Vaasan ammattikorkeakoulun tietoturvapolitiikka

1 Yleistä

1.1 Tietoturvallisuuden kolme ulottuvuutta

  • Luottamuksellisuus (engl. confidentiality): Luottamuksellisen tiedon tunnistaminen ja sen luottamuksellisuuden turvaaminen. Tiedot ovat vain niiden käyttöön oikeutettujen saatavilla.
  • Eheys (engl. integrity): Tiedon oikeellisuuden, ristiriidattomuuden ja oikeakestoisen säilymisen turvaaminen. Tietoja ei voida muuttaa muiden kuin siihen oikeutettujen toimesta.
  • Saatavuus (engl. availability): Tiedon oikeiden käyttömahdollisuuksien turvaaminen. Tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.

Tietoturvallisuuden kolme ulottuvuutta koskevat kaikkea tietoa, jolla on arvo, sekä sen käsittelyä välineestä riippumatta. Luottamuksellisuudella turvataan, että tiedot luovutetaan tai julkaistaan vain suunniteltujen väylien kautta. Eheydellä turvataan tietojen arvon säilyminen ja hyödynnettävyys. Saatavuudella turvataan tietojen hyödyntäminen ennalta suunnitellun aikaviiveen puitteissa.

1.2 Tavoitteet

Tietoriskit hallitaan hyödyntäen hyviä kansallisia ja kansainvälisiä käytäntöjä. Palvelut ja järjestelmät toteutetaan niin toimintavarmoiksi ja hyvin suojatuiksi, että ne sellaisinaan kestävät kohtuudella odotettavissa olevat kyberuhkat. Varmistetaan lakien ja muiden sitovien normien sekä sopimusvelvoitteiden noudattaminen. Ylläpidetään laadukasta ja tietoturvallista työ- ja opiskeluympäristöä. Vaalitaan korkeakoulun mainetta ja luottamusta korkeakoulun toimintaan ja tuotoksiin. Turvataan korkeakoulun toimintaedellytykset kaikissa olosuhteissa, myös häiriö- ja poikkeusoloissa.

2 Organisointi

2.1 Johtaminen ja valtuudet

Tietoturvallisuus ja sen ylläpitäminen ovat osa korkeakoulun toiminnan laadunvarmistusta. Tietoturvallisuuden johtaminen ja seuranta nivoutuvat osaksi korkeakoulun yleistä johtamista. Jokainen toteuttaa tietoturvallisuutta omien johtamis- ja toimintavaltuuksiensa puitteissa. Palveluiden pääkäyttäjillä on oikeus suorittaa lain sallimat toimet palvelun toimintaa ja tietoturvallisuutta vaarantavien poikkeamien paikallistamiseksi ja korjaamiseksi.

Tietoturvapäälliköllä on oikeus keskeyttää toiminta, josta aiheutuu olennaista vaaraa korkeakoulun tietoturvallisuudelle.

2.2 Vastuut

Pääsääntönä on, että valta ja vastuu ovat samoissa käsissä. Siltä osin, kuin on mahdollisuudessa päättää, miten asia toteutetaan ja käsitellään, on myös vastuu toteutuksen tietoturvallisuudesta. Tietohallinnon ja tietoturvapäällikön tehtävä on auttaa kaikkia tämän vastuun kantamisessa.

  • Jokainen vastaa hallittavissaan olevan tiedon tietoturvallisuudesta omalta osaltaan.
    • Jokainen on velvollinen noudattamaan sääntöjä ja käyttöohjeita
    • Jokainen on velvollinen joko korjaamaan tai edelleen ilmoittamaan havaitsemansa tietoturvaongelman.
  • Päävastuu tietyn tiedon tai palvelun tietoturvallisuudesta on sen omistajalla.
    • Omistaja on se yksikkö tai henkilö, joka vastaa kyseisen tiedon tai tietokokonaisuuden käsittelystä tai palvelun tietosisällön tuottamisesta. Päävastuu säilyy tiedon omistajalla riippumatta siitä, missä tai kenen toimesta tietoa käsitellään.
    • Omistaja päättää käyttötarkoituksesta sekä sallituista käyttötavoista, mikäli tietojen luonne sitä edellyttää.
    • Omistaja vastaa palvelun ja siihen liittyvien prosessien suunnittelusta ja toteutuksen vaatimustenmukaisuudesta ja palveluun sopivien turvamekanismien valinnasta.
    • Omistaja vastaa tarvittavista selosteista, riskianalyysista ja jatkuvuussuunnittelusta. Omistaja vastaa siitä, että tietoja edelleen luovutettaessa annetaan myös tieto mahdollisista tietoihin liittyvistä suojaus ja muista velvoitteista.
    • Omistaja vastaa käyttöohjeiden laatimisesta ja niiden välittämisestä palvelun käyttäjille.
    • Omistaja vastaa mahdollisten rekisteriselosteiden laatimisesta ja päivittämisestä.
  • Tietoteknisen järjestelmän tai palvelun tuottaja vastaa palvelun tietoturvallisuudesta.
    • Tiedon omistajalla ja käsittelijällä on oltava mahdollisuus saada riittävä käsitys, täyttävätkö järjestelmän ominaisuudet tiedon käsittelylle asetetut tietoturvatarpeet.
    • Tietohallinto vastaa korkeakoulun yleiseen käyttöön tuottamiensa ja hankkimiensa palvelujen tietoturvallisuudesta ja tarjoaa niiden turvalliseen hyödyntämiseen ohjeet ja koulutusta.
    • Palveluntuottaja vastaa ilmoittamansa tietoturvatason toteutumisesta ja palvelun tietoturvallisuuteen liittyvien teknisten riskien tai poikkeamien hallinnasta ja raportoinnista.
    • Palvelun pääkäyttäjät vastaavat ylläpitosäännön noudattamisesta.
  • Esimies vastaa siitä, että alainen on saanut riittävän perehdytyksen tietoturvallisuuteen ja sen toteuttamisen merkitykseen.
  • Tietohallinto vastaa korkeakoulun tietoliikenneturvallisuuden valvonnasta ja käynnistää tarvittaessa selvitys- ja suojatoimet tietoturvallisuuden palauttamiseksi.
  • Tietoturvapäällikkö vastaa tietoturvallisuuden kehittämisestä, sen toteutumisen valvonnasta ja tietoturvatietouden edistämisestä korkeakoulussa sekä tietoturvallisuutta koskevasta ulkoisesta yhteistyöstä.

Tietoturvapäällikkö johtaa poikkeamien sisäistä tutkintaa ja huolehtii rikostapauksissa yhteydenpidosta viranomaisiin.

3 Tietoturvallisuuden toteuttaminen

3.1 Turvamekanismit

Tietoturvallisuudesta huolehtiminen edellyttää tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana tiedon käsittelyyn käytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä sekä tietoa käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä ja ohjeita sekä koulutusta. Yhteisellä nimellä näitä kaikkia kutsutaan turvamekanismeiksi (engl. controls).

Turvamekanismeilla varmistetaan kullekin tiedolle hyväksyttävä saatavuusviive eli aika, jonka kuluessa tiedon on oltava saatavissa ja käsiteltävissä ilman, että viiveestä aiheutuu haittaa työlle. Joissakin tiedoissa hyväksyttävä saatavuusviive voi olla sekunteja, joissakin useita päiviä. Jos tiedon eheyttä on syytä epäillä, saatavuusviiveen laskentaan on laskettava mukaan tiedon palauttaminen eheäksi.

Turvamekanismien valinnassa haetaan tasapaino tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta ne voivat aiheutua myös välillisesti työn hidastumisesta.

Tietoturvallisuuden tavoitteet asetetaan ja sen toteuttamistavat valitaan niin, että lain takaama tietosuoja ja yksityisyyden suoja toteutuvat korkeakoulun toiminnassa parhaalla mahdollisella tavalla.

3.2 Ennakkosuunnittelu

Palveluja tai tietojärjestelmiä suunniteltaessa on ennen käyttöönottoa suunniteltava seuraavat asiat:

  • Palvelusta on oltava riittävä dokumentaatio. Dokumentaatiosta käy ilmi palvelun rakenne, käyttötarkoitus, käyttöohjeet, pääkäyttäjän ohjeet, riippuvuudet toisista palveluista, turvamekanismit, sopimusasiat, palvelun suunniteltu elinkaari sekä palveluun liittyvät mahdolliset erityisvelvoitteet. Dokumentaation suojaus on suunniteltava (salassapidettävä osa, esim. turvamekanismit, ja julkinen osa selosteita, palvelukuvauksia, toimintakäsikirjoja ja käyttöohjeita varten).
  • On arvioitava, onko palvelu siinä määrin tarpeellinen että sen on toimittava myös häiriö- ja poikkeusoloissa. Korkeakoulun opetus- ja tutkimustoiminnan tulee jatkua mahdollisimman häiriöttömästi kaikissa olosuhteissa. Jatkuvuusvaatimus on otettava huomioon sellaisten palvelujen tuottamisessa, joihin opetus- tai tutkimustoiminta merkittävässä määrin nojaa.
  • Tarvittavat selosteet on laadittava ja niiden ajanmukaisuudesta on huolehdittava. Tällaisia ovat henkilötietoja käsittelevien järjestelmien tietosuojaselosteet (rekisteriselosteet) ja julkisuuslain tarkoittamat tietojärjestelmäselosteet. Palveluun voi kohdistua myös muita velvoitteita (sertifioinnit, kumppanuussopimuksen auditointipykälät tai muita arkaluonteisia tietoja koskevat erityismääräykset jne.), jotka tulee huomioida  suunnitteluvaiheessa.

Korkeakoululla on tiedonkäsittelyn jatkuvuussuunnitelma, jonka ajantasaisuudesta huolehtii tietohallinto. Siinä kuvataan keskeisimmät palvelut, joiden jatkuvuudesta ja tietoturvallisuudesta koko korkeakoulun toiminta on riippuvainen, sekä keinot niiden tuottamiseksi kaikissa olosuhteissa. Muiden yksiköiden, joilla on itsenäisiä tiedonkäsittelyjärjestelmiä, tulee ilmoittaa niistä tietoturvapäällikölle, jos järjestelmä on tarpeellista huomioida jatkuvuussuunnitelmassa.

4 Viestintä

Normaalioloissa korkeakoulun sisäisestä tietoturvaviestinnästä vastaa tietoturvapäällikkö.  Yksittäisen palvelun tietoturvaviestinnästä vastaa palvelun omistaja. Yksikön sisäisestä tietoturvaviestinnästä vastaa yksikön johtaja. Kriisitilanteessa tietoturvaviestinnän vastuut jakautuvat sisäisen kriisiviestintäsuunnitelman mukaisesti.

5 Tietoturvallisuuteen liittyvä ohjeistus ja säädäntö

Korkeakoulun tietoturvallisuuteen liittyvät määrittelyt, ohjeistus ja säädäntö on jaettu seuraaviin päädokumentteihin:

  • Vaasan ammattikorkeakoulun tietoturvapolitiikka
  • IT-palvelujen käyttösäännöt
  • Sähköpostisäännöt
  • Sähköpostin suodatus
  • Tietotekniikkarikkomusten seuraamuskäytäntö
  • Työntekijän sähköpostin hakeminen ja avaaminen
  • Keskeinen lainsäädäntö

Näiden dokumenttien lisäksi tietoturvallisuuden kehittämiseksi ja ohjeistamiseksi luodaan tarpeellinen määrä tukevaa dokumentaatiota tietohallinnon www-sivuille.