Skip to content

Tietojärjestelmien ylläpitohenkilöstön toimintasäännöt

Kirjoittaja: Anna-Liisa | Julkaistu: 25.3.2014

1. Ylläpitäjien nimeäminen

2. Ylläpitosääntö

2.1 Vaitiolovelvollisuus

2.2 Salasanat

2.3 Yksityisyyden suojan kunnioittaminen

2.4 Sähköpostin käsittely

2.5 Muiden tiedostojen käsittely

2.6 Hakemistojen ja tiedostolistausten seuranta

2.7 Ohjelmien, prosessien ja liikennöinnin seuranta

2.8 Lokitietojen käsittely

2.9 Verkon kuormituksen seuranta ja mahdollinen liikenteen rajoittaminen

1. Ylläpitäjien nimeäminen

Tietojärjestelmien ylläpito-oikeus on järjestelmien haltijoiden ylläpitotehtäviin nimeämillä henkilöillä.

Kun väärinkäytöksiä havaitaan, päätöksen jatko- ja suojatoimenpiteiden laajuudesta tekee järjestelmän pääkäyttäjä/ylläpitäjä ICT-palveluiden tietoturvatiimin avustamana.

2. Ylläpitosääntö

Ylläpitohenkilöstöllä on järjestelmien pääkäyttäjinä mahdollisuus “täysiin oikeuksiin”, eli ylläpitäjä pystyy suojauksia murtamatta lukemaan minkä tahansa tiedoston sisällön, käynnistämään tai lopettamaan minkä tahansa ohjelman ja seuraamaan kaikkia käynnissä olevia prosesseja ja liikennöintiä. Koska ylläpitäjän tekniset oikeudet ylläpitämässään ympäristössä ovat käytännössä rajattomat, ne ovat periaatteellisessa ristiriidassa käyttäjien perusoikeuksien ja yksityisyyden suojan kanssa.

Tämän vuoksi jokainen ylläpitäjä on velvollinen noudattamaan tätä toimintaohjetta, jossa määritellään hyvä ylläpitohenkilöstön toimintatapa.

2.1 Vaitiolovelvollisuus

Ylläpitäjä ei paljasta sivullisille mitään asemansa vuoksi tietoonsa saamiaan asioita. Ylläpitäjä ei käytä näin saamiaan tietoja työtehtäväänsä kuulumattomiin tarkoituksiin. Erityisesti ylläpitäjä sitoutuu olemaan paljastamatta kenellekään tehtävänsä ja asemansa vuoksi tietoonsa saamiaan muiden käyttäjien yksityisasioita. (Virkasalaisuuden rikkominen, RL 40 luku 5 §).

2.2 Salasanat

Ylläpitäjän ei tehtäviensä hoitamiseksi tarvitse tietää käyttäjän salasanaa eikä hänen tule sitä käyttäjältä tiedustella.

2.3 Yksityisyyden suojan kunnioittaminen

Tietojärjestelmien hoitamisessa otetaan huomioon henkilöiden oikeus yksityisyyteen ja viestintäsalaisuuteen. Oamk kuitenkin pidättää itsellään oikeuden määrätä, millaisia tietosisältöjä Oamkin hallinnoimiin tietojärjestelmiin saa tallentaa, ja mihin tarkoitukseen niitä saa käyttää. Sama koskee Oamkin hallinnoimassa tietoliikenneverkossa tapahtuvaa tietoliikennettä.

Mikäli käyttäjä pyytää käsittelemään tiedostojaan, ylläpitäjän tulee varmistaa käyttäjän henkilöllisyys asianmukaisella tavalla, esimerkiksi virallisen henkilöllisyystodistuksen avulla. Ylläpitäjä voi ottaa yhteyttä käyttäjään Oamkin tietojärjestelmistä löytyvään puhelinnumeroon tai sähköpostitse. Jos ylläpitäjä epäilee käyttäjätunnuksen olevan väärissä käsissä, käyttäjätili lukitaan ja käyttäjään otetaan yhteyttä puhelimitse asian jatkoselvitystä varten.

2.4 Sähköpostin käsittely

Lähtökohtana on, että yksittäisen käyttäjän henkilökohtaisen sähköpostin ja muun televerkossa välitettävänä olevan sähköisen viestin salaisuus on loukkaamaton. Valtion tietohallinnon Internet-tietoturvallisuusohjeistuksen mukaisesti tavallinen sähköposti on käytännössä rinnastettava postikorttiin nauttimansa viestintäsalaisuuden osalta, koska se kulkee salaamattomana verkossa ja postipalvelimissa. Suomen perustuslaissa todetaan, että kirjeen, puhelimen ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Sähköposti on luottamuksellinen, ellei sitä ole tarkoitettu yleisesti vastaanotettavaksi. Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta sähköpostista, jota ei ole hänelle tarkoitettu, ei saa paljastaa viestin sisältöä eikä käyttää saamaansa tietoa viestin sisällöstä tai olemassaolosta hyväkseen.

Luottamuksellisia viestejä ei ole koskaan oikeus ilman sopimusta lukea. Koska luottamuksellisia viestejä on vaikeaa erottaa muista viesteistä, lähtökohtana on, että toisen henkilön sähköpostiviestejä ei saa lukea ilman tämän henkilön nimenomaista suostumusta.

Käyttäjien sähköpostilaatikoihin voidaan mennä vain seuraavissa tilanteissa:

  • henkilön (käyttäjän) nimenomaisen suostumuksen nojalla (yksittäisen sähköpostilaatikon avaaminen voi olla tarpeen esimerkiksi kun sähköpostitiedosto estää postipalvelimen toiminnan eikä ole siirrettävissä koskemattomana muualle häiriötilanteen poistamiseksi),
  • erilaisissa häiriötilanteissa sähköpostin käyttäjän pyynnöstä, sähköpostiin liittyvän ongelmatilanteen selvittämiseksi. Tällöin pääkäyttäjä voi avata sähköpostitiedoston selvittääkseen, onko sen sisältämissä tiedoissa virheitä, jotka estävät sähköpostin normaalin käsittelyn tai lukemisen. Tällainen toimenpide tehdään vain käyttäjän luvalla.
  • postijärjestelmässä välitettävänä oleva viesti saattaa olla tarpeen (ainakin osittain) avata sellaisessa tilanteessa, jolloin postijärjestelmä ei kykene sitä toimittamaan eteenpäin puutteellisen tai vaurioituneen rakenteen tai sisällön vuoksi. Tällöin pääkäyttäjän tulee olla tutustumatta viestin sisältöön. Lähettäjän tai vastaanottajan osoite tai henkilöllisyys tai muu välitystieto saattaa kuitenkin olla tarpeen tarkistaa tilanteen korjaamiseksi.

Massapostitusten eli spammien osalta on huomattava, että tällaisten viestien käsitteleminen on useissa tapauksissa haitallista järjestelmän toimintakyvylle. Massapostituksilta suojaudutaan tarpeellisin keinoin, esimerkiksi postipalvelimessa voidaan kieltäytyä ottamasta vastaan tiettyjen palvelimien lähettämiä tai tietyt muut tunnusmerkit täyttäviä sähköposteja. Vastaanottamisesta kieltäytyminen voi olla tarpeen käyttäjien ja järjestelmien suojaamiseksi, vaikka silloin rajoitetaan käyttäjien oikeutta vapaaseen sähköpostiliikenteeseen. Sähköpostin mahdolllisessa rajoittamisessa pyritään mahdollisimman tarkkaan noudattamaan valtionhallinnon ohjeistuksia.

Mikäli halutaan varmistua siitä, ettei viestiä pääse kukaan sivullinen lukemaan, se voidaan salakirjoittaa esim. PGP:llä. Tällöin tilanne on ylläpidonkin osalta selkeä, eli viestin välittämiseen ja ongelmatilanteiden selvittämiseen tarvittavat tiedot löytyvät viestin otsikkotietueista ilman, että viesti paljastuu ylläpitohenkilöstölle. (Vrt. suljettu kirjekuori, jonka vastaanottaja- ja lähettäjätiedot ovat kuoressa, mutta kirjeen sisältö ei näy.)

Kun sähköpostiviesti on vastaanotettu ja siirretty pois saapuvan postin laatikosta, se siirtyy nauttimaan samaa suojaa kuin muutkin käyttäjätunnuksen omistamat tavalliset tiedostot.

2.5 Muiden tiedostojen käsittely

Ylläpitäjällä ei ole yleistä oikeutta lukea tai muuten käsitellä toisten käyttäjien omistuksessa olevien tiedostojen sisältöä, jos niiden suojaus ei sitä muutenkin salli.

Ylläpitäjällä on kuitenkin oikeus käsitellä tiedostoja esimerkiksi, jos

  • käyttäjä on siihen nimenomaisesti luvan antanut tai mikäli käyttäjä on pyytänyt ylläpitäjää selvittämään ongelmatilanteen, jonka selvittäminen vaatii käyttäjän omistamien tiedostojen tai niiden osien lukemista tai korjaamista, jolloin käyttäjän voidaan perustellusti olettaa tämän ymmärtäneen.
  • on perusteltu syy epäillä, että käyttäjätunnus on joutunut vääriin käsiin ja että sen omistuksessa on tiedostoja tai ohjelmia, jotka aiheuttavat vaaraa tai uhkaa järjestelmän toimintakyvylle tai turvallisuudelle. Tällaisessa tilanteessa tunnus lukitaan heti ja käyttäjään pyritään heti tämän jälkeen saamaan yhteys asian selvittämiseksi.
  • on perusteltu syy epäillä, että käyttäjätunnuksen haltija itse on syyllistynyt väärinkäytökseen ja voidaan olettaa, että tietyissä käyttäjän omistamissa tiedostoissa on todisteita väärinkäytöksestä. Tällöin ylläpitäjän on ilmoitettava epäilyksestään ja niiden perusteluista muille saman järjestelmän ylläpitäjille sekä ICT-palveluiden tietoturvatiimille ja käyttäjään otetaan yhteyttä asian selvittämiseksi.
  • käyttäjätunnus omistaa ohjelmia, skriptejä tai alustustiedostoja, jotka aiheuttavat vakavia häiriöitä järjestelmän toiminnalle. Tällöin ylläpitäjä voi tarkistaa ko. tiedoston sisällön ja estää sen toiminnan, mikäli tarve vaatii. Tällaisesta toimenpiteestä on ilmoitettava muille saman järjestelmän ylläpitäjille ja tiedoston omistajalle.

Käyttäjien hakemistojen ja tiedostojen asetuksia ja mahdollisia alustustiedostoja saatetaan joutua muuttamaan osana normaalia ylläpitotoimintaa. Asetuksia ja alustustiedostoja tarkastellaan säännöllisesti osana normaalia turvallisuustyötä.

Järjestelmän tilapäistiedostojen hakemistossa ja käyttäjän kotihakemistossa olevia tilapäistiedostoja voidaan poistaa osana normaalia levytilan ylläpitoa.

2.6 Hakemistojen ja tiedostolistausten seuranta

Ylläpitäjä ei voi normaalissa ylläpitotoiminnassaan kokonaan välttää käyttäjien omistamien hakemistojen tiedostolistausten ottamista ja näkemistä. Hakemistorakenteiden, tiedostojen nimien, muutospäivämäärien, koon ja suojaustason sekä muiden tiedostoa koskevien tietojen käsittely on osa normaalia ylläpitotoimintaa.

Mikäli havaitaan, että jonkin tiedoston tai hakemiston suojaukset ovat sen luonteeseen nähden liian heikot, ylläpidolla on oikeus muuttaa suojaustason tarpeelliselle tasolle.

2.7 Ohjelmien, prosessien ja liikennöinnin seuranta

Ylläpito seuraa järjestelmissä ajettavia ohjelmia osana normaalia ylläpitotoimintaa. Mikäli jonkin prosessin havaitaan aiheuttavan ongelmia tai liiallista kuormitusta muulle järjestelmälle, se voidaan lopettaa ylläpitäjän oikeuksin. Samoin tehdään prosesseille, jotka havaitaan ylläpidon antamien ohjeiden ja määräysten vastaisiksi. Tällaisesta toimenpiteestä pyritään ilmoittamaan omistajalle.

Mikäli verkkoliikenteessä havaitaan häiriö tai huomattavaa kuormitusta, joka haittaa tietoliikenneverkon toimintakykyä, liikenne voidaan estää ylläpidon toimesta.

2.8 Lokitietojen käsittely

Tietojärjestelmien toiminnasta ja käytöstä tallennetaan lokia seuraaviin tarkoituksiin:

  • Palvelun toteuttamiseksi, kehittämiseksi ja sen tietoturvasta huolehtimiseksi,
  • järjestelmien sisältämien tietojen tietosuojasta huolehtimiseksi,
  • mahdollisten ongelmien ja teknisten vikojen havaitsemiseksi ja korjaamiseksi, sekä
  • palveluun kohdistuvien väärinkäytösten havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.

Suuri osa järjestelmistä tallentaa erilaisia lokeja käyttäjien toimenpiteistä ja käynneistä järjestelmässä. Tällaiset lokit ovat välttämättömiä, kun selvitetään virhetilanteita tai väärinkäytöksiä. Useimmiten lokitiedostot ovat suojattu niin, että vain ylläpitäjä voi niitä tarkastella, mutta joissakin järjestelmissä on tarjolla oheispalveluita, joiden kautta esim. käyttöstatistiikkaa näytetään muillekin käyttäjille kuin ylläpitäjälle.

Ylläpitohenkilöstö käyttää lukuisia lokitiedostoja jatkuvasti osana normaalia ylläpitotyötä. Lokien seuranta on prosessi- ja laiteorientoitunutta, eikä normaalitilanteissa seurata yksittäisten käyttäjien toimintaa. Yksityiskohtaiset lokitiedot käsitellään luottamuksellisina eikä niistä paljasteta mitään tietoja kenellekään, jolle ne eivät virka-aseman vuoksi kuulu. Tästä on kaksi poikkeusta:

  • Mikäli poliisiviranomainen esittää pyynnön lokitietojen luovuttamiseksi, ne luovutetaan siinä laajuudessa kuin pakkokeinolain mukaiset poliisin valtuudet tai oikeuden määräys edellyttävät. Luovutus kirjataan.
  • Kun torjutaan murtautujia tai pyritään suojautumaan tietomurtoa tai muuta luvatonta käyttöä yrittäviltä, voidaan (ja on yleensä tarpeen) toimia yhteistyössä muiden järjestelmien ylläpitäjien tai palveluntarjoajien kanssa murtautujan alkuperän selvittämiseksi tai eristämiseksi. Tällöin voi olla tarpeen luovuttaa myös yksittäiseen käyttäjätunnukseen liittyviä tietoja. Tietojen luovuttaminen rajoittuu aina sellaisiin käyttäjätunnuksiin, joiden voidaan perustellusti olettaa joutuneen vääriin käsiin tai jonka haltijan voidaan olettaa itse syyllistyneen käsiteltävänä olevaan rikokseen.

2.9 Verkon kuormituksen seuranta ja mahdollinen liikenteen rajoittaminen

Oamk tarjoaa tietojärjestelmäpalveluita ja verkkoyhteyden käyttäjäkunnalleen pääsääntöisesti maksutta. Oamk kuitenkin maksaa itse huomattavan summan oman laitteistonsa hankkimisesta ja ylläpidosta sekä verkkoyhteydestä ulkopuolelle. Koska kapasiteetti on rajallinen, täytyy sen käyttöä voida seurata, jotta mahdollinen tarpeeton kuormittaminen saadaan rajoitettua tai ohjattua järkevämmin.

Normaali kuormituksen seuranta tarkkaillee vain siirretyn tiedon määrää, ei sisältöä. Kuormituksen seuranta on normaalisti ainoastaan konesidonnaista, eli käyttäjätietoja ei sellaisenaan näy. Kun kuormitusta seurataan, ei ylläpito voi välttyä näkemästä liikennöinnin lähettäjän ja vastaanottajan sijaintia verkossa. Samoin näkyy tieto siitä, mikä on kyseisen liikennöinnin protokolla.

Kuormituksen ja liikenteen seurannassa on mahdollista ylläpidon tietää liikennöinnistä lähettäjän ja vastaanottajan verkko-osoitteet sekä liikenneprotokolla. Yksittäisen käyttäjän toimintaa ei yleensä seurata; seuranta sallitaan vain kun erikseen selvitetään liikennöintiin liittyvää häiriötilannetta.

(Tekstin pohjana on käytetty Ylläpitosääntötyöryhmän Tampereella 31.1.2000 laatimaa toimintasääntöä. Oamkin IT-palvelut ja tietohallinto ovat tarkentaneet ja ajanmukaistaneet nämä toimintasäännöt 25.3.2014. Oamkin tietoturvavastaavan roolin lakattua, tässä korvattiin tietoturvastaava ICT-palveluiden tietoturvatiimillä 23.6.2020.)

« Takaisin

Tämä artikkeli julkaistiin kategorioissa Kaikki ohjeet, Oamk , Oamkin henkilöstölle, Oamkin opiskelijoille. Lisää permalink suosikkeihisi.