ü Varmista,ettämuuteivätpääsekäyttämäänpäätelaitteitasi.
ü Huolehdi etteivät muut perheenjäsenet tai vieraasi pääse salassa pidettäviin asioihin
käsiksitaikuule luottamuksellisiakeskustelujapuhelimessa.Varmistu,että sivulliset,
kutenperheenjäsenesi,eivätsaaotetuksiyhteyttätietojärjestelmiin.
ü Käsittele etätyössä ainoastaan sellaista tietoaineistoa, jonka salaisuusaste vastaa
käyttämääsi työskentely-ympäristöä, tarvittaessa käytä tiedostojen salausta. Älä
tallennatyöasemankovalevyllemitäänsalassapidettäväätietoa.
ü Huolehdityöasemasi (tai muunpäätelaitteen)tietoturvasta.Laitteistoaeisaakäyttää
siten, että sen turvallisuus vaarantuu esimerkiksi pelien, ohjelmien lataamisen tai
epäluotettavien Internet – sivujen selaamisen vuoksi. Opettele tietoturvan kannalta
tärkeidenohjelmienpäivittäminenjakäyttö.
ü Älämuutataipoistakäytöstäsuojausohjelmia.
ü Huolehdi, että tiedät miten toimit erilaisissa ongelmatilanteissa. Todennäköisiä
tilanteita ovat tietoliikenneyhteyden ongelmat sekä laitteiden ja tietoaineiston
varastaminentaikatoaminen.
ü Huolehdi,ettätyövälineesijatietosiovatturvassamyöskuljetuksenaikana.
ü Huolehdi työnteossa käyttämiesi puhelinten ja mobiililaitteiden turvallisuudesta. Älä
säilytäniissäylimääräistätietoajakäytätiedonsalausta.
ü Vie toimistotilojen ulkopuolelle vain työn suorittamisen kannalta välttämätöntä
materiaalia(asiakirjat,tallenteet,laitteet)japalautanemahdollisimmanpian.
ü Huolehditietoaineistosivarmuuskopioinnistajavirustarkastuksista.
ü Vältä salassa pidettävien tietojen tulostamista paperille ja tallentamista siirrettäville
muistivälineille.
ü Jostulostatjatallennat,huolehditiedonasianmukaisestakäsittelystäjahävittämisestä.
Tuosalassapidettävämateriaalihävitettäväksiomaantyöyksikkösiarkistovastaavalle.
ü Asiakirjojaeisaakäsitellä,säilyttääeikähävittääniin,ettänevoivatjoutuasivullisten
käsiin.
ü Lukitseaineistojensäilytyspaikkaniinettätiedoteivätoleasiattomienkäytössä.
ü Mikäli etätyöntekijä epäilee luottamuksellisen tai salaiseksi luokitellun tiedon tai
siihenpääsyynoikeuttavientunnistetietojenjoutuneentaipaljastuneenulkopuolisille,
tulee etätyöntekijän ilmoittaa tästä välittömästi lähimmälle esimiehelleen. Tätä
menettelyänoudatetaanmyös,mikälitietoja,laitteitataiohjelmistojaonvarastettutai
niitäonkadonnut.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
16(22)
Työhakemistot
Jokaisella kunnan työntekijällä on oma työhakemisto, jonka saa käyttöönsä MADympäristössä. Tällä tarkoitetaan verkossa olevaa nimettyä kansiota, johon yhteys aukeaa
automaattisestikirjauduttaessaverkkoonomallakäyttäjätunnuksellajasalasanalla.
Kansioontarkoitettutyössätarvittavientietojentallennukseen.Kansiooneikuitenkaanpidä
tallentaamitäänsuuriatiedostoja(useampiGt),koskakansionkäyttötilaonrajoitettu.
Verkossa olevat kansiot varmuuskopioidaan tietyin väliajoin, millä varmistetaan tiedon
pysyvyys ja käytettävyys. Esimerkiksi työpöydälle tallennetut tiedostot voivat muuttua
käyttökelvottomiksitietokoneenkiintolevynrikkoutuessa.
Älä tallenna työasemasi tai kannettavasi kiintolevyille mitään sellaista tietoa, jonka
joutuminen ulkopuolisten käsiin on vahingollista tai jonka häviäminen aiheuttaa vahinkoa.
Verkkokansioon tallennettu tieto ei joudu ulkopuolisten käsiin, mikäli esim. kannettava
tietokonevarastetaan.
Verkkolevyvarmistaamyösautomaattisestisinnetallennetuntiedonvirustenvaralta.
Toimenpiteettyösuhteenpäättyessä
Käyttöoikeuden päättyminen
Käyttöoikeustietojärjestelmäänpäättyykun,
ü henkilöeienääkuuluorganisaatioon,
ü määräaikaiseksimyönnettykäyttöoikeusvanheneetai
ü henkilön rooli muuttuu siten, ettei tietojärjestelmän käyttöoikeudelle enää ole
perustetta.
Käyttäjätunnussuljetaan,kun
ü käyttöoikeus,johonliittyenseonannettu,loppuu
ü silleeienääoletarvetta
ü onperusteltuepäilysenväärinkäytöstätaitietoturvallisuudenvaarantumisesta
Tietojenkäsittelykäyttöoikeudenpäätyessä:
ü Työntekijän tulee siirtää, tarvittavissa määrin työtehtävien jatkamiksi, työhön
liittyneetviestitjatiedostotesimiehenkanssasovitullehenkilölle.
ü Henkilön tulee poistaa henkilökohtaiset sähköpostinsa ja tiedostonsa ennen
tietojärjestelmänkäyttöoikeudenloppumista.
ü Henkilön tulee poistaa organisaation kotikäyttöön tarjoamat ohjelmistot
palvelussuhteenpäättyessä,elleiohjelmistonlisenssiehdoissatoisinmainita.
ü Kolmannen osapuolen (esim. toimittajan edustajan) tulee siirtää tai tuhotahankkeen
toteuttamiseksi annettuun käyttäjätunnukseen liittyvät tiedot hankkeesta solmitun
sopimuksenmukaisesti.
ü Henkilöntiedostotjapostilaatikkopoistetaankolmenkuukaudenkuluttuatunnuksen
käytön/käyttöoikeudenloppumisesta.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
17(22)
Siirrettävättietovälineet
Yleisenä periaatteena on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle.
Kuitenkinontilanteita,jolloinmm.sähköisessämuodossaoleviatyötiedostojatarvitaanesim.
koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan
seuraaviaperiaatteita:
ü CD/DVD –levyjä tai USB-muistitikkuja käytettäessä varmistutaan, ettei tietoväline tai
sensisältämätietojouduulkopuolistentahojenhaltuun.
ü Lisäksi USB-muistia käytettäessä tikulla oleva tieto salataan käyttämällä joko tikun
omaasalaustataierillistäsalausohjelmaa.
ü JosUSB-tikunmukanaeitulesalausominaisuutta,saaerillisensalausohjelmanjasiihen
liittyvänkäyttökoulutuksenpyydettäessäPTTKOy:nServiceDeskistä.
ü Jokainenkunnantyöntekijävastaakäyttämiensämedioidentietoturvasta.
ü Jos löydät kunnan tiloista (tai mistä vain) USB-muistitikun tai CD/DVD-levyn, jonka
käyttäjää tai alkuperää et tiedä, älä liitä sitä kunnan työasemaan (haittaohjelmien
riski).Alkuperältääntuntematontietovälinekannattaaviedätuhottaviensäiliöön.
CD/DVD-levyjen ja levykkeiden hävitys
Kontiolahden kunnalla on paperimuotoisen aineiston turvallista hävittämistä koskevan
sopimuksen lisäksi myös CD/DVD:itä ja levykkeitä koskeva sopimus. Hävitettäväksi
tarkoitetutCD:t,DVD:tjalevykkeettoimitetaanasianhallintasihteerille.
USB-muistitikkujen hävitys
SalatutUSB-tikutvoidaanhävittääpoistamallaniistäensintiedotformatoimalla(alustamalla)
tikkunormaalistiPTTKOy:ntoimesta.
Jos käytössä on salaamattomia USB-tikkuja, jotka halutaan poistaa käytöstä, ne ensin
formatoidaan ja toimitetaan sen jälkeen asianhallintasihteerille. Samoin toimitaan
rikkoutuneidenUSB-tikkujenkanssa.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
18(22)
Työpuhelin
Puhelinkäyttäytyminen
ü Älä puhu luottamuksellisista/salassa pidettävistä asioista asiaankuulumattomien
kuullen,esim.kerrosalasanojalinja-autossamatkallatöihin.
ü Puheluasi voidaan aina kuunnella, oli kyseessä sitten lankapuhelin tai matkapuhelin.
Luottamuksellisiaasioitaeikannatapuhuapuhelimessa.
ü Puhelintavoidaankuunnellanykytekniikallajopailmansim-korttia.
ü Tekstiviestin suojaus on heikko, siinä ei kannata lähettää luottamuksellista tietoa.
Tekstiviestiä lähettäessäsi varmistu vastaanottajan numerosta, ettei tieto mene
väärälleihmiselle.
ü Puhelimetontarkoitettutyötehtävienhoitamiseen.
ü Ostostentekomatkapuhelimellaonkielletty.
ü Numerotiedusteluaeisaakäyttääpuhelujenyhdistämiseen.
ü Puhelimen katoamis- tai varkaustapauksessa välittömästi soitto Elisan
asiakaspalveluun liittymän tilapäistä sulkua varten. Tämän jälkeen mahdollinen
rikosilmoitus. Rikosilmoitukseen ja puhelimen verkosta sulkemista varten tarvitaan
puhelimen IMEI-koodi. Koodi löytyy puhelimen akun alta, myyntipakkauksesta tai
näppäilemälläpuhelimeen*#06#.
Puhelimen tietoturva
Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim.
puhelimenkadotessatodellistatietoturvauhkaa.
ü Työtiedostojen ja salasanojen tallentaminen salaamatta puhelimeen tai siinä olevaan
erilliseenmuistikorttiineiolesallittu.
ü Suojaa puhelin suojakoodilla. Jos mahdollista, käytä automaattista lukitusta, kun olet
käyttämättäpuhelintatietynaikaa.
ü Suojaapuhelimessaolevamuistikorttisalasanalla.
ü Puhelimesi on kytketty etähallintajärjestelmään, jolla voidaan lukita tai tyhjentää
puhelintarvittaessaetänä(eikoskeperuspuhelimia).
ü Jos puhelimesi katoaa tai varastetaan, ota välittömästi yhteyttä puhelinasioista
vastaaviinhenkilöihinpuhelimentietojentyhjentämiseksi.
PTTKOy:npuhelinasioistavastaavienyhteystiedot:
MiikaReijonen
LassiTurunen
HenriSainio
[email protected] [email protected]
[email protected]
0133390107
0133390133
0133390689
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
19(22)
Sosiaalinenhakkerointi
Tietojenuteleminenonyleinentiedustelutapa.Henkilösaattaaesittääpuhelimitsejoukon
merkityksettömiltätuntuviakysymyksiä.Kunnäitäkysymyksiätehdäänriittävänusealle
henkilölleorganisaatiossa,välittyykysyjälleyleiskuvaorganisaationtoiminnasta,jasen
heikoistakohdista.
Joskunnanhenkilöstöönkuuluvaltatyöntekijältäkysytäänhänentyötavoistaantaikunnan
turvallisuusasioista,kyseisentyöntekijänonpyydettäväkyselijäälähettämäänkysymykset
kirjallisenayhteystietojenkanssajailmoitettavatapahtuneestavälittömästilähimmälle
esimiehellejakunnantietoturvastavastaavallehenkilölle,jotkatekevätpäätökset
jatkotoimenpiteistä.
Näintoimitaanetenkin,jos:
-kysyjääeitunnetataihänenhenkilöllisyydestääneivoidaollavarmoja
-työntekijäeivoivakuuttuahänelleesitettyjenkysymystentarkoitusperästä.
Ulkoistettujentietojenkäsittelytoimintojenturvallisuus
Ulkoistamisenedellytyksenäonkunnantietoturvavaatimuksistajohdettujenmenettelyjen
ulottaminenulkoistettujenpalvelujentoimittajaan.Vaatimuksetjatavoitteetonsovittava
ulkoistamisprosessinalussajaneonkirjattavatehtäväänpalvelusopimukseen.
Toimintojenjapalvelujenulkoistaminenedellyttääorganisaationjatoimittajanvälisten
velvoitteidenjakoa,tehtävämäärittelyäjasuunnitelmaa,jottahaluttutietoturvallisuudentaso
voidaansaavuttaajasäilyttääkokoulkoistamisprosessinajan.
Kokonaisvastuutoiminnoistasäilyyorganisaatiolla,vaikkapalveluntoimittajavastaa
organisaatiolletuottamistaanpalveluista.Palvelujenyhteydessäonsiisniidensisällöstä
riippuentarkistettavatietoturvatarpeetjalaadittavatarvittaessasalassapito-tai
turvallisuussopimus.Samakoskeelaite-jajärjestelmähankintoja.
Kontiolahdenkunta
Tietoturvahankintojenyhteydessä
Tietoturvakäsikirja
27.1.2015
20(22)
Hankintojenyhteydessävoiollatarvettasolmiaerillinenturvallisuussopimus.Siinä
määritetäänmm.sopimusosapuolienkeskenjaettavientietojensuojausperiaatteetja
salassapitoajat.Sopimuksillapyritäänestämääntietovuotojaja-varkauksiatoimitusten
yhteydessätainiidenjälkeensekävarmistamaan,ettätoimitusvastaakunnan
tietoturvapolitiikkaa.Toimittajastatehdäänturvallisuusselvitysriippuenhankkeentai
palvelunkriittisyydestä.
Palvelukokonaisuuden,tietoteknisenlaitteentaitietojärjestelmänhankintaanliittyytuotteen
tietoturvavaatimustenmäärittelyjatietoturvaominaisuuksienarviointi.Keskeiset
vaatimuksetmääritelläänjaesitetäänselkeästijotarjouspyyntövaiheessajatietoturvatekijät
sisällytetääntarjouksenvertailu-javalintaperusteisiin.Tietoturvavaatimustentoteutuminen
voiollahankinnanehdotonedellytys.
Hankintojenyhteydessätarkasteltaviatekijöitäovat:
· turvallisuusvaatimuksetpalveluille
· järjestelmähallinta,
ohjelmistojen
tarjoamat
turvallisuusominaisuudet
ja
valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja
kiistämättömyys
· riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden
luominen
· palvelu-,huolto-,laite-jaohjelmistotoimittajienosaaminenjavoimavarat
· nopeanhuollonjavaraosapalvelujenvarmistaminen
· varalaitteidensaatavuudenvarmistaminensopimuksissa.
· Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja
tukipalveluyrityksenmahdollisuudettoimituksiinmyöspoikkeusoloissa.
Tietojärjestelmähankkeiden yhteydessä varmistetaan tietoturvan sisällyttäminen
hankkeeseen ja uuteen tietojärjestelmään. Tietoturva liittyy tietojärjestelmän muutoksiin ja
kehittymiseen tietojärjestelmän koko elinkaaren ajan. Myös järjestelmän teknisten ja
hallinnollistenrajapintojenturvallisuusvarmistetaan.
Hankkeen alussa tehtävällä riskien arvioinnilla suunnataan tietoturvatoimenpiteet
kehitystyön kohteena olevan järjestelmän luonteen mukaisesti. Tietojärjestelmän
esitutkimusvaiheessamääritellääntärkeysluokitus,turvallisuustarpeetja-tasosekäasetetaan
tietoturvavaatimukset.
Tietojärjestelmän testaus suunnitellaan sekä hallinnolliselta että tekniseltä kannalta. Testit
voivat kohdistua joko kertaluonteisesti osaan tai koko järjestelmään tai säännöllisesti
tuotantoympäristöön, jolloin voidaan testata vähitellen järjestelmässä tapahtuvia pieniäkin
muutoksia. Hallinnollisia tietoturvatarkastuksia ovat erilaiset vaatimusmäärittely- ja
suunnitelmakatselmoinnit sekä ratkaisujen varmentamiset tietoturva-asiantuntijoita
käyttäen. Teknisiä tarkastuksia ovat katselmoinnit erityisesti ohjelmistojen tai järjestelmien
kriittisiintoimintoihinliittyen.
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
21(22)
Virusepäily
Kunnalla on käytössä Microsoft System Center Endpoint Protection tietoturvaohjelmisto.
Ohjelma asennetaan työasemille siten, että se päivittää uusimmat viruskuvaukset verkosta
automaattisesti.Ohjelmaaeisaaottaapoiskäytöstä.
Onsyytäepäillävirusta,jostyöasemassasi:
1.esiintyyylimääräisiäääniefektejä
2.näytölleilmestyytunnistamattomiaviestejä
3.levytilaloppuuäkkiä
4.ohjelmienkäyttöhidastuuoleellisestitaiestyykokonaan
5.tallennetuttiedostotmuuttuvattaikatoavat
6.asiakirjamuuttuukäytönaikana
Jostorjuntaohjelmahavaitseetyöasemassasiviruksen,toimiseuraavasti:
1.Tarkistamitätietoanäyttööntulee:
ü Jostorjuntaohjelmailmoittaalöytyneestäviruksestajatarjoaamahdollisuudenpoistaa
virus,toiminäytölläolevienohjeidenmukaan.Tarkistatoimenpiteenjälkeentulevasta
raportista, onko virus todellakin poistunut. Jos torjuntaohjelma poisti viruksen, voit
sulkearaportinjajatkaatyötäsi.
ü Jos torjuntaohjelma ilmoittaa löytäneensä viruksen, mutta ei pysty sitä poistamaan,
irrota työ-asemasi verkosta muttaäläsuljetyöasemaa.Työasemairrotetaanverkosta
ottamallaverkko-kaapeliirtijokoverkkokortistakeskusyksikössätaiseinärasiasta.
2.Kirjaaylöshavaintosijaongelmaaedeltäneettoimenpiteet
3.IlmoitaasiastaServiceDeskiinpuh.0133390700/[email protected]
4.Ilmoitakaikille,jotkaovatvoineetsaadaviruksensinulta
Viruksiltasuojautuminen
Käytätyöasemassasivainluotettavistalähteistähankittujaohjelmia.
Vältäsähköpostissaliitetiedostojenkäyttöä,josseonmahdollista.
Käytäliitetiedostoissartfjatxt–tallennusmuotoja.
Äläasennaverkostailmaiseksisaatavianäytönsäästäjiätaiapuohjelmia.
Älä liitä kunnan työasemaan löytämääsi USB-muistia tai muuta tietovälinettä, jonka
käyttäjäätaialkuperääettiedä(virus-jahaittaohjelmienriski).
ü Vältäsurffailuaepämääräisilläwww-sivuilla.
ü
ü
ü
ü
ü
Kontiolahdenkunta
Tietoturvakäsikirja
27.1.2015
22(22)
Tietoturvanseuranta
Kunnan tietoturvavastaavan (talousjohtaja) tehtävänä on tarvittaessa vuosittain koostaa
tiedot toteutuneista tietoturvatoimista ja tietoturvan muutoksista sekä niiden perusteella
esitellä kunnan johdolle kuvaus tietoturvan tilasta. Seurannalla pyritään selvittämään ja
mittaamaan,missämäärintietoturvatoimillasaavutetaanhaluttuvaikutus.
Tietoturvaongelmista (esimerkiksi hyökkäysepäilyt) tulee ilmoittaa välittömästi esimiehelle
ja kunnan tietoturvavastaavalle. Merkittävistä tietoturvarikkomuksista ja niiden epäilyistä
tuleetietoturvavastaavanraportoidaylimmällejohdolle.
Havaittaessa vakava tietoturvaongelma, siitä laitetaan välittömästi tieto kunnan ICTtyöryhmälle, johdolle sekä tietoturvavastaavalle. Näiden kaltaisiin tapahtumiin varaudutaan
varautumissuunnitelmassa,jossaonkuvattumm.käynnistettävätvastatoimenpiteet.