Tietojärjestelmän tietoturva

 Etusivu

Käyttöturvallisuus

Kun tietotekniikassa luodaan ja ylläpidetään turvallisia käytön olosuhteita, puhutaan käyttöturvallisuudesta. Hyvä käyttöturvallisuus toteutetaan seuraavilla osilla:

  • Toimivuuden valvonta

  • Käyttöoikeuksien hallinta

  • Käytön ja lokien valvonta

  • Ohjelmistotuki

  • Ylläpito-, kehittämis- ja huoltotoimintojen turvallisuus

  • Varmuuskopiointi

  • Häiriöraportointi

  • Haittaohjelmilta ja viruksilta suojaaminen

  • Toipumissuunnitelmat, varmuuskopiot ja UPS-laitteet

  • Toimivuuden hallinta

Hyvä tietojärjestelmän ylläpito parantaa tietoturvallisuutta huolehtimalla, että järjestelmät ovat ajan tasalla ja normaalitila on tiedossa. Jos poikkeustila syntyy, järjestelmän ylläpitäjä tunnistaa muutoksen heti ja voi ehkäistä tai ainakin minimoida niiden haittavaikutuksia. Hyvä ylläpito on selkeästi ohjeistettua, tehtävät vastuutettuja, suunniteltua ja ammattitaitoista. Järjestelmät ja niihin liittyvät toimintatavat ovat dokumentoituja ja ne ovat ajan tasalla ja päivitettyjä. Jos järjestelmien ylläpitoa ulkoistetaan, pitää olla tarkasti tiedossa, mitkä vastuut kummallakin on ja miten ylläpitoa toteutetaan. Järjestelmän ylläpitäjillä pitää olla tarvittava koulutus ja taitoja pitää ylläpitää koulutuksilla tarvittaessa.

Käyttöoikeuksien hallinta
Käyttöoikeudet ja niiden hallitseminen on osa organisaation tietoturvapolitiikkaa. Organisaatiolle luodaan toimintatapoja ja periaatteita, joiden avulla hallinnoidaan tietojärjestelmien käyttäjien oikeuksia. Oikein toteutettuna organisaatio säästää kustannuksissa, koska ylimääräistä työtä ja lisenssejä ei tarvita. Hyvin hallittuna tietojärjestelmien käyttö nopeutuu ja väärinkäytösten mahdollisuus pienenee. Käyttöoikeuksien hallinnassa on hyvä ottaa seuraavat asiat huomioon:

  • Kaikki, jotka käyttävät tietojärjestelmiä, pitää tunnustaa - Ensimmäisellä kerralla kun luodaan käyttäjätunnus, pitää henkilön pystyä esittämään kuvallinen henkilötunnus. Joskus työsopimus/opintosopimus riittää. Käyttäjällä pitää olla järjestelmän käyttöön tarvittava opastus tai koulutus.

  • Kaikki käyttäjätunnukset ja salasanat ovat henkilökohtaisia - Käyttäjätunnus pitää aina pystyä jäljittämään luotettavasti tunnusta käyttävään henkilöön. Tietojärjestelmissä pitää olla käytössä käyttäjärekisteri.

  • Käyttöoikeuksien hallinta (myöntö, muuttaminen, poisto) pitää olla organisoitua - Käyttöoikeuksien hallinnassa pitää olla sovitut toimintatavat. Käyttöoikeuksia myönnetään silloin kun työtehtävät niin vaativat ja ne ovat henkilö- tai tehtäväroolikohtaisia.

  • Käyttäjätunnukset ja käyttöoikeudet tarkastetaan säännöllisin väliajoin - Tarkastuksia olisi hyvä tehdä vähintään kerran vuodessa ja tarpeettomat tunnukset, roolit ja oikeudet pitäisi poistaa. Tarkastuksista tehdään raportti, joka esitetään tietojärjestelmän omistajataholle. Raportista ilmenee tietojärjestelmän käyttöön liittyvät työroolit ja tehtävät.

  • Tietojärjestelmässä pitää olla riittävä tietoturvajärjestely, jotta tietojen luvaton muuttaminen tai käsittely estetään - Luvaton käyttö estetään käyttöoikeushallinnalla, käytön valvonnalla ja tietoverkkojen turvallisuusjärjestelyillä. Kaikkien käyttäjien toimet pitää pystyä selvittämään jälkikäteen. Myös käyttöoikeuksien myöntämisestä ja muuttamisesta pitää jäädä lokitiedosto tai se pitää dokumentoida jollain muulla tavalla. Näistä pitää selvitä milloin, miksi ja koska käyttöoikeuksia on tehnyt tai muuttanut. Käyttöoikeuksia pitäisi päästä käsittelemään vain henkilöt, joiden kanssa on sovittu tästä työtehtävästä.

  • Käyttäjien seurannasta on olemassa kirjallinen suunnitelma – Seurannan suunnitelman olemassaolon lisäksi sitä on myös noudatettava. Tietojärjestelmien käyttäjien valvonta pitää olla dokumentoitua ja tuloksista laaditaan raportti. Käyttäjätunnuksien määrää seurataan kustannussyistä ja ylimääräiset poistetaan mahdollisimman nopeasti, jotta ylimääräisiltä lisenssimaksuilta säästyttäisiin. Varsinkin ylläpito- ja pääkäyttäjien hallintaoikeuksia seurataan tarkasti.

Tietoturva osana toimintakulttuuria
Jotta tietoturvasta olisi hyötyä, pitää käyttäjiä tiedottaa, sitouttaa ja kouluttaa organisaation toimintatapoihin. Organisaation pitäisi saada aikaiseksi turvallinen toimintaympäristö, jossa jokainen työntekijä kunnioittaa toistensa tietoturvaan liittyviä oikeuksia. Jokaisen tietojärjestelmiä käyttävän pitäisi perehtyä organisaation dokumentoituun tietoturvapolitiikkaan. Kaikkien toimijoiden, jotka käsittelevät salassa pidettäviä tietoja, pitäisi laatia henkilökohtainen käyttö- ja salassapitosopimus. Käyttöoikeudet annetaan vain henkilöille, jotka tarvitsevat näitä tietoja työssänsä tai tehtävässänsä. Väärinkäyttöä varten laaditaan ilmoituskanava, jonka avulla organisaation työntekijät voivat ilmoittaa havainnoistaan ja tämän käyttöön opastetaan. Näin väärinkäyttöön voidaan reagoida nopeasti ja toiminta voidaan rajoittaa tai lopettaa. Järjestelmän tai tietoturvallisuuden puutteista ilmoitetaan välittömästi järjestelmän vastuuhenkilöille. Vahingon torjunta on organisaatiossa halvempaa kuin vahingon korjaaminen.

Tietojärjestelmän tietoturvaan perehdyttäminen
Jotta henkilökunta osaisi toimia suunniteltujen tietoturvatoimenpiteiden mukaan, pitää heitä kouluttaa ja perehdyttää siihen. Kun tunnukset annetaan käyttöön, tarvittavat ohjeet selitetään käyttäjälle ja salassapitosopimukset allekirjoitetaan. Aika-ajoin on myös muuta henkilökuntaa perehdytettävä tietojärjestelmien käyttöoikeuksiin ja käyttöön liittyvissä tietoturva-asioissa. Jos henkilökuntaa ei muistuteta määrätyin ajoin, on normaalia, että tietoturva-asioissa aletaan oikoa ja lipsua. Heitä on myös muistutettava siitä, että heillä on vastuu käyttäjätunnuksiensa huolellisesta käytöstä ja siitä, ettei tunnukset päädy toisen henkilön käyttöön. Heitä on myös opastettava ja koulutettava sähköisten asiakirjojen oikeaan käyttöön. Opastuksen seuraamista valvotaan ja opastuksen muutostarvetta arvioidaan, jotta se olisi ajantasaista ja tehokasta.

  

Video
 
 

Aiheeseen liittyvät linkit

Tietoturva
 - Tietojesi turvaksi
 - E-learn tietoturvaa


 
 

Kysy neuvoa tai anna vinkki
 

Tiedotteet ja aikataulut

Tervetuloa kurssille
Tähän tulee ilmoituksia kurssista

 

Tehtävät ja palautus

Tehtäviä

1. Miten käyttöturvallisuus ilmenee tai näkyy koulun tietoverkossa? Mitä käyttöturvallisuuden toteutuksia ei käyttäjä huomaa?

2. Mitkä vaatimukset salasanaan koulun verkossa on käyttäjille? Miksi ne ovat niin haastavat? Mitä voisi tapahtua, jos salasanat olisivat heikommat?

3. Jos sinun pitäisi laatia ohjeet uudelle käyttäjälle tietoturvallisuudesta, minkälaisia kohtia listassasi olisi? Luo aloittelevalle opiskelijalle hyvä muistilista koulun tietoturvallisuudesta. Pitäisikö uusille opiskelijoille laatia ja allekirjoituttaa käyttö- tai salassapitosopimus?

Palauta vastaukset laatimalla OneDriveen kansio kurssin nimellä ja jakamalla se kurssin lopuksi opettajalle.