Fyysinen turvallisuus
Estä luvaton fyysinen pääsy tiloihin ja luottamuksellisen tiedon ääreen.
Kiinteistöjen turvallisuus
Fyysisen pääsyn valvonta rakennuksiin, toimistoihin ja muihin toimipaikkoihin
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Ilmoitusprosessi fyysisten tunnisteiden häviämisen varalle
Henkilöstöllä on toimintaohjeet ja työkalut, joiden avulla he voivat ilmoittaa kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra).
Laitteiden suojaus ja käyttö
Häiriöiden hallinta
Havaitse, viesti ja käsittele tietoturvahäiriöt johdonmukaisesti.
Häiriöiden hallinta ja ilmoittaminen
Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle
Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.
Häiriönä ilmoitettavia asioita ovat mm.:
luvaton pääsy tietoihin / tiloihin
tietoturvaohjeiden vastainen toiminta
epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
tietojärjestelmän käyttökatko
tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
kadonnut tai varastettu laite
vaarantunut salasana
kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)
Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).
Tapahtuneiden tietoturvahäiriöiden käsittelyprosessi ja dokumentointi
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
dokumentoidaan häiriön tyyppi ja syy
dokumentoidaan häiriöön liittyneet riskit
käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
määritetään tarve häiriön jälkianalyysille
Tietoaineistojen hallinta
Tunnista järjestelmien ulkopuoliset tiedot ja varmista niiden turvallinen käsittely.
Tietoaineistojen hallinta
Tietoaineistojen dokumentointi tietovarannoille
Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.
Dokumentaation on sisällettävä vähintään seuraavat tiedot:
Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)
Tietoaineistojen omistajien nimeäminen
Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.
Omistajan tehtäviin kuuluu mm.:
varmistaa omaisuuden dokumentointi
varmistaa omaisuuden asianmukainen suojaus
pääsyoikeuksien säännöllinen katselmointi
varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa
Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.
Kehitys ja digipalvelut
Varmista tietoturvanäkökulmien huomiointi omien IT-palvelujen kehityksessä.
Kumppanihallinta
Varmista sopimusten mukainen toiminta ja toimittajien käyttämän omaisuuden suojaus.
Ohjeita
Mobiililaitteiden ohjelmistot ja päivitykset
Käyttäessäsi mobiililaitteita, noudata seuraavia päivityksiin liittyviä sääntöjä:
En asenna ohjelmistoja tai tee niiden asetusmuutoksia, kun se ei kuulu työtehtäviini
Asennan luotettavasti pyydetyt, olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset viipymättä
Tarvitessani käyttöön uutta ohjelmistoa, pyydä siihen lupaa IT-osastolta
Mobiililaitteiden valvonta
Vastaan seuraavista asioista mobiililaitetta käyttäessäni:
En jätä luottamuksellista tietoa sisältävää laitetta ilman valvontaa
Ilmoitan välittömästi kadonneesta laitteesta
En säilytä mobiililaitteita autossa
Varmistan, että laitteen käyttöohjeen mukaiset automaattiset lukitukset ovat käytössä
Huolehdin varmuuskopioinnista ja synkronoinnista ohjeiden mukaisesti
Varmistan laitteen käyttöjärjestelmän ajantasaisuuden
Ongelmatilanteet mobiililaitteiden käytössä
Kun kohtaan ongelmatilanteita käyttämieni laitteiden kanssa, noudatan seuraavia sääntöjä:
Toimin ohjeiden mukaisesti järjestelmän toiminnan keskeydyttyä
Raportoin kaikki tietoturvaongelmat IT:lle ohjeiden mukaisesti (esim. epäillessäni virustartuntaa tai tietojen kalastelua)
Ilmoitan kadonneesta / varastetuista laitteesta tai tunnisteista ilmoitusprosessin mukaisesti
Mobiililaitteiden hyväksyttävä käyttö
Käyttäessäni organisaation mobiililaitetta noudatan seuraavia sääntöjä:
En käytä työlaitteita työn ulkopuolisiin asioihin
En muuta oletusasetuksia laitteen turvallisuuteen liittyen ilman lupaa
Sammutan tai siirrän laitteen virransäästötilaan työpäivän päättyessä, ellei muuta ole ohjeistettu (esim. tietoturvapäivitysten johdosta)
En poista tai ohita laitteen haittaohjelmasuojausta
Etätyön yleiset toimintaohjeet
Tehdessäni etätyötä noudatan seuraavia sääntöjä:
En anna ulkopuolisen henkilön, edes tutun, käyttää päätelaitettasi
En käytä julkisia päätteitä työasioihin
Minimoin mukana olevien tietojen määrän etätyössä
En tallenna henkilökohtaisia tiedostoja tarpeettomasti työnantajan palvelimille
Kadonneesta tunnisteesta ilmoittaminen
Ilmoitan kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra) ilmoitusprosessin mukaisesti.
Kulunvalvonta ja vierailijat
Vierailijakäytännöt
Vierailijoihin liittyen noudatan seuraavia sääntöjä:
Käytän vierailukäyttöön ainoastaan siihen tarkoitettuja neuvottelutiloja
En jätä neuvottelutiloihin arkaluonteisesta materiaalia esimerkiksi vierailun ajaksi tai sisäisen neuvottelun jälkeen
Kerron tarvittaessa vierailijalle käytäntöjen tarpeellisuudesta hänen oman tietoturvan, tietosuojan ja muun turvallisuuden näkökulmasta
Häiriöiden ilmoittaminen
Tietoturvahäiriöiden ilmoittamisen säännöt on määritelty ja niiden noudattamista valvotaan.
Säännöt voivat sisältää mm. seuraavia asioita:
Ilmoita kaikista tietoturvahäiriöistä sekä epäillyistä tietoturvaheikkouksista aina ilmoitusprosessin mukaisesti
Älä koskaan yritä todistaa epäiltyä tietoturvaheikkoutta, vaan ilmoita siitä eteenpäin sovitusti
Muista havaitessasi häiriön: älä hätiköi, älä sulje laitetta, irrota verkkokaapeli ja katkaise langaton yhteys, kirjoita ylös mahdolliset ilmoitukset tai ota niistä kuva ja kuvaa ilmoittaessasi asiasta eteenpäin tarkasti, mitä olit tekemässä häiriön tapahtuessa.
Tietojärjestelmien käyttö
Esimiesten on ilmoitettava etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.
Salasanojen yksityisyys
Noudatan salasanojen yksityisyyteen liittyen seuraavia sääntöjä:
En koskaan jaa kirjautumistietojani muille
En kirjaa tunnistautumistietojani muualle kuin salasanojen hallintajärjestelmään (esim. paperille tai tekstitiedostoon)
Vaarantuneiden tunnistautumistietojen vaihtaminen
Noudatan seuraavia sääntöjä tunnistautumistietoihini liittyen:
Seuraan palveluntarjoajien tiedotusta mahdollisista tietovuodoista
Vaihdan tunnistautumistietoni välittömästi, mikäli on mahdollista, että tiedot ovat vuotaneet
Salasanojen vahvuus ja oikeaoppinen käyttö
Noudatan salasanojen vahvuuteen liittyen seuraavia sääntöjä:
Tunnen kriteerit salasanojen riittävälle kompleksisuudelle ja käytän tarpeeksi vahvoja salasanoja
En käytä samaa salasanaa useissa eri palveluissa
Mikäli palvelu käyttää minulle annettua oletussalasanaa, asetan sen uusiksi ensimmäisellä kirjautumiskerralla
Käsittelen salasanan palauttamiseen käytettyjä turvakysymyksiä ja niiden vastauksia yhtä luottamuksellisina ja ei-arvattavina kuin salasanoja
Tunnistautumiseen liittyvät yleiset säännöt
Noudatan tunnistautumistietoihin liittyen seuraavia sääntöjä:
Suosin organisaation tukemia, keskitettyjä tunnistautumistapoja aina kun mahdollista ja vältän paikallisten käyttäjätunnus + salasana -yhdistelmien luomista
En anna ulkopuoliselle pääsyä laitteeseeni, myöskään etäyhteydellä, jos en ole saanut lupaa ennalta
Huomioin selaimen antamat varoitukset kirjautuessa
Raportoin kaikki luvattomat pääsyt tietoihin tietoturvahäiriönä eteenpäin
Viestintä ja tietojenkalastelu
Työsähköpostin harkittu käyttö
Tarkista sähköpostia lähetettäessä, että toimit seuraavien ohjeiden mukaan:
Käytä työsähköpostia ainoastaan työasioiden hoitamiseen
Varmista oikea vastaanottajan osoite sähköpostia lähetettäessä
Älä välitä salassa pidettäviä tietoja suojaamattomassa sähköpostissa
Älä jaa turhaan sähköpostin vastaanottajatietoja ja käytä to, cc ja bcc kenttiä oikein
Älä ohjaa työsähköposteja eteenpäin henkilökohtaisiin osoitteisiin
Huijausten vastaisten toiminnan säännöt
Noudatan aina seuraavia toimintasääntöjä:
En lataa / asenna ohjelmistoja verkosta, mikäli se ei kuulu työtehtäviini
Estän popup-ikkunat oletuksena ja hyväksyn ne vain tarvittaessa
En jätä online-tilejä olemaan olemassa käyttämättöminä
En täytä luottamuksellista tietoa sähköpostiin saamani linkin kautta
En lähetä luottamuksellisia tietoja sähköpostiviestissä
Verkko-osoitteen varmistaminen
Mikäli epäilet saamasi viestin tai muun ilmoituksen oikeellisuutta, tee aina seuraavat tarkistukset ennen klikkaamista tai luottamuksellisten tietojen luovuttamista:
Tarkista, että linkki osoittaa tuttuun verkkotunnukseen
Huomioi kaikki selaimen antamat varoitukset
Ollessasi sivustolla tarkista sivuston https-suojaus ja verkko-osoitteen muoto osoiteriviltä
Henkilötietojen käyttö
Tietosuojapyyntöjen vastaanottaminen ja käsittely
Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.
Tunnen toimintatavat tietosuojapyyntöjen suhteen, jotka voivat sisältää mm.:
tavat, joilla rekisteröity voi tietopyynnön tehdä
tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan ennen pyynnön vastaanottamista
henkilöt, joille tietopyynnöt välitetään eteenpäin kuhunkin rekisteriin liittyen
Henkilötietojen käsittely ei-tuetuissa järjestelmissä
En siirrä tai tallenna luottamuksellista tietoa henkilökohtaiseen pilvipalveluun (kuten Dropbox- tai Evernote-tilille), mikäli organisaatiolla ei ole sopimusta palvelun tarjoamisesta.
Järjestelmien sisältämien henkilötietojen käytön yleiset säännöt
Hyödyntäessäni tietojärjestelmien sisältämiä henkilötietoja, noudatan seuraavia sääntöjä:
Käytän tietoja ainoastaan käyttöön, johon ne on tarkoitettu
Käytän ainoastaan tietoja, jotka ovat omiasi, julkisesti saatavissa tai joihin minulle on annettu pääsy
Älä lisää uusia tietokenttiä palveluihin ilman ajatusta ja muiden informointia
Älä vie tietoja pois tietojärjestelmistä paikallisille levyille ilman tärkeää syytä, ja poista ne heti kuin mahdollista
Tietosuojan hallinta
Tietosuojatiimi, joka kokoontuu säännöllisesti tietosuojavastaavan johdolla. Tiimissä on jäseniä eri koulutusaloilta/yksiköistä. joka seuraa ja ohjeistaa aiheeseen liittyvissä asioissa.
Tiimi kokoontuu kerran kuukaudessa päivittämään ohjeistuksia, keskustelemaan havaituista uhista tai poikkeamista, sopimaan tiedotuksesta jne. Henkilöstöä on ohjeistettu olemaan yhteydessä tietosuojatiimiin havaitessaan tieto- tai kyberturva uhkia tai poikkeamia.
Kyberturvallisuusohjeistuksen laadinta on juuri työn alla. Tekeillä step-by-step ohjeistus, miten reagoidaan uhkatilanteissa. Vaatii yhteistoimintaa ulkopuolisten toimijoiden kanssa.
Kouluttautuminen
Koko henkilöstö on suorittanut ns. Arjen tietosuojakoulutuksen ja tehneet arjen tietosuojatestin, uudet työntekijät suorittavat testin osana orientaatiota.
Henkilöstön tulee suorittaa Tietosuojan ABC julkishallinnon henkilöstölle -koulutus ja palauttaa hyväksytty suoritustodistus henkilöstöhallintoon
Koko henkilöstön on tutustuttava tietosuojapolitiikkaan, joka on nähtävillä intrassa
Tietosuojatiimin tiedotuskanavalla on nähtävillä kyberturvallisuuskeskuksen kuukausittainen kybersää
Henkilöstölle pyritään pitämään vähintään kaksi kertaa vuodessa tietosuoja iltapäivä, jossa käydään läpi yhteisiä tietosuojakäytänteitä, sekä ajankohtaisia kyberturvallisuus uutisia.
Tietoturvaohjeistus henkilöstölle sekä tietysti tietosuojaan liittyvät rekisteriotteet. Tarkoitus on tehdä alkuvuodesta tietoturvakartoitus ja sen perusteella suunnitella toimenpiteitä.
Käytetään henkilötietoja sisältävien salassa pidettävien viestien välittämiseen turvapostia
Turvatulostus käytössä kopiokoneilla (vaatii tulostuskorttia tai tunnistautumista)
Henkilöstön tulee suorittaa Tietosuojan ABC julkishallinnon henkilöstölle -koulutus ja palauttaa hyväksytty suoritustodistus henkilöstöhallintoon.
Päivitetty 9.4.2024
Tekijät
Tietoturva ja kyberturva
Text
Text
Text
Text
Text
Text
Text
Text