Koha-Suomi Oy:n tietosuoja- ja turvaperiaatteet
1. Johdanto
Tässä suunnitelmassa kuvataan Koha-Suomi Oy:n tietoturvasuunnitelma käytännön tasolla. Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi lainsäädännöllisillä, hallinnollisilla, teknisillä ja muilla toiminnoilla sekä normaali- että poikkeusoloissa
Tietoturvasuunnitelmassa kuvailluilla tietoturvatoimenpiteillä pyritään luomaan toimintaympäristö, jossa Koha-Suomi Oy:n ja sen omistajakuntien kannalta olennaisin tieto, tietojärjestelmät, tietoliikenne, palvelut, henkilöstö sekä tietojen käytettävyys olisivat suojattuja ulkoisilta ja sisäisiltä tietoturvauhkilta.
2. Tietoturvatoimenpiteet ja menettelyt
Tietoturva voidaan jakaa eri osa-alueisiin ja tässä kuvataan niihin liittyvät toimenpiteet. Tietoturva sisältää tietoaineiston tietosuojan tiedostojen, asiakirjojen ja muiden tietovälineiden säilytyksen
2.1. Käsiteltävän tietoaineiston tietosuoja
Koha-Suomen Oy:n järjestelmissä käsitellään henkilötietoja, jotka kuuluvat tietosuojan piiriin. Näiden tietojen tietosuojan toteutuminen varmistetaan tietoaineistojenkäsittelyn ohjeistuksilla ja järjestelmän tarjoamilla suojauskeinoilla ja tietosuojakoulutuksilla arkaluonteista tietoa käsitteleville henkilöille. Henkilö- ja asiakastietojen käsittelyssä noudatetaan erityistä tarkkuutta ja tietojen lähettämisessä sähköisesti käytetään suojattuja yhteyksiä, esimerkiksi suojattua sähköpostia.
2.2. Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys
Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle tai palvelimelle päivittäin. Varmuuskopiot tallennetaan kahteen erilliseen palvelinsaliin. Paperidokumentit skannataan tarvittaessa sähköiseen muotoon ja tallennetaan verkkolevylle, minkä jälkeen paperiversiot tarvittaessa arkistoidaan tai hävitetään tietoturvallisesti.
2.3. Ohjelmistoturvallisuus
Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ohjelmistojen sekä muiden ohjelmistojen ja sovellusten suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen ylläpitoon ja päivityksiin liittyviä toimenpiteitä. Ohjelmistojen turvallisuutta ylläpidetään ohjelmistojen käytönaikaisien ja ohjelmiston palvelualustan (käyttöjärjestelmän ja mahdollisten väli- ja apuohjelmistojen) turva- asetusten määrittelyllä sekä käyttäjien koulutuksella ja ohjeistuksella.
Ohjelmistoturvallisuutta toteutetaan myös muita teknisiä turvakeinoja käyttämällä. Käyttäjien ja muiden ohjelmien pääsyä ohjelman sisältämään tietoon rajoitetaan tietoverkon eriyttämisellä, parantamalla ohjelmistoympäristön turvallisuutta. mm. turvapäivityksiä ja -ohjelmia asentamalla sekä käyttämällä järjestelmien turvaominaisuuksia.
2.4. Tietoliikenneturvallisuus
Tietoliikenneturvallisuuteen sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, merkittävien tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen. Tietoliikennelaitteisiin liittyvät käytön- ja verkonvalvonta toteutetaan erillisellä verkonvalvontajärjestelmällä, jonka piiriin valvottavat kohteet liitetään. Verkonvalvonta toteutetaan Bittiguru Oy:n taholta. Asiakkaat vastaavat tietoliikenneturvallisuudesta omien ohjeistustensa mukaisesti.
2.5. Käyttöturvallisuus
Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet. Tämä toteutetaan huolehtimalla mm. toimivuuden valvonnasta, käyttöoikeuksien hallinnasta, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuuskopioinnista sekä häiriöraportoinnista.
2.6. Henkilöstöturvallisuus
Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja -tehtävät ovat selvillä. Lisäksi tarvitaan riittävällä tasolla määritellyt prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntymistä pyritään välttämään.
Valmiussuunnittelussa otetaan huomioon lomat, poissaolot, työnkierto ja väliaikaisjärjestelyt riittävän hyvin sekä lisäksi valmennetaan henkilöstö poikkeusoloihin. Vaaralliset työyhdistelmät pyritään tunnistamaan ja poistamaan, jotta organisaation toiminnan suojaksi rakennettuja menetelmiä ei voida havaitsematta kiertää.
Keskeisiä asioita ovat työhönottoon, toimenkuvien olennaisiin muutoksiin ja palvelussuhteen loppumiseen liittyvät prosessit. Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös vaitiolositoumus. Perehdytyksen yhteydessä tulee käydä läpi yhtiön tietoturvaohjeistus.
2.7. Fyysinen turvallisuus
Fyysisen turvallisuuden tarkoituksena on turvata organisaation häiriötön toiminta kaikissa olosuhteissa niiden erityistarpeet ja riskit huomioon ottaen.
Seuraavassa on lueteltu toimenpiteitä fyysisen turvallisuuden toteuttamiseksi.
Tietojenkäsittely-ympäristön kehittäminen ja ylläpito
Koha-Suomi oy:n tietojenkäsittely-ympäristön muodostavat laitteet, lähiverkko, tietoliikenneyhteydet ja ohjelmat sekä varsinaiset työtiedostot. Päivittäisessä toiminnassa huolehditaan siitä, että tietojenkäsittely- ympäristön palvelutaso, automaatioaste, tehokkuus ja toipumiskyky erilaisista häiriöistä vastaavat jatkuvasti toiminnan tarpeita ja vaatimuksia. Asiakkaat vastaavat tietoliikenneturvallisuudesta omien ohjeistustensa mukaisesti.
Laitetilat ja niiden sijainti
Koha-Suomi Oy:n alustapalveluiden tuottaja vastaa siitä, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet (palvelimet, reitittimet, kytkimet) sijoitetaan omaan palo-, murto- ja vesivahingoilta turvassa olevaan tilaansa, jossa niiden riittävän häiriötön toiminta ja tarvittavien tietovälineiden riskitön käsittely on varmistettu. Lisäksi huolehditaan, että laitteet ovat rakenteeltaan käyttötarkoitukseen sekä käyttöolosuhteisiin sopivat.
Paloturvallisuus
Laitteiden turvallisen sijoituksen lisäksi myös tietovälineitä säilytetään paloturvalliseen säilytykseen tarkoitetussa tietovälinekaapissa. Laitetilojen ulkopuolella syttyneen tulipalon aiheuttaman savun ja noen pääsy esimerkiksi keskusilmastoinnin kautta laitetiloihin ja laitteisiin estetään. Lisäksi huolehditaan riittävästä ja elektronisten laitteiden sammuttamiseen tarkoitetusta alkusammutuskalustosta ja henkilöstön alkusammutuskoulutuksesta.
Vesivahinkoturvallisuus
Varmistetaan, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet sekä puhelinvaihteet on nostettu riittävän ylös lattiapinnasta, mikäli laitetiloissa on lattialle kertyvän vuoto- tai sammutusveden mahdollisuus. Lisäksi sprinklatuissa tiloissa laitteet sijoitetaan siten, ettei vikalaukeaminen kastele laitteita.
Sähköilmiöturvallisuus
Tärkeiden laitteiden virransyöttö suojataan ja varmistetaan UPS-laitteilla ja tieto- ja teleliikenneyhteydet varustetaan ylijännitesuojilla varsinkin taajamien ulkopuolella.
Toimitilaturvallisuus
Vähimmäisvaatimukset tilaturvallisuutta lisääville toimille ja järjestelmille määräytyvät turvallisuustarpeiden perusteella, jotka voi kohdistua alueeseen, rakennukseen, tilaryhmään tai tilaan. Usein toimitilojen hallinta ja turvallisuusjärjestelyjen toteutus on kiinteistöhallinnan tai rakennuksen omistajan tehtävä.
3. Järjestelmien ylläpito
Ammattitaitoinen tietojärjestelmien ylläpito toteuttaa ja parantaa omalta osaltaan tietoturvallisuutta pitämällä järjestelmät ajantasaisena ja tuntemalla niiden normaalin tilan. Näin ehkäistään ennalta poikkeustilanteita ja minimoidaan niiden vaikutuksia.
Hyvä ylläpitokäytäntö on selkeästi ohjeistettua ja tehtävät on vastuutettu. Koha-Suomi Oy:n ylläpitämät järjestelmät, niihin liittyvät menettelytavat ja toimenpiteet dokumentoidaan sekä dokumentaatiota päivitetään tarpeen mukaan.
Ulkoistettu ylläpito
Ylläpitävän tahon ja järjestelmän omistajan välillä täytyy olla selkeä sopimus siitä, mitkä ovat kummankin vastuut ja minkä tasaisena ylläpitopalvelu toteutetaan. Sopimus sisältää palvelutasoa ja vasteaikoja määrittäviä rajoja. Ulkoistettujen ylläpito- ja etenkin tietoturvapalveluiden sisällön, eri tilanteiden vasteaikojen, eskaloinnin ja toiminnan häiriötilanteissa tai jopa poikkeusoloissa tulee olla tarkasti määriteltyjä. Palveluntarjoajien kanssa käydään vuosittain palvelukokouksissa läpi ympäristön ja henkilöstön tilanne. Toimittajien kanssa tehdään vastuujakomatriisi.
4. Tietoturvatoimenpiteet ja valvonta
4.1. Tietotekninen valvonta
Tietoturvan tietotekninen valvonta koostuu järjestelmien tilan ja käytön seurannasta. Se voi olla reaaliaikaista tarkkailua (esimerkiksi onko tietty palvelu jatkuvasti tavoitettavissa) tai laitteiden ja järjestelmien kirjaamiin tapahtumalokitietoihin perustuvaa poikkeavien tapahtumien havainnointia. Erilaisia ohjelmistoja voidaan käyttää tietoturvapoikkeamien havaitsemiseen suuresta käyttötapahtumamassasta. Valvonnan helpottamiseksi valvontajärjestelmät voivat tuottaa tosiaikaista tilannekuvaa koko tietojärjestelmästä ja kerätä tietoa sekä hälyttää hyväksytyt raja-arvot ylittäneistä tapahtumista.
Tietoturvapoikkeamien todentamisessa käytetään hyväksi lokitietoja. Lokien kerääminen ja tallentaminen järjestetään niin, että niitä ei päästä muuttamaan tai poistamaan tietomurtojen yhteydessä. Osa lokien sisältämästä tiedosta on säädösten mukaan luottamuksellista ja suojataan valtuuttamattomalta käsittelyltä. Henkilöstön toiminnan valvontaa ja valvontatiedon käsittelyä säädellään lailla. Työntekijöiden teknisen valvonnasta sovitaan henkilöstön kanssa yhteistoimintamenettelyssä.
Mahdollisista tietosuojapoikkeamissa ja -havainnoissa toimitaan tietosuoja-asetuksen mukaisesti ja ilmoitukset tehdään tarvittaessa valvontaviranomaiselle sekä rekisteröidylle asetuksen mukaisesti. Tekniseen valvontaan liittyen uhkia seurataan. Suomessa Viestintävirasto CERT-FI antamia varoituksia tietoturvauhkista.
4.2. Käyttöoikeuksien hallinta
Tietojärjestelmien käyttäjien työrooleihin perustuva käyttöoikeuksien ja -valtuuksien ajantasainen hallinta on tietoturvallisuuden perusedellytyksiä. Toimenpiteiden avulla varmistetaan, että valtuutetut käyttäjät pääsevät käsiksi ainoastaan siihen tietoon, johon heillä on työtehtävien ja niihin liittyvien vastuiden mukaiset pääsyoikeudet. Käyttöoikeuksien määrittely on organisaatiossa olevien esimiesten vastuulla, ja he siis vastaavat alaistensa käyttöoikeuksien oikeellisuudesta eri työtehtävissä .
5. Tietoturvatoimenpiteet hankintojen yhteydessä
Palvelukokonaisuuden, tietoteknisen laitteen tai tietojärjestelmän hankintaan liittyy tuotteen tietoturvavaatimusten määrittely ja tietoturvaominaisuuksien arviointi. Keskeiset vaatimukset määritellään ja esitetään selkeästi jo tarjouspyyntövaiheessa ja tietoturvatekijät sisällytetään tarjouksen vertailu- ja valintaperusteisiin. Tietoturvavaatimusten toteutuminen voi olla hankinnan ehdoton edellytys.
Hankintojen yhteydessä tarkasteltavia tekijöitä ovat:
- turvallisuusvaatimukset palveluille
- järjestelmähallinta, ohjelmistojen tarjoamat turvallisuusominaisuudet ja valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja kiistämättömyys
- riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden luominen
- palvelu-, huolto-, laite- ja ohjelmistotoimittajien osaaminen ja voimavarat nopean huollon ja
- varaosapalvelujen varmistaminen
- varalaitteiden saatavuuden varmistaminen sopimuksissa.
Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja tukipalveluyrityksen mahdollisuudet toimituksiin myös poikkeusoloissa.
6. Tietoturvan seuranta, valvonta ja testaus
Tietoturvaongelmista (esimerkiksi hyökkäysepäilyt) tulee ilmoittaa välittömästi esimiehelle. Merkittävistä tietoturvarikkomuksista ja niiden epäilyistä tulee tietoturvavastaavan raportoida yhtiön hallitukselle. Seurannan organisointivaatimusten vuoksi luodaan selkeä vastuuttaminen myös toimintayksiköiden pääkäyttäjätasoisten vastuuhenkilöiden osalta. Tietoturvan toteutumisen tarkastusta ja testausta tehdään aina kun siihen havaitaan erityistä tarvetta.
7. Tietoturvan kehittäminen
Tietoturvan kehittäminen on jatkuva prosessi, joka alkaa tietoturvariskien arvioinnilla. Riskien kartoituksen jälkeen mietitään nykyisen varautumisen riittävyyttä. Jo tehdyt ja tulevaisuudessa toteutettavat toimenpiteet kirjataan tietoturvasuunnitelmaa päivitettäessä. Suunnitelma kattaa kaikki järjestelmälliset toimenpiteet, joiden avulla yhtiö varautuu tietoturvariskien toteutumiseen. Tavoitteena on toiminnan kehittäminen entistä tietoturvallisemmaksi.
Koska olosuhteet muuttuvat jatkuvasti, myös tietoturvan kehittäminen on jatkuvaa ja järjestelmällistä riskien ja nykyisten varautumistoimenpiteiden riittävyyden arviointia. Tietoturvallisessakin ympäristössä voidaan havaita uusi äkillinen uhka, joka edellyttää välittömiä toimenpiteitä. Uudet tietoturvauhkat sekä niiden myötä yhtiön tietoturvakäytäntöihin tehtävät muutokset kirjataan tietoturvasuunnitelmaan päivityksen yhteydessä.
Tyypillisiä päivittäiseen toimintaan liittyviä riskejä ovat erilaiset poikkeustilanteet, kuten loma-ajat ja sijaisjärjestelyt. Ongelmia saattavat aiheuttaa myös esimerkiksi tietämättömyys tietojen varmuuskopiointiin tai tilojen suojaamiseen liittyvistä asioista, tietojen lähettäminen tai luovuttaminen väärille henkilöille, puutteellisesta ohjeistuksesta tai koulutuksesta aiheutuvat tiedon menetykset ja aineelliset vahingot.
Arvioitavia asioita voivat olla esimerkiksi:
- Huolehditaanko loma ym. sijaisten ja ulkopuolisten työntekijöiden perehdyttämisestä?
- Tiedotetaanko tietoturvallisuuteen liittyvistä muutoksista aina henkilöstölle ja kaikille sidosryhmille?
- Tuntevatko työntekijät omat vastuunsa ja velvoitteensa tietoturvaan liittyvissä asioissa?
- Onko tietoturvakoulutuksesta ja -ohjeistuksesta huolehdittu?
- Kehen otetaan yhteyttä tietoturvaan liittyvissä asioissa?
- Kuka vastaa tietoturvan kehittämisestä?
8. Asiakirjan päivitys
Asiakirjaa tarkastellaan ja päivitetään tarpeen mukaan. Päivitetty versio käsitellään yhtiön hallituksessa. Pääsääntöisesti suunnitelmia ylläpitää tuotepäällikkö. Ohjeistuksilla viedään suunnitellut toimenpiteet käytännön asteelle ja näitä ohjeistuksia voidaan päivittää aina tarvittaessa ilman erillistä käsittelyä. Ohjeistuksien muutokset voidaan laittaa kuitenkin tiedoksi hallitukselle.