3 Henkilöstöriskien hallinnan perusteet

3.1 Uhkat ja riskien hallinta

Henkilöstö ja siitä johtuvat tietoturvatekijät ovat mahdollisesti tietojen ehey­den, luottamuksellisuuden ja käytettävyyden uhkana. Usein uhkana pidetään henkilöstön aiheuttamia vahinkoja, tahallisia (ei-tuottamuksellisia) tai tahat­tomia (tuottamuksellisia), mutta myös organisaation rakenteella ja sen panos­tuksella tietotekniikkaan on suuri merkitys.

SHRM-mallissa (Strategic Human Resource Management) keskeistä on suunnitelmallinen ja järjestelmällinen henkilöstön kehittämien, johtaminen ja henkilöstöasioiden hallinto. Voidaan todeta, että karkeasti ottaen noin puo­let kaikista tietoturvarikkomuksista liittyy organisaation menettelytapoihin. Torjuntasuositukset ovat tyypillisimmillään työn johtamiseen ja valvontaan sekä tiedonkulkuun ja yhteistyöhön liittyviä.

Henkilöstöturvallisuuden tarkastelun kohteena ovat teknologian, organi­saation, ihmisen, työtehtävän ja työympäristön välinen yhteys.

Henkilöstöturvallisuus on henkilöstöön liittyvien riskien hallintaa. Arvioita­via kohteita ovat mm. henkilöstön soveltuvuus, toimenkuvat, sijaisjärjestelyt, tie­donsaanti- ja käyttöoikeudet, suojaaminen, turvallisuuskoulutus ja valvonta.

Tietoturvatyössä teknisten ja toiminnallisten menetelmien käytön lisäksi suuri rooli jää henkilöstölle. Viraston on määriteltävä yksikäsitteisesti hen­kilöiden tietoturvallisuuteen liittyvät vastuut ja velvollisuudet. Tämä voidaan toteuttaa joko erillisten tehtävänkuvausten, työsopimusten tai muiden vastaa­vien järjestelyjen kautta. Vastuu- ja velvollisuuskuvauksista tulee ilmetä muun muassa salassapitovelvollisuuksiin, henkilöstö- ja asiakastoimintaan liittyvien tietojen käsittelyyn sekä muiden erityisluontoisten tietoaineistojen käsittelyyn liittyvät erityisvelvoitteet.

Henkilöstöturvallisuustyöllä vähennetään oman henkilöstön aiheuttamaa tuottamuksellista uhkaa muun muassa ohjeistamalla, kouluttamalla, kehittä­mällä työmenetelmiä ja vaikuttamalla asenteisiin.

Tietoturvallisuuden täytyy näkyä myös arjessa. Henkilöstö saattaa toimia tie­toisesti organisaation sisältä vakoilemalla tai sabotoimalla. Rikoksen onnistumisen mahdollisuus on voitava minimoida esimerkiksi henkilöiden taustaselvitysten, huolellisen tietojen luokittelun, raportoinnin, sisäisen valvonnan ja sisäisen tar­kastuksen, kulunhallinnan ja johdonmukaisen seuraamusmenettelyn avulla.

Henkilön työsuhteen päättymiseen myös riitatilanteen seurauksena on varauduttava. Työntekijän, eronneen tai erotetun, pääsy viraston tietojärjes­telmiin on estettävä välittömästi eroilmoituksen jälkeen sekä huolehdittava järjestelmien lokien tarkistamisesta järjestelmien tavanomaisesta poikkeavan käytön selvittämiseksi. Kuvatussa tulehtuneessa tilanteessa on työntekijä saa­tettava työpisteelleen, josta hän valvotusti kerää henkilökohtaisen omaisuu­tensa, minkä jälkeen hänet saatetaan ulos toimitiloista. Samalla on huolehdit­tava työntekijälle luovutettujen käyttäjätunnusten, kulkulupien, avainten ja muiden pääsyoikeuksien peruuttamisesta ja pois ottamisesta.

Vahinkojen määrän rajoittamiseksi virasto voi hyödyntää seuraavia ris­kienhallintatoimenpiteitä.

  1. Välttäminen tarkoittaa henkilöstön sijoittelun ja toimenpiteiden suunnitte­lua niin, että vahingon tapahtumisen todennäköisyys pienenee. Organisaa­tion rakenne ja käytettävissä olevat resurssit luovat rajoituksia sille, miten tehokkaasti tätä voidaan harjoittaa.

  2. Estämisellä tarkoitetaan liikkumisen ja toiminnan rajoituksia. Tällaisia ovat esimerkiksi kulunvalvonta organisaation tiloissa sekä erilaiset käyttä­järoolit ja niiden mukainen tietojen saatavuus tietojärjestelmissä.

  3. Havaitseminen sisältää toimenpiteet, joilla pyritään estämään tietojen vää­rinkäytön yritykset ja paljastamaan tapahtuneet väärinkäytökset. Menetel­miä ovat mm. tilojen valvontalaitteistot, tietojärjestelmien lokitiedostot ja niiden automatisoitu valvonta.

  4. Toipuminen puolestaan kattaa keinot, joilla vahingoista, esimerkiksi avain­työntekijän kuolema, pyritään toipumaan.

 

3.2 Henkilöstöriskien hallinnan periaatteita

Henkilöstöriskien hallinnassa on käytettävä useita menetelmiä. Lähtökohtai­sesti tietoaineistoturvallisuus ja hallinnollinen turvallisuus, mm. tiedon omis­tajuus, luokitus, käsittelysäännöt, ohjeistus ja koulutus, ovat edellytyksiä hen­kilöstöturvallisuudelle, mutta niiden lisäksi henkilöstöturvallisuudessa on otettava huomioon muitakin mekanismeja. Työprosessit ja käsittelyketjujen tietovirrat on alun perin suunniteltava sellaisiksi, että henkilöstön tahallisia ja tahattomia virheitä voidaan ennalta estää. Näitä kutsutaan käsittelyketjujen turvaohjausmekanismeiksi.

Henkilöstöturvallisuustyön yleisperiaatteita ovat:

  • monitasoisen turvajärjestelyn käyttö (in-depth defence)

  • tietoja saa vain työtehtävään (need-to-know) ja lähtökohtaisesti vain vähimmäistarpeeseen (least privilege)

  • tietojen lokerointi luokittain ja henkilöryhmittäin (compartmentalization)

  • vaarallisten työyhdistelmien välttäminen (segregation of duties)

  • usean henkilön yhtäaikainen läsnäolo kriittisissä toiminnoissa (dual control)

  • pääsy-, valtuus- ja hallintatietojen salaisuuden jakaminen (split knowledge)

  • henkilöstön tekemien toimenpiteiden valvonta ristiin- ja kaksoistarkistuksin (cross & double checks).

 

3.3 Henkilöstöturvallisuuden tilan arviointi ja riskikartoitus

Henkilöstöturvallisuudesta huolehtiminen alkaa rekrytoinnin yhteydessä teh­tävistä taustatarkistuksista ja turvallisuusselvityksistä. Mukana voi tarpeen mukaan olla myös huumetestaus. Tarkistusten tavoitteena on varmistaa, että henkilö on sopiva erityistä luotettavuutta edellyttävään tehtävään. Joidenkin tehtävien osalta tällä täytetään lainsäädännön asettamat vaatimukset, esimer­kiksi toimiminen lasten kanssa.

Henkilöstöhallinnolla tulee olla riittävä asiantuntemus erilaisia tarkistuk­sia ja testauksia koskevasta lainsäädännöstä sekä niissä käytettävistä menetel­mistä. Tarkistuksia tulee tarpeen mukaan tehdä myös työsuhteen aikana, esi­merkiksi toimenkuvien muuttuessa. Tiedot tarkistuksen tekemisestä on hyvä tallentaa henkilöstörekisteriin.

Henkilöstöhallintoon kuuluu tietoturvallisuuteen liittyvien vastuiden mää­rittely ja niistä tiedottaminen. Vastuut on kirjattava henkilöiden toimenkuviin. Esimiehillä on vastuu seurata tietoturvallisuuden toteutumista omassa yksikös­sään ja alaistensa toiminnassa. Myös erilaiset salassapitosopimukset ja niiden ajantasaisuudesta huolehtiminen kuuluvat tietoturvavastuiden hallinnointiin. Niistä on tehtävä kirjausmerkintä henkilöstörekisteriin.

Mikäli esimerkiksi tiedot turvaselvityksistä on viety henkilöstörekisteriin ja toisaalta tiedetään, keistä selvitykset tulisi tehdä, saadaan helposti tilannetta kuvaava prosenttiluku. Erilaisen ohjeistuksen olemassaolosta tai teknisistä järjestelyistä, kuten todentamisen toteuttamisesta tietojärjestelmissä, voidaan tehdä tarkistuslistoja, jotka kuvaavat organisaation henkilöstöturvallisuuteen panostamisen astetta. Näitä asioita pyritään mittaamaan henkilöstöturvalli­suuden arviointilomakkeilla (VAHTI 8/2006).

Suurta osaa henkilöstöturvallisuuden lomakkeista arvioija ei kuitenkaan voi täyttää omatoimisesti, vaan vastausten saaminen edellyttää eri henkilöiden haastattelua, jolloin tulokset riippuvat monin paikoin haastateltavan omista mielipiteistä ja asenteesta tietoturvallisuuteen.

Henkilöstöturvallisuuden osalta tietoturvatason arviointi vaatiikin siten arvioijalta ihmistuntemusta ja näkemystä kyseisestä osa-alueesta.

Henkilöstöturvallisuuden arvioinnissa tulisi käsitellä seuraavia asioita ja prosesseja:

  • tietoturvaohjeistus, sääntöjen tiedottaminen ja valvonta sekä koulutus

  • avainhenkilöstön käytettävyys

  • henkilöstöstä johtuvien riskien arviointi

  • työsuhteen alkuun ja loppuun liittyvät toimet.

Tyypillisiä korjattavia kohteita ovat:

  • taustaselvityksen puutteet

  • riittämättömät tai sopimattomat henkilöt

  • henkilöstön käytettävyyden arviointi

  • varahenkilöjärjestelyt

  • tietoturvaohjeistuksen, sääntöjen tiedottamisen ja valvonnan sekä koulutuksen puutteet.

Arvioinnissa syntyvässä analyysissä voidaan tarkastella seuraavia asioita:

  • turvallisuusjohtaminen

  • henkilöturvallisuus

  • fyysinen turvallisuus

  • tietoturvakulttuuri

  • lainmukaisuus.

Riskikartoituksen laatimisesta on esimerkki liitteessä 1.

 

3.4 Tarkastuslistojen käyttö

Virasto voi käyttää tarkastuslistoja tukemaan henkilöstöriskien hallintaa, esimerkiksi arvioimalla, onko tarkasteltava kohde kunnossa, vaatiiko se kehittämistä, onko se tekemättä sekä kuka vastaa asioiden edistämisestä ja kehittämisestä. Esimerkkikohteita ovat:

  • onko sovittu menettelytavoista taustatietojen tarkastamiseksi

  • onko käytössä salassapitosopimus- ja alihankkijasopimusjärjestelyt

  • onko ohjeita työsuhteen alkamiseen ja päättymiseen liittyvistä toimista

• onko työsopimuksissa ja tehtäväkuvauksissa määritelty tietoturvavelvoitteet

  • onko avainhenkilöriskit kartoitettu ja varahenkilöjärjestelyt olemassa

  • käytetäänkö työilmapiirikyselyjä

 

3.5 Keskeiset lainsäädännön velvoitteet

Henkilöstä aiheutuvan riskin hallinnassa haasteena on ihminen. Keskeiset henkilöstöturvallisuutta koskevat lainsäädännön osa-alueet ovat

  • viranomaisten toiminnan julkisuus

  • yksityiselämän suoja

  • sähköisen viestinnän tietosuoja

  • sähköisten allekirjoitusten käyttö ja tarjonta sekä sähköisen kaupankäynnin sekä sähköisen asioinnin tietosuoja ja tietoturva

  • julkisrauhan rikkominen sekä tieto- ja viestintärikokset (rikoslaki)

  • kansainväliset tietoturvavelvoitteet

  • turvallisuusselvitykset

Ainoastaan laissa tarkoin määrätyillä valtuuksilla voidaan tehdä toimenpi­teitä, jotka kohdistuvat henkilöiden perusoikeuksiin.

Henkilöstöturvallisuuteen liittyvä keskeinen lainsäädäntö on esitetty liitteessä 2.

3.6 Euroopan unionin neuvoston päätös turvallisuussäännöistä

Neuvoston päätös neuvoston turvallisuussääntöjen vahvistamisesta (Euroo­pan unionin turvallisuussääntö), jota Suomi noudattaa, velvoittaa huolehti­maan EU-luokitellun tiedon suojaamisen edellyttämästä henkilöstöturvalli­suudesta. Sen mukaan ”Turvallisuusjärjestelmän tehokkuuden varmistami­seksi jäsenvaltioiden on liityttävä sen toimintaan toteuttamalla tarpeelliset kansalliset toimenpiteet tämän päätöksen säännösten noudattamiseksi, kun niiden toimivaltaiset viranomaiset ja virkamiehet käsittelevät EU:n turvaluo­kiteltuja tietoja.”

Edellä mainitun päätöksen artikla 2, kohta 2 toteaa, että ”Jäsenvaltiot toteut­tavat asianmukaiset toimenpiteet kansallisten järjestelyjensä mukaisesti sen varmistamiseksi, että niiden yksiköissä ja tiloissa työskentelevät seuraavat hen­kilöt noudattavat 1 artiklassa tarkoitettuja säännöksiä käsitellessään EU:n tur­valuokiteltuja tietoja:

 

1 Henkilöstön luotettavuuden selvittäminen

Kaikkien, jotka pyytävät saada CONFIDENTIEL UE tai sitä luottamuksellisem­man turvaluokan tietoja, luotettavuus on selvitettävä asiaan kuuluvalla tavalla ennen luvan myöntämistä. Tällainen selvitys on tehtävä myös niiden henkilöi­den osalta, joiden tehtäviin kuuluu turvaluokiteltuja tietoja sisältävien tieto- tai tietoliikennejärjestelmien tekninen käyttö tai kunnossapito. Selvitys on suunni­teltava sellaiseksi, että tietystä henkilöstä voidaan sanoa, että

a) hän on ehdottoman luotettava,

b) hän on luonteeltaan ja harkintakyvyltään niin luja, että hänen käsitel­täväkseen voidaan epäilyksettä uskoa turvaluokiteltuja tietoja, tai että

c) hän saattaa olla altis ulkoiselle tai muista lähteistä peräisin olevalle painos­tukselle esimerkiksi sen vuoksi, että hän on asunut sellaisessa paikassa tai omannut sellaisia yhteyksiä, jotka saattavat muodostaa tietoturvariskin.Erityisen perusteellisesti on tarkastettava sellaisten henkilöiden luotettavuus,

d) joille on tarkoitus sallia pääsy TRES SECRET UE/EU TOP SECRET -turva- luokan tietoihin,

e) jotka ovat sellaisessa asemassa, että heidän tehtäviinsä kuuluu päästä säännöllisesti huomattavaan määrään SECRET UE -turvaluokan tietoja, ja

f) joilla on tehtäviensä vuoksi oikeus päästä EU:n tehtävien kannalta oleellisiin tieto- tai tietoliikennejärjestelmiin ja joilla on näin tilaisuus päästä luvatta suureen määrään EU:n turvaluokiteltua tietoa tai aiheuttaa EU:n tehtäville teknisen sabotoinnin kautta vakavaa vahinkoa.

Edellä d, e ja f alakohdissa kuvattujen olosuhteiden ollessa kyseessä on käytet­tävä mahdollisimman tehokkaasti hyväksi taustatutkimustekniikkaa.

Jos henkilöitä, joilla ei ole tehtävien mukaista valtuutusta päästä tietoihin, on määrä ottaa palvelukseen tehtäviin, joissa he voivat päästä EU:n turvaluokitel­tuihin tietoihin (kuten lähetit, turvamiehet, kunnossapitohenkilöstö ja siivoojat jne.), heidän luotettavuutensa on ensin asiaan kuuluvasti selvitettävä.

Suomessa kyseisen artiklan tarkoittama henkilöstön luotettavuuden sel­vittäminen toteutetaan pääasiallisesti turvallisuusselvitysmenettelyllä, laki turvallisuusselvityksistä (177/2002) mukaisesti. Menettelyä käsitel­lään tässä ohjeessa tarkemmin kohdissa ”turvallisuusselvitykset” ja ”kan­sainvälinen henkilöturvallisuustodistus”.

2 Luotettavuusselvitysrekisteri

Kaikkien yksiköiden, elinten tai virastojen, joissa käsitellään EU:n turvaluoki­teltuja tietoja tai joissa käytetään tehtävien kannalta oleellisia tieto- ja tieto­liikennejärjestelmiä, on pidettävä rekisteriä palvelukseen otetun henkilöstön l uotettavuusselvityksistä. Luotettavuusselvitys on tarvittaessa tarkistettava sen varmistamiseksi, että se on kyseisen henkilön nykyisten tehtävien kannalta riit­tävä. Luotettavuusselvitys on tarkistettava uudelleen ensisijaisen kiireellisesti, jos saadaan uusia tietoja, joiden mukaan henkilön työskentely turvaluokiteltu­jen tietojen parissa ei enää ole turvallisuusetujen mukaista.

3 Henkilöstölle annettavat turvallisuusohjeet

Henkilöille, jotka on otettu palvelukseen sellaiseen asemaan, jossa he voisivat päästä turvaluokiteltuihin tietoihin, on annettava heti aluksi ja säännöllisin väliajoin tarkat ohjeet turvatoimien tarpeellisuudesta ja niiden täytäntöön­panomenettelyistä. Yksi hyödyllinen menettely on edellyttää, että kaikki täl­laiset henkilöt todistavat kirjallisesti vaitiolositoumuksella, että he ymmärtävät täysin tehtäviensä kannalta olennaiset turvallisuusvaatimukset.

4 Johdon velvollisuudet

Johdon velvollisuus on tietää, ketkä kyseisen johdon alaisuudessa olevasta hen­kilöstöstä työskentelevät turvaluokiteltujen tietojen parissa tai voivat päästä yksikön tehtävien kannalta olennaisiin tieto- ja tietoliikennejärjestelmiin. Joh­don on pidettävä kirjaa ja raportoitava kaikista tapahtumista tai ilmeisistä puut­teista, jotka voivat vaikuttaa turvallisuuteen.

5 Henkilöstön oikeudellinen asema turvallisuusasioissa

Henkilöä koskevien kielteisten seikkojen tullessa ilmi on selvitettävä, onko hän tekemisissä turvaluokiteltujen tietojen kanssa tai sallitaanko hänen päästä yksi­kön toiminnan kannalta olennaisiin tieto- ja tietoliikennejärjestelmiin ja onko kyseiselle viranomaiselle ilmoitettu asiasta. Jos henkilön todetaan olevan tur­vallisuusriski, häntä on estettävä suorittamasta tehtäviä, joissa hän voi vaarantaa turvallisuuden, tai hänet on siirrettävä suorittamaan muita tehtäviä.

 

 

 

Vahti- ylläpito08.10.2009 / 11:46:57
Tulosta