12 Käyttöturvallisuus

Tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvät keinot tietoturvallisuuden parantamiseksi . (VAHTI 4/2004: Valtionhallinnon tietoturvakäsitteistö)

Lähtötaso

Vaatimus

Kuvaus

Dokumentoidut käytettävyysvaatimukset

Käytettävyysvaatimukset ovat selkeitä, yksikäsitteisiä ja koko järjestelmän katta­via. Dokumentti on perusta käytettävyys­ratkaisun toteutukselle ja mittaamiselle.

Jatkuvuus- ja toipumissuunnitelmat

Häiriö- ja poikkeustilanteita varten on sel­keät vastuut, suunnitelmat ja toimintaoh­jeet. Suunnitelmien toimivuutta testataan säännöllisillä käytännön harjoituksilla.

Valmiussuunnitelmat

Poikkeusoloihin on varauduttu etukäteen laatimalla valmiussuunnitelma. Valmiussuunnitelman toimivuus on testattu käy­tännössä.

Palvelutasosopimukset

Sopimuksissa on selkeät pykälät palvelutasovaatimuksista. Palvelutaso on määri­telty selkeästi ja mitattavasti. Palvelutason toteutumista seurataan ja sopimuksessa on huomioitu riittävät sanktiot.

Huoltosopimukset

Huoltosopimusten vasteajoista, varaosien saatavuudesta ja huoltopalvelun henkilöresursseista on sovittu sekä häiriötilanteet että poikkeusolot huomioiden. Huoltotar­peet on huomioitu jatkuvuus-, toipumis- j a valmiussuunnitelmissa.

Käyttäjien ja pääsyoikeuksien todentaminen

Käyttäjien todentaminen sekä pääsyoikeuksien varmistaminen tehdään luotetta­vasti ja turvallisesti.

Käyttäj ätietoj en hallinta

Käyttäjätietojen koko elinkaari hallitaan huolellisesti: käyttäjätietojen luonti, käyttöoikeuksien antaminen, käyttöoikeuksien muuttaminen, väliaikaiset käyttöoi­keudet, käyttöoikeuksien väliaikainen ja lopullinen poisto.

Käytön valvonta

Tietojärjestelmien ja hallintajärjestelmien käyttöä valvotaan. Järjestelmät on suun­niteltu siten, että valvonta ja auditointi on mahdollista ja luotettavaa.

Istuntojen aikakatkaisu

Käyttäjien avaamat istunnot tietojärjes­telmiin katkaistaan automaattisesti tie­tyn ajan kuluttua. Aika on määriteltävissä käyttötapauskohtaisesti ja ominaisuutta vaaditaan sovellustoimittajilta.

Kriittisten tehtävien eriyttäminen ja kierrättäminen

Tehtävien eriyttämisellä ja kierrättämisel­lä on varmistettu, ettei tietojärjestelmän hallinta ja valvonta ole samoissa käsissä eikä liian pienellä joukolla ole koko jär­jestelmä totaalisessa hallinnassaan.

Etäkäyttöpolitiikka

Organisaation oman verkon ulkopuolelta tapahtuva järjestelmien käyttö on huolel­lisesti suunniteltu, ohjeistettu ja suojattu. Erityistä huomiota on kiinnitetty etäkäyt­tölaitteen ja sen käyttöympäristön turval­lisuuteen.

Tietojärjestelmän tilan valvonta

Tietojärjestelmän tilaa valvotaan suun­nitelmallisesti ja jatkuvasti. Mahdolliset toiminnalliset ongelmat pyritään havait­semaan ja ennakoimaan mahdollisemman aikaisessa vaiheessa.

Väärinkäytösten havaitseminen ja hallintamenettelyt

Tietojärjestelmän käyttöä ja tilaa seura­taan väärinkäytösten, rikkomusten ja va­hinkojen varalta. Toimenpiteet havainto­jen varalta on suunniteltu ja dokumentoitu etukäteen. Henkilökunta on tietoinen rik­komusten seuraamuskäsittelystä.

Eriytetyt kehitys-, testaus - ja tuotantoympäristöt

Tuotantoympäristö on eristetty kehitys- ja testausympäristöstä myös henkilöresurs­sien osalta. Testausympäristö on ident­tinen tuotantoympäristön kanssa, jotta toimivuus voidaan varmistaa ennen käyt­töönottoa. Kehitys-testaus-tuotanto-elin­kaari on dokumentoitu ja sen noudatta­mista vaaditaan myös alihankkijoilta ja toimittajilta.

Haittaohjelmistoilta suojautuminen

Haittaohjelmilta suojautumiseksi on ole­massa mm. hyvä tietoturva-arkkitehtuu­ri, suojausohjelmistot, sujuvat päivitysru­tiinit, rajatut järjestelmien ja palvelujen käyttöoikeudet, haittaohjelmatilanteen jatkuva seuraaminen ja yhteistyötä mui­den virastojen ja organisaatioiden kans­sa.

Palvelutoimittajien luotettavuus ja niiden henkilöstön henkilöstöturvallisuus

Keskeisten tietojärjestelmien kanssa tekemisiin joutuvien palvelutoimittajien sekä palvelutoimittajan henkilöiden taustatie­dot on tarkistettu ja osaamistaso varmis­tettu.

Dokumenttien ja ohjeiden säilytys sekä saatavuus

Tietojärjestelmään liittyvä dokumentaatio on henkilökunnan ja palvelutoimittajien saatavilla kunkin tarpeen ja dokumentin luottamuksellisuuden mukaisesti. Dokumentaatio pidetään ajan tasalla ja arkistoidaan. Versiohistoria säilytetään. Tietojärjestelmiin liittyvästä dokumentaatiosta on tehty oma ohjeensa mallidokumenttei­neen.

Testauksen hallinta

Testauksessa huomioidaan kokonaisuu­den toimivuus, vaikka varsinaisen testin kohteena olisikin yksittäinen komponent­ti tai toiminnallisuus.

Perusohjeistus

VAHTI 7/2003: Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi

VAHTI 3/2003: Tietoturvallisuuden hallintajärjestelmän arviointisuositus

VAHTI 2/2003: Turvallinen etäkäyttö turvattomista verkoista

VAHTI 7/2001: Toimet tietoturvaloukkaustilanteessa

VAHTI 1/2001: Valtion viranomaisen tietoturvallisuustyön yleisohje

VAHTI 2/1999: Valtionhallinnon tietohallintotoimintojen ulkoistamisen tietoturvasuo­situs

PTS Tietojärjestelmäjaoston ohje 1/2002: Tietotekniikan turvallisuus ja toiminnan var­mistamine

Standardit

 BS7799

12.1 Ulkoistaminen ja sopimukset

Toimintojen ulkoistaminen aiheuttaa erityishaasteita palvelujen toimivuudelle ja niiden palvelutasolle sekä ulkoistettujen osien käyttöturvallisuudelle. Ulkoistaminen vaatii virastolta erityisosaamista ja strategian suunnittelua. Ulkoistamiseen on otettava kantaa viraston tietoturvastrategiassa ja -politiikassa sekä riskianalyysissä. Ulkoistamista pohdittaessa on hyvä miettiä erilaisia skenaarioita riskianalyysin kautta.

Oleellista ulkoistamisessa on oman toimintaympäristön ja ulkoistettavan toiminnon täydellinen ymmärtäminen. Tällöin palveluntarjoajalle osataan esittää riittävät vaatimukset ostettavasta palvelusta, vasteajoista, tarvittavista resursseista ja vastuunjaosta. On huomattava, että keskeisten järjestelmien osalta tietoturva- ja käytettävyysvaatimukset ovat todennäköisesti kovempia kuin mitä palveluntarjoaja normaalisti tarjoaa. Neuvottelut todennäköisesti kestävät normaalia kauemmin.

Palveluntarjoajalta edellytetään:
• Sitoutumista viraston tietoturvavaatimuksiin ja -politiikkaan
• Sitoutumista valtionhallinnon tietoturvaohjeistukseen
• Laatu- ja/tai tietoturvasertifi ointia
• Korkeintaan vuoden vanhaa, virastolle tarjottavan palvelun tietoturvallisuuden auditointiraporttia
• Suostumusta viraston tarvittaessa järjestämään erilliseen auditointiin
• Henkilöstön taustatarkistuksia
• Selvitystä henkilöstöturvallisuudesta
• Henkilöstön tietoturvallisuuden ammattisertifi kaatteja tai muuta selvitystä henkilöstön tietoturvallisuuden riittävästä osaamistasosta
• Palveluun liittyvien tietoturvaratkaisujen kuvaukset
• Kuvaus pääsyoikeuksien hallinnasta
• Kuvaus mahdollisista tietoturvallisuutta parantavista lisäpalveluista
• Palveluun liittyvät prosessikuvaukset
• Palveluun liittyvät jatkuvuus- ja toipumissuunnitelmat viimeisimpine testiraportteineen
• Sitoutumista jatkuvuus-, toipumis- ja valmiussuunnitelmien kehittämiseen ja testaamiseen yhdessä viraston kanssa
• Nimetyt yhteyshenkilöt ja kuvatut yhteyskäytännöt
• Kuvaus palvelun toimivuuden seurantamenetelmistä ja -ryhmistä
• Kuvaus ongelmien käsittely- ja eskalointiprosessista
• Kuvausta palvelun siirtämisestä kolmannelle osapuolelle tai takaisin virastolle.

Viraston on huolehdittava siitä, että tietämys ulkoistetusta toiminnosta säilyy riittävänä siten, että tietoturvallisuus ei muilta osin vaarannu, ja että ulkoistettu toiminto on mahdollista tarpeen vaatiessa ottaa takaisin omaan haltuun.

Viraston vastuulla on huolehtia palvelukokonaisuuden hallinnasta ja toimittajien koordinoinnista.
Tietoturvallisuuden kokonaisvastuuta ei voi ulkoistaa, vaikka toimintoja ja niihin liittyvien osien tietoturvavastuita voidaankin. Viraston on säännöllisesti ja kattavasti arvioitava kumppaneiden tietoturvakäytäntöjä viraston omien tietoturvavaatimusten kannalta.

12.2 Etäkäyttö, etätyö ja etähallinta

Etäyhteydet on normaalistikin suunniteltava turvallisiksi huomioiden erityisesti etäyhteyteen käytettävän laitteen suojaukset, etäyhteyden avaamiseen vaadittava käyttäjän todennusmekanismi
ja tietoliikenteen salaus. Etäyhteydet myönnetään suunnitellun lupamenettelyn kautta ja  etäyhteyksien hallinnointiin ja käytön seurantaan on oltava dokumentoitu prosessi.

Keskeisten järjestelmien etäkäyttöön ja etähallintaan on suhtauduttava erittäin kriittisesti ja näiden osalta käytössä on tiukennettu käyttöpolitiikka. Pääsääntöisesti keskeisiin järjestelmiin ei myönnetä etäkäyttöoikeuksia.

Mikäli jokin erityistapaus ehdottomasti vaatii etäyhteyttä keskeisiin järjestelmiin joko käyttöä tai hallintaa varten, tulee noudattaa seuraavia periaatteita:
• Etätyökone on dedikoitava vain tähän käyttötarkoitukseen
• Etätyökoneen ja sen käyttöympäristön täytyy vastata varsinaisen kohdejärjestelmän ja sen ympäristön turvatasoa
• Etäyhteyden muodostamiseen vaaditaan vahva käyttäjätodennus, johon tarvitaan salasanan tai PIN-koodin lisäksi fyysinen elementti, kuten toimikortti tai kertakäyttösalasanoja generoiva laite
• Etäyhteyden tietoliikenteen täytyy olla vahvasti salattua
• Etäyhteyksistä täytyy jäädä kattava audit-loki.

Etähallintamahdollisuus on normaalia tietojärjestelmän etäkäyttöä kriittisempi toiminto, siksi etähallintaan käytettävät erityisohjelmistot on valittava erityisen huolellisesti ja vaadittava toimittajalta sopivuuden osoittamista. Oleellisia toiminnallisuuksia ovat:
• Vahvan käyttäjätodennuksen käyttömahdollisuus
• Tietoliikenteen vahva salaus
• Kattava audit-loki
• Hallintaoikeuksien rajoittaminen vain välttämättömään.

12.3 Prosessien hallinta

Tietojärjestelmien käytettävyyteen vaikuttavat oleellisesti operointi- ja hallintarutiinit mukaan lukien häiriö- ja poikkeustilanteiden hallinta. Tietojärjestelmien kaikki normaalit operointi- ja hallintatoimet on ohjeistettava:
• Operointi- ja hallintavastuu on selkeästi ja dokumentoidusti osoitettava ja rajoitettava sopiville henkilöille.
• Operointi- ja hallintaoikeuksien myöntöprosessi on erotettava normaalista käyttöoikeuksien
myöntöprosessista.
• Operointi- ja hallintaoikeuksia on rajattava henkilöiden toimenkuvan mukaan.
• Kriittisimmissä operaatioissa on vaadittava kahden tai useamman henkilön aktiivinen osallistuminen ja käyttöoikeudet.
• Myönnetyistä oikeuksista on oltava ajantasainen kirjanpito ja sen valvonta.
• Operointi- ja hallinnolliset toimet on erotettava toisistaan ja tarkastus- ja auditointitoimista.
• Tietojärjestelmien operoinnista ja hallinnasta on jäätävä selkeä lokitieto, jonka pohjalta tehdyt toimenpiteet voidaan jäljittää.
• Tehdyt operointi- ja hallintatoimenpiteet on kirjattava: päivämäärä, aloitusaika, lopetusaika, tekijä(t), toimenpiteet, syy ja kuittaus.

Vakavissa häiriö- ja poikkeustilanteissa ei välttämättä voida toimia normaalirutiineiden mukaan. Häiriö- ja poikkeustilanteisiin tulee kuitenkin varautua ja valmistautua toimimaan hallitusti.

Häiriö- ja poikkeustilanteisiin varautumisessa huolella tehty ja testattu tietojärjestelmän
toipumissuunnitelma on tietysti avainasemassa. Erityisesti on syytä huomioida:
• Ennalta määritellyt vastuut
• Eskalointiprosessi paitsi omassa organisaatiossa myös palveluntarjoajille ja sidosryhmille
• Palveluntarjoajien tukiprosessien toiminta
• Normaalista poikkeavien käyttöoikeuksien hallittu saantimahdollisuus
• Kriteerit tietojärjestelmän pysäyttämiselle tai eristämiselle. On huomioitava myös se mahdollisuus, että muiden järjestelmien häiriöt vaativat keskeisen tietojärjestelmän eristämisen.

Havaitut tietoturvaloukkaukset vaativat vielä oman erityisprosessinsa. Viraston on muodostettava
sisäinen CERT-ryhmä, jonka vastuulle tietojärjestelmä ja sen suojaaminen siirtyy vakavan tietoturvaloukkauksen tai -riskin havaitsemisen jälkeen. Toimintaohjeet ja valtuudet on selkeästi dokumentoitava ja tiedotettava, samoin kriteerit erityistilanteen alkamiseen ja päättymiseen.

12.4 Muutosten hallinta

Muutokset tietojärjestelmässä, henkilöstön vaihtuminen, vastuiden muutokset, ulkoistaminen,
jne. vaativat analyysin tietojärjestelmän uudesta riskitilanteesta. Toimintaympäristön muutokset todennäköisesti vaikuttavat riskeihin ja suojautumiskeinoihin. Muutoksiin varaudutaan  suunnitelmallisuudella ja kattavalla dokumentaatiolla.

12.4.1 Päivitykset

Isot päivitysoperaatiot, kuten sovelluksen, käyttöjärjestelmän, tietokannan, välitason ohjelmistojen,
tms. versiovaihdokset tehdään varmistamalla toimivuus ensin testiympäristössä. Normaalipäivitykset voidaan projektoida ja suunnitella tapauskohtaisesti sekä aikatauluttaa ja tiedottaa hyvissä ajoin etukäteen. Suunnitelman tulee sisältää testaussuunnitelma ja hyväksymiskriteerit.

Versiovaihdoksissa on varmistettava tietojärjestelmän koko tietojenkäsittelyketjun toimivuus.
Yhden komponentin muutos voi aiheuttaa muutostarpeita yllättävissäkin kohteissa. Käyttöönottovaihe on suunniteltava siten, että nopea palaaminen vanhaan versioon on mahdollista määrätyn ajan puitteissa.

Erityisesti on huomioitava uuden version muutokset tietoturvaominaisuuksiin ja niiden vaikutukset kokonaisuuteen.

12.4.2 Korjauspäivitykset

Korjauspäivityksiin tulee yleensä suhtautua kuten versiovaihdoksiin ja siksi toimintatapa on sama kuin edellä.

Korjauspäivitysten asennuksiin ja hallintaan tulee ottaa käyttöön työkalu, joka mahdollistaa asennukset, automatisoinnin, asennusten onnistumisen seurannan, asennuksen peruuttamisen ja raportoinnin. Uudessa uhkatilanteessa on tärkeää saada nopeasti selville tietojärjestelmän tila.

12.4.3 Tietoturvakorjaukset

Tietoturvakorjaukset ovat korjauspäivitysten erityistapaus. Tietoturvakorjaukset voidaan pahimmassa tapauksessa joutua asentamaan hyvinkin kiireellisellä aikataululla ilman perusteellista
testausta. Tietoturvakorjausten kiireellisestä asennuksesta päättää viraston CERT-ryhmä, joka arvioi tilanteen, riskit ja mahdolliset toimenpiteet.

Tietoturvakorjaustenkin toimivuus on pyrittävä ensin todentamaan testiympäristössä. Testien laajuudesta päättää viraston CERT-ryhmä. Mikäli CERT-ryhmä ei pidä tietoturvakorjausta kiireellisenä, se asennetaan, kuten normaalit korjauspäivitykset.

12.4.4 Järjestelmäintegroinnit

Järjestelmäintegroinnit suunnitellaan ja projektoidaan erillisenä kehityshankkeena ja kyseessä on uuden sovelluksen tai toiminnallisuuden käyttöönotto. Oleellista on huomioida muuttuva  käyttöympäristö ja päivittää tietojärjestelmäkokonaisuuden riskiarvio uutta tilannetta vastaavaksi ja huomioida integroinnin vaikutukset kokonaistietoturvaan.

Järjestelmäintegrointi voi aiheuttaa yllättäviä muutoksia tai tietoturvatarpeita varsinaisen integrointityön ulkopuolella muilla osa-alueilla.

12.4.5 Toimittajavaihdokset

Uuden sovelluksen, toimittajan tai palvelutarjoajan mukaan tuominen keskeisen tietojärjestelmän
käytön piiriin vaatii aina huolellista suunnittelua ja aikaa. Yhteensopivuus vanhan tuotteen tai palvelun kanssa on varmistettava huolellisesti ja arvioitava uuden tuotteen tai palvelun  riskivaikutukset. Tuote- ja toimittajavaihdoksista aiheutuu paljon dokumentointityötä ja koulutustarpeita.

12.5 Varautuminen poikkeusoloihin

Poikkeusoloihin varaudutaan etukäteen laatimalla valmiussuunnitelma, jonka toimivuutta säännöllisesti testataan. Poikkeusoloissa on varauduttava rajallisiin resursseihin ja toiminnan siirtämiseen varakeskukseen. Ihmishenkien pelastaminen on tärkein tehtävä, joten henkilökunnan evakuointi vaaran uhatessa on suunniteltava ja säännöllisesti harjoiteltava – samoin turvallinen siirtyminen varakeskukseen.

Varakeskuksen toimivuutta tilojen, laitteiden, verkkoyhteyksien, sovellusten ja tietojen osalta on testattava säännöllisesti. Normaali varaosahuolto katkeaa pahimmassa tapauksessa kokonaan viikossa tai kahdessa, joten omassa varastossa on oltava riittävä määrä tärkeimpiä varaosia ja varalaitteita.

Valmiussuunnittelussa on huomioitava tietojärjestelmän toimivuus kokonaisuutena ja tuotantotietojen turvallinen siirto varalaitteisiin tarvittaessa.

12.6 Järjestelmäluokkien erityispiirteet

12.6.1 Eheys ja käytettävyys tärkeitä

Käytettävyyden ollessa luottamuksellisuutta tärkeämpää, voidaan toipumissuunnitelmissa ja päivitysohjeissa korostaa nopeaa toimintaa.

Etähallinta saattaa olla mahdollista.

12.6.2 Eheys ja luottamuksellisuus tärkeitä

Luottamuksellisuuden säilyminen häiriö- ja poikkeustilanteissa vaatii erityisen hyvin suunniteltua käyttöoikeuksien hallintaa ja eriyttämistä.

Etäkäyttö ja -hallinta on kiellettyä.

 

Vahti- ylläpito08.10.2009 / 13:46:59
Tulosta