Versions Compared

Old Version 25

changes.mady.by.user Kati Kesälahti

Saved on

compared with

New Version 26

changes.mady.by.user Petri Silmälä

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Tietoturvaohje

Table of Contents
indent20px
styledisc

Tavoite

Tämän ohjeen tarkoituksena on toimia jokaisen Metropolian palveluksessa olevan sekä Metropoliassa opiskelevan henkilön yleisohjeena tietoturvallisuuden perusasioissa. Noudattamalla näitä ohjeita huolehdit osaltasi tunnuksesi, tietojesi ja käyttämiesi järjestelmien suojaamisessa väärinkäytöksiltä tai vahingoittumiselta.

Ohjeistuksen sisältö seuraa pääpiirteissään Valtiovarainministeriön julkaiseman valtion viranomaisen tietoturvallisuustyön yleisohjeen rakennetta ja voimassaolevaa lain­säädäntöä.

Metropolian tietoturvaohjeistus on jatkuvasti ylläpidettävä ja päivitettävä kokonaisuus, joka sisältää korkeakoulun ydintoiminnan tarpeista lähtevän pelkistetyn ohjeistus­dokumentin sekä siihen liitettävät ohjeet, kaaviot ja ohjelmistot.

Ohjeistuksen avulla pyritään varmistamaan Metropolian elintärkeiden toimintojen jatku­vuutta tunnistamalla toimintaa uhkaavat riskit ja uhat sekä niiden vaikutukset suunnit­telemalla etukäteen niiden eliminointi- tai vaikutuksen vähentämistoimenpiteet sekä toipumis­toimenpiteet. Se sisältää tietoturvallisuuden johtamisen, toimenpiteet ja menet­telyt seuraaville osa-alueille henkilöstöturvallisuus, ohjelmistoturvallisuus, tieto­aineisto­turvallisuus, käyttöturvallisuus, fyysinen tietoturvallisuus ja tietoliikenne­turvallisuus sekä mm. olemassa olevien palvelujen riskien kartoituksen ja sen miten niihin on pyritty varautumaan.

...

  • Älä luota kaikkiin saamiisi sähköposteihin. Varsinkin jos lähettäjä on tuntematon.
  • Älä välitä luottamuksellisia tietoja salaamatta internetissä.
  • Talleta tärkeät tiedostot verkkolevylle.
  • Älä ikinä missään tilanteessa kerro tunnustasi tai sala­sanaasi kenellekään.
  • Salasana tulee olla vähintään 8 merkkiä pitkä, ja se sisältää isoja ja pieniä kirjaimia ja numeroita.
  • Lukitse ruutu kun poistut koneelta.
  • Älä asenna koneelle omia ohjelmia.
  • Älä avaa ovia tuntemattomille.
  • Sovi esimiehesi kanssa tiedostojen ja sähköpostien käsittelystä ollessasi kauan poissa.
  • Luokkien ovia ei saa teljetä auki esim. roskakorilla. Ovissa on mahdollisesti sähkölukot tiloihin pääsyn hallinnan ja kulunvalvonnan vuoksi.
  • Tietohallinnon sivuilta löytyy ajankohtaisia tiedotteita

...

  • Muodosta salasanastasi riittävän pitkä ja vaikeasti arvattava (vähintään 8 merkkiä). Pidä salasana vain omassa tiedossasi, sillä vastaat itse omalla käyttäjätunnuksellasi tehdystä työstä. Vaihda salasanasi vähintään 4 kk:n välein, ellei järjestelmä itse vaadi salasanan uusintaa määräajoin. Yhteistunnusten käytöstä on vastuussa sitä käyttävä ryhmä.
  • Muista, että ulkopuoliset henkilöt, joilla ei ole verkon käyttäjätunnusta, eivät saa käyttää työasemia tai muita tietotekniikkalaitteita.
  • Käyttöoikeuden myöntäjä (esimies) vastaa siitä, että ohjelmiston saavat käyttöön oikeat henkilöt asianmukaisin käyttöoikeuksin. Pääkäyttäjä toteuttaa sovelluksen sisälle tarvittavat oikeudet silloin, kun ohjelmistoon sisältyy mahdollisuus rajata järjestelmän käyttöä esimerkiksi työtehtävien mukaan.
  • Jos olet unohtanut salasanasi, on tietohallinnon varmennettava henkilöllisyytesi ennen uuden salasanan antamista.
  • Salasanaa ei saa kertoa kenellekään puhelimessa eikä lähettää sähköpostissa helpdeskiin, kenenkään ylläpitäjän ei tarvitse tietää salasanaasi.
  • Käyttöoikeudet ovat sidottu työsuhteeseen ja se lakkaa automaattisesti työsuhteen päättyessä.
  • Omien ohjelmien asentaminen ja käyttö työasemassa ei ole toivottavaa. Tietohallinnolla on oikeus ja velvollisuus poistaa tai estää käyttäjän itse asentamien ohjelmien käyttö, mikäli ne haittaavat järjestelmän toimintaa, työasemassa informoimatta siitä käyttäjää.
  • Varmista, että työasemassasi on asennettuna ja toiminnassa virustarkistusohjelma. Liikkeellä on haittaohjelmia, jotka rampauttavat tietoturva­ohjelmistojen toimintaa.
  • Käytä kirjoitussuojaa, kun luet levykkeitäsi vieraalla tietokoneella. Sama koskee myös muistitikkuja, mikäli tikussa on sellainen toiminnallisuus.
  • Hävitä tarpeettomat tiedostot omilta verkko- ja kiintolevyiltäsi.
  • Siivoa sähköposti­laatikkoasi säännöllisesti poistaen sieltä turhat sähköpostiviestit.
  • Laissa salaiseksi määrättyä tietoa saa säilyttää kovalevyllä tai muussa massamuistissa vain tietyn työtehtävän suorittamiseen tarvittavan ajan, jonka jälkeen tiedot on poistettava.
  • Muista tallentaa työsi säännöllisesti kotihakemistoosi ja hyödynnä mahdollisia automaattitallennustoimintoja.
  • Sulje avoimet ohjelmat poistuessasi pidemmäksi aikaa työpisteestäsi.
  • Älä irrota sähköverkosta atk-verkkolaitteita työasemia lukuun ottamatta, kysymättä ensin neuvoa tietohallinnosta.
  • Verkkolevyjen varmistus tapahtuu tietohallinnon toimesta. Työtiedostot tulee tallentaa omaan kotihakemistoon (Z:-asema). Työasemien kiintolevyille tallennettujen työtiedostojen osalta vastuu varmuuskopioinnista on käyttäjällä.
  • Kaikki taloon tuleva ja talosta lähtevä sähköposti tarkistetaan virusten, roskapostin yms. varalta. Roskapostia pääsee suodatuksesta huolimatta läpi, johtuen uusista menetelmistä ja tavoista joita roskapostittajat käyttävät. Suodattamista kehitetään ja parannetaan kokoajan.
  • Työasemiin on asennettu etähallintaa varten työaseman etäkäytön mahdollistava ohjelmisto. Etähallintaa käytettäessä käyttäjältä kysytään lupa ennen yhteyden muodostamista pois lukien opetustilat.

Kannettavia tietokoneita koskevat erityisohjeet

...

  • Internet -yhteys on tarkoitettu vain työtehtävien ja työnantajan kanssa sovittujen opintojen hoitamista varten.
  • Yhteyden turvallisuutta valvotaan ns. palomuuriohjelmalla. Tietoliikennettä ja palvelinten lokitietoja seurataan sähköisen viestinnän tietosuojalain puitteissa palvelujen käytettävyyden ja niiden tietoturvan varmistamiseen, palveluiden käyttöä koskevien väärinkäytösten selvittämiseen sekä tekniseen kehittämiseen ja vianselvitykseen.
  • Älä lataa internetistä ohjelmia tai työhön kuulumatonta materiaalia.
  • Jos epäilet tietomurtoa tai mitä tahansa turvallisuusriskiä (myös muuta kuin internetiin liittyvää), ota heti yhteyttä tietohallintoon.
  • Työnantajan luottokortin käyttö maksuvälineenä Internetissä on kielletty ilman erillistä sopimusta.
  • Muista, että edustat työnantajaasi, kun käytät Internetiä. Tietokoneesi IP-osoite, joka näkyy internetissä, on rekisteröity ammattikorkeakoululle.
  • Tyhjennä säännöllisesti Internet-selaimesi väliaikaistiedostot.
  • Seuraavien sovellusten käyttö niiden sisältämien erityisen korkeiden tietoturvariskien tai muun haitan takia ei ole suotavaa mm. :
    • Musiikki- ja videotiedostojen lataamiseen tarkoitetut sovellukset esim. Napster, KaZaA, DC sekä vastaavat
    • Automaattiset näytönsäästäjät, jotka kuluttavat työaseman resursseja omaan toimintaansa esim. SETI@home (Search for Extra Terrestial Intelligence) tai vastaavat @home ohjelmat.
    • Kaikki käyttötarkoitukseltaan haitalliset, hyvän tavan vastaiset tai työtehtävien kanssa ristiriidassa olevat palvelut (esim. salauksen purku jo lain nojalla)

Ei julkisten tietojen hävittäminen

  • Henkilötietoja tai muita luottamuksellisia tietoja sisältävä paperi, levyke, muistitikku, CD, tms. on säilytettävä varmassa ja suojatussa paikassa.
  • Luottamuksellisten papereiden hävittämistä varten kiinteistöistä löytyvät erikseen omat hävitysastiat.

Toiminta ongelmatilanteissa

...

  1. Älä hätiköi.
  2. Tietokonetta ei tarvitse sulkea.
  3. Kirjoita ylös havaintosi, tekemisesi sekä mitä mahdollisessa ilmoituksessa tai varoituksessa luki.
  4. Ota yhteyttä tietohallintoon ja/tai tietoturvavastaavaan.
  5. Toimi saamiesi ohjeiden mukaisesti.
  6. Auta tutkinnassa, kerro mitä olit tekemässä, kun kone alkoi toimia odottamattomasti.

Seuraamukset

  • Lakien, määräysten ja ohjeiden rikkomisesta tai laiminlyönnistä käyttöoikeudet tietojärjestelmiin voidaan peruuttaa. Näistä tiedotetaan aina esimiehelle.
  • Mikäli rikkomuksista tai laiminlyönneistä aiheutuu taloudellisia menetyksiä, voidaan päätyä vahingonkorvausvaatimuksiin.
  • Tietojen väärinkäyttö tai tahallinen tai huolimaton lakien, määräysten ja ohjeiden vastainen toiminta voi johtaa kurinpidollisiin seuraamuksiin, kuten irtisanomiseen ja/tai rikosoikeudellisiin seuraamuksiin.

Mistä saa lisätietoa

  • Tietojärjestelmien käyttösäännöt, kaikkien noudatettava
  • Sähköpostin käsittelysäännöt, kaikkien noudatettava
  • Valtiovarainministeriön ja VAHTIn ohjeet (www.vm.fi/vahti)
  • Muut tietoturvallisuutta ohjeistavat ja säätelevät organisaatiot (esimerkiksi Viestintävirasto, Tietosuojavaltuutetun toimisto ja Arkistolaitos)
  • Tietohallinto, esimies, työtoverit

...

  • Henkilötietolaki(523/1999)
    • henkilötietojen käsittely
    • rekisteri-ilmoitus (WinhaOMA, palkkahallinto, kulunvalvonta)
  • Sähköisen viestinnän tietosuojalaki (516/2004)
    • Metropolia on yhteisötilaaja, koska käsittelee tietoverkossaan käyttäjien luottamuksellisia tietoja ja viestejä
    • tunnistamistietoja saa käsitellä siinä määrin kuin on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelujen toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi
    • mahdollisuus estää roskaposteja ja poistaa haittaohjelmia jos palvelut vaarantuvat
    • ei saa kuitenkaan vaarantaa sananvapautta eikä luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä viestinnän turvaamiseksi
  • Laki yksityisyyden suojasta työelämässä (759/2004)
    • työnantajan on kerättävä työntekijää koskevat henkilötiedot ensisijaisesti työntekijältä itseltään
    • ohjeet työnantajalle kuuluvien sähköpostiviestien hakemisesta ja avaamisesta
    • ennen kuin voi avata posteja niin työnantajan hoidettava:
      • että työntekijä voi laittaa automaattisen poissaoloviestin ja ilmoittaa sijaisen tai
      • ohjata viestit sijaiselle tai käytössään olevaan toiseen osoitteeseen tai
      • antaa suostumuksen että työnantajan hyväksymä toinen henkilö voi lukea postia
      • Tietyin edellytyksin (esim. jos työnantaja on huolehtinut edellisen kohdan toimenpiteistä ja työntekijän suostumusta ei ole mahdollista kohtuullisessa ajassa saada) työnantajan pääkäyttäjä voi ottaa selville onko työntekijälle poissaolon aikana tullut työnantajalle kuuluvia tärkeitä viestejä. Otsikkotietojen käsittelystä tehdään allekirjoitettu selvitys, joka on toimitettava työntekijälle. Avaamisesta on laadittava siihen osallistuneiden henkilöiden (ainakin pääkäyttäjä + toinen henkilö) allekirjoittama selvitys.

...