Käyttöturvallisuus
Kun
tietotekniikassa luodaan ja ylläpidetään turvallisia käytön
olosuhteita, puhutaan käyttöturvallisuudesta. Hyvä
käyttöturvallisuus toteutetaan seuraavilla osilla:
-
Toimivuuden valvonta
-
Käyttöoikeuksien hallinta
-
Käytön ja lokien valvonta
-
Ohjelmistotuki
-
Ylläpito-, kehittämis- ja
huoltotoimintojen turvallisuus
-
Varmuuskopiointi
-
Häiriöraportointi
-
Haittaohjelmilta ja viruksilta
suojaaminen
-
Toipumissuunnitelmat, varmuuskopiot ja
UPS-laitteet
-
Toimivuuden hallinta
Hyvä tietojärjestelmän ylläpito parantaa
tietoturvallisuutta huolehtimalla, että järjestelmät ovat ajan
tasalla ja normaalitila on tiedossa. Jos poikkeustila syntyy,
järjestelmän ylläpitäjä tunnistaa muutoksen heti ja voi
ehkäistä tai ainakin minimoida niiden haittavaikutuksia. Hyvä
ylläpito on selkeästi ohjeistettua, tehtävät vastuutettuja,
suunniteltua ja ammattitaitoista. Järjestelmät ja niihin
liittyvät toimintatavat ovat dokumentoituja ja ne ovat ajan
tasalla ja päivitettyjä. Jos järjestelmien ylläpitoa
ulkoistetaan, pitää olla tarkasti tiedossa, mitkä vastuut
kummallakin on ja miten ylläpitoa toteutetaan. Järjestelmän
ylläpitäjillä pitää olla tarvittava koulutus ja taitoja pitää
ylläpitää koulutuksilla tarvittaessa.
Käyttöoikeuksien hallinta
Käyttöoikeudet ja niiden hallitseminen on osa
organisaation tietoturvapolitiikkaa. Organisaatiolle luodaan
toimintatapoja ja periaatteita, joiden avulla hallinnoidaan
tietojärjestelmien käyttäjien oikeuksia. Oikein toteutettuna
organisaatio säästää kustannuksissa, koska ylimääräistä työtä
ja lisenssejä ei tarvita. Hyvin hallittuna tietojärjestelmien
käyttö nopeutuu ja väärinkäytösten mahdollisuus pienenee.
Käyttöoikeuksien hallinnassa on hyvä ottaa seuraavat asiat
huomioon:
-
Kaikki, jotka käyttävät
tietojärjestelmiä, pitää tunnustaa - Ensimmäisellä
kerralla kun luodaan käyttäjätunnus, pitää henkilön pystyä esittämään kuvallinen henkilötunnus. Joskus työsopimus/opintosopimus riittää. Käyttäjällä pitää olla
järjestelmän käyttöön tarvittava opastus tai koulutus.
-
Kaikki käyttäjätunnukset ja salasanat ovat
henkilökohtaisia - Käyttäjätunnus pitää aina
pystyä
jäljittämään luotettavasti tunnusta käyttävään henkilöön.
Tietojärjestelmissä pitää olla käytössä käyttäjärekisteri.
-
Käyttöoikeuksien hallinta (myöntö, muuttaminen,
poisto) pitää olla organisoitua - Käyttöoikeuksien
hallinnassa pitää olla sovitut toimintatavat. Käyttöoikeuksia
myönnetään silloin kun työtehtävät niin vaativat ja ne ovat
henkilö- tai tehtäväroolikohtaisia.
-
Käyttäjätunnukset ja käyttöoikeudet tarkastetaan säännöllisin
väliajoin - Tarkastuksia olisi hyvä tehdä vähintään
kerran vuodessa ja tarpeettomat tunnukset, roolit ja oikeudet
pitäisi poistaa. Tarkastuksista tehdään raportti, joka
esitetään tietojärjestelmän omistajataholle. Raportista
ilmenee tietojärjestelmän käyttöön liittyvät työroolit ja
tehtävät.
-
Tietojärjestelmässä pitää olla riittävä
tietoturvajärjestely, jotta tietojen luvaton muuttaminen tai
käsittely estetään - Luvaton käyttö estetään
käyttöoikeushallinnalla, käytön valvonnalla ja tietoverkkojen
turvallisuusjärjestelyillä. Kaikkien käyttäjien toimet pitää
pystyä selvittämään jälkikäteen. Myös käyttöoikeuksien
myöntämisestä ja muuttamisesta pitää jäädä lokitiedosto tai se
pitää dokumentoida jollain muulla tavalla. Näistä pitää
selvitä milloin, miksi ja koska käyttöoikeuksia on tehnyt tai
muuttanut. Käyttöoikeuksia pitäisi päästä käsittelemään vain
henkilöt, joiden kanssa on sovittu tästä työtehtävästä.
-
Käyttäjien seurannasta on olemassa kirjallinen
suunnitelma – Seurannan suunnitelman olemassaolon
lisäksi sitä on myös noudatettava. Tietojärjestelmien
käyttäjien valvonta pitää olla dokumentoitua ja tuloksista
laaditaan raportti. Käyttäjätunnuksien määrää seurataan
kustannussyistä ja ylimääräiset poistetaan mahdollisimman
nopeasti, jotta ylimääräisiltä lisenssimaksuilta
säästyttäisiin. Varsinkin ylläpito- ja pääkäyttäjien
hallintaoikeuksia seurataan tarkasti.
Tietoturva osana toimintakulttuuria
Jotta tietoturvasta olisi hyötyä, pitää käyttäjiä
tiedottaa, sitouttaa ja kouluttaa organisaation
toimintatapoihin. Organisaation pitäisi saada aikaiseksi
turvallinen toimintaympäristö, jossa jokainen työntekijä
kunnioittaa toistensa tietoturvaan liittyviä oikeuksia.
Jokaisen tietojärjestelmiä käyttävän pitäisi perehtyä
organisaation dokumentoituun tietoturvapolitiikkaan. Kaikkien
toimijoiden, jotka käsittelevät salassa pidettäviä tietoja,
pitäisi laatia henkilökohtainen käyttö- ja salassapitosopimus.
Käyttöoikeudet annetaan vain henkilöille, jotka tarvitsevat
näitä tietoja työssänsä tai tehtävässänsä. Väärinkäyttöä
varten laaditaan ilmoituskanava, jonka avulla organisaation
työntekijät voivat ilmoittaa havainnoistaan ja tämän käyttöön
opastetaan. Näin väärinkäyttöön voidaan reagoida nopeasti ja
toiminta voidaan rajoittaa tai lopettaa. Järjestelmän tai
tietoturvallisuuden puutteista ilmoitetaan välittömästi
järjestelmän vastuuhenkilöille. Vahingon torjunta on
organisaatiossa halvempaa kuin vahingon korjaaminen.
Tietojärjestelmän tietoturvaan
perehdyttäminen Jotta henkilökunta osaisi toimia
suunniteltujen tietoturvatoimenpiteiden mukaan, pitää heitä
kouluttaa ja perehdyttää siihen. Kun tunnukset annetaan
käyttöön, tarvittavat ohjeet selitetään käyttäjälle ja
salassapitosopimukset allekirjoitetaan. Aika-ajoin on myös
muuta henkilökuntaa perehdytettävä tietojärjestelmien
käyttöoikeuksiin ja käyttöön liittyvissä tietoturva-asioissa.
Jos henkilökuntaa ei muistuteta määrätyin ajoin, on normaalia,
että tietoturva-asioissa aletaan oikoa ja lipsua. Heitä on
myös muistutettava siitä, että heillä on vastuu
käyttäjätunnuksiensa huolellisesta käytöstä ja siitä, ettei
tunnukset päädy toisen henkilön käyttöön. Heitä on myös
opastettava ja koulutettava sähköisten asiakirjojen oikeaan
käyttöön. Opastuksen seuraamista valvotaan ja opastuksen
muutostarvetta arvioidaan, jotta se olisi ajantasaista ja
tehokasta.
|