Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 1 (15) Tietohallinto 6.9.2016

Sisällysluettelo Tietoturvaohje ...................................................................................................................... 2

Organisaatiotunnus ja vahva kirjautuminen ......................................................................... 2

Tietojärjestelmien ja laitteiden käyttö ................................................................................... 2

Päätelaitteet ..................................................................................................................... 2

Omien laitteiden käyttö liiton ja kassan lähiverkossa........................................................ 3

Windows-tietokoneiden automaattiset, ajastetut ylläpitotoimet ........................................ 3

Päätelaitteiden sähköinen käyttöehtojen hyväksyntä ....................................................... 5

Työaseman sisäiset massamuistit (kovalevyt) ................................................................. 5

Ulkoiset massamuistit ....................................................................................................... 6

Älypuhelimet ja muut mobiililaitteet .................................................................................. 6

Pääsynhallinta .................................................................................................................. 7

Sähköpostin käyttö ........................................................................................................... 7

Henkilötietolain alaisen tiedon käsittely sähköpostitse.................................................. 8

Henkilötietolain alaista tietoa sisältävän sähköpostin lähettäminen .............................. 8

Henkilötietolain alaista tietoa sisältävän sähköpostin vastaanottaminen ...................... 8

Internet-selaimet .............................................................................................................. 9

Sovellusasennukset ....................................................................................................... 10

Tiedostonhallintakäytännöt ................................................................................................ 10

Sähköpostin salaus ............................................................................................................ 10

Luottamuksellisten tietojen leviämisen estäminen ............................................................. 11

Dokumenttien luottamukselliseksi merkitseminen .............................................................. 11

Tietoliikenne ....................................................................................................................... 12

Omat ja julkiset Internet-yhteydet ................................................................................... 12

Tietoturvapalvelut .............................................................................................................. 13

Virus- ja haittaohjelmien torjunta .................................................................................... 13

Palomuuri ....................................................................................................................... 13

Päätelaitteen paikantaminen, etälukitseminen ja etätyhjennys ...................................... 13

Omien laitteiden hyödyntämien (BYOD, Bring Your Own Device) ..................................... 14

Muut päätelaitteen ja IT-palvelujen käyttämiseen liittyvät rajoitukset ................................. 14

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 2 (15) Tietohallinto 6.9.2016

Tietoturvaohje

Tässä dokumentissa esitetään SuPerin ja Super työttömyyskassan toimistohenkilökunnan työtehtävän hoitamiseen tarvittavien päätelaitteiden ja Microsoft Office 365-pilvipalvelujen (O365) tietoturvaohjeita.

Organisaatiotunnus ja vahva kirjautuminen

Kaikkiin O365-palveluihin sekä Windows-tietokoneisiin kirjaudutaan sisälle ns. O365 organisaatiotunnuksella (myöhemmin organisaatiotunnus), joka on muodoltaan käyttäjän sähköpostiosoite. Organisaatiotunnuksen käyttäjä pääsee käsiksi mahdollisesti luottamuksellisiin liiton/kassan ja/tai liiton/kassan kentän tietoihin, jonka vuoksi kaikki web-muotoiset O365-palvelut on suojattu ns. kaksinkertaisella tunnistautumisella. Kaikki BYOD-laitteissa käytettävät web-pohjaiset Office 365-sovellukset (Outlook Web App, Office Online, OneDrive for Business, Skype for Business Web App, Sharepoint Online) suojataan vahvalla tunnistautumisella, joka tarkoittaa että organisaatiotunnuksen lisäksi palveluun kirjautumiseen tarvitaan myös ns. kertakäyttösalasana. Kun kirjaudut ensimmäistä kertaa ns. organisaatioportaaliin (osoitteessa http://portal.office.com) käyttääksesi O365 web-sovelluksia (Outlook Web App jne.), kysytään sinulta puhelinnumeroa ja/tai sähköpostiosoitetta (joka ei saa olla organisaatiotunnuksesi sähköpostiosoite). Jatkossa kirjautuessasi O365 web-sovelluksiin sinulta kysytään aina puhelimeen tekstiviestinä lähetettyä kertakäyttösalasanaa. Ilman tätä kertakäyttösalasanaa et pääse käyttämään mitään O365 web-sovelluksia. Kertakäyttösalasanaa ei tarvita Windows-tietokoneissa sisäänkirjautuessa tai käytettäessä päätelaitteeseen paikallisesti asennettuja Office-sovelluksia (Outlook, Word jne.). Jos Windows-tietokoneella kuitenkin käytetään O365 web-sovelluksia BYOD-laitteen tyyliin, kertakäyttösalasana tarvitaan.

Tietojärjestelmien ja laitteiden käyttö

Päätelaitteet

Päätelaite tarkoittaa tässä mitä tahansa päätelaitetta, jolla käytetään IT-palveluita:

1. SuPer ry/Super työttömyyskassan tietohallinnon toimittamaa päätelaitetta jos työntekijä on osoittanut tarpeen päätelaitteelle.

2. Työntekijän omaa, itse hankittua päätelaitetta eli BYOD-laitetta (älypuhelinta tms.).

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 3 (15) Tietohallinto 6.9.2016

Tietohallinnon toimittamien kannettavien tietokoneiden käytössä on huomioitava seuraavat tietoturvatoimenpiteet:

Kun viet kannettavan tietokoneen työpaikan ulkopuolelle niin älä jätä sitä valmiustilaan vaan sammuta se kokonaan1.

Jos epäilet että koneesi on varastettu, kadonnut tai epäilet että se on saastunut, (viruksella tai muulla haittaohjelmalla) ilmoita asiasta välittömästi tietohallinnolle.

Lukitse oma koneesi aina kun poistut sen äärestä.

Omien laitteiden käyttö liiton ja kassan lähiverkossa

Liiton ja kassan toimistolähiverkkoon ja/tai laitteisiin ei saa kytkeä BYOD-laitteita. Jos sinun on pakko saada omaan laitteeseesi Internet-yhteys, kytke se erilliseen langattomaan vierailijaverkkoon (supwlanguest/supguest) tai käytä laitteen omaa mobiililaajakaista-yhteyttä. Muiden kuin tietohallinnon toimittamien päätelaitteiden kytkeminen toimistoverkkoon langattomasti (supwlan) on mahdotonta, koska se vaatii päätelaitteen rekisteröimistä liiton ja kassan kirjautumisjärjestelmään (Active Directory). Muiden kuin tietohallinnon toimittamien päätelaitteiden kytkeminen toimistoverkkoon verkkokaapelilla on ehdottomasti kiellettyä.

Windows-tietokoneiden automaattiset, ajastetut ylläpitotoimet

Sovellus-/käyttöjärjestelmäpäivitykset tehdään tietohallinnon toimittamille Windows-tietokoneille automaattisesti F-Secure PSB Workstation Security-tietoturvaohjelmistolla sekä Windowsin omalla päivitystoiminnolla. Windows-tiekoneille ajetaan myös viikottain täydellisiä virustarkistuksia sekä virustorjuntaratkaisun virustietokantojen päivityksiä. Taulukko 1 kuvaa ajankohdat päivityksille ja virusskannauksille.

Ylläpitotoimenpide Aika Kuvaus

Virustarkistus Ma-ke klo 0:00 F-Secure tarkistaa löytyykö Windows-tietokoneesta viruksia.

Virustietokantojen tarkistus

Ma-su klo 21:00 F-Secure tarkistaa virustietokantojen ajantasaisuuden ja päivittää tarvittaessa

1 Kannettavan tietokoneen sisäiset massamuistit/kovalevyt on salattu vahvalla Windows Bitlocker-suojauksella, jonka murtaminen on lähes mahdotonta jos koneen virta on sammutettu.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 4 (15) Tietohallinto 6.9.2016

Käyttöjärjestelmä ja sovelluspäivitykset (F-Secure)

Edu o Joka päivä klo.

22:00

Jäsenyksikkö o Joka päivä klo.

22:00

Kerä o Joka päivä klo

2:00

Lehti o Joka päivä klo

2:00

Talous- ja henkilöstö o Joka päivä klo

22:00

Tiha o Joka päivä klo

2:00

Viestintä o Joka päivä klo

2:00

Yle o Joka päivä klo

2:00

Kassa o Joka päivä klo

22:00

F-Secure tarkistaa puuttuvat Windows-käyttöjärjestelmän ja sovelluksien päivitykset ja asentaa ne. Porrastettu yksiköittäin verkkokuormituksen minimoimiseksi.

Käyttöjärjestelmä ja sovelluspäivitykset (Windows Update)

Microsoftin julkaistessa päivityksiä

Windows Update asentaa Windows-käyttöjärjestelmä ja sovelluspäivityksiä niiltä osin kuin niitä puuttuu F-Securen päivityksien jälkeen. Päivitykset asennetaan automaattisesti Microsoftin niitä julkaistessa.

Taulukko 1. Automaattiset Windows-tietokoneen ylläpitotoimet

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 5 (15) Tietohallinto 6.9.2016

HUOM! Otathan huomioon seuraavat asiat:

Automaattisista ylläpitotoimista ainoastaan virustarkistus voi joissain tapauksissa merkittävästi vaikuttaa koneen käytettävyyteen (kone hidastuu ja käyttö voi olla todella tahmaista), muut ajastetut ylläpitotoimet eivät yleensä hidasta tai hankaloita koneen käyttöä.

Virustarkistuksen aikana Windows-tietokoneen käyttö voi hidastua ja hankaloitua merkittävästi koska virustarkistus käyttää melko raskaasti koneen resursseja.

Käyttäjä on velvollinen pitämään laitetta päällä ja kytkettynä Internetiin vähintään kerran viikossa asennus- ja virusskannausaikoina, jotta laite pysyy turvallisena ja käytettävyydeltään hyvänä.

F-Secure PSB:n tai Windows Updaten ajettua koneelle päivityksiä on kone hyvä käynnistää uudestaan. Sekä F-Secure, että Windows Update ilmoittavat koneen uudelleenkäynnistystarpeista päivityksien jälkeen, jos käyttäjä on kirjautuneena koneeseen. Ilman uudelleenkäynnistystä kone voi toimia epävakaasti.

Sovellus-/käyttöjärjestelmäpäivitykset tehdään BYOD-päätelaitteille laitteen käyttäjän itse määrittelemällä tavalla. Käyttäjä on velvollinen päivittämään BYOD-laitetta säännöllisesti, jotta laite pysyy turvallisena ja käytettävyydeltään hyvänä, eikä aiheuta tietoturvariskejä käytettäessä IT-palveluita.

Päätelaitteiden sähköinen käyttöehtojen hyväksyntä

Käyttäjän ottaessa käyttöön IT-palveluja tietohallinnon päätelaitteella tai BYOD-päätelaitteella, on hänen hyväksyttävä nämä käyttöehdot sähköisesti. Päätelaitteiden omistajuus tallentuu keskitetysti tietohallinnan ylläpitämään laiterekisteriin käyttöehtojen hyväksynnän jälkeen. BYOD-käyttäjä hyväksyy käyttöehdot automaattisesti kirjautuessaan IT-palveluihin BYOD-päätelaitteellaan ensimmäistä kertaa.

Työaseman sisäiset massamuistit (kovalevyt)

Kannettavien tietokoneiden sisäisten massamuistien (kovalevyt) salaus toteutetaan Windows Bitlocker-salauksella. Tietohallinnon toimittamien mobiililaitteiden sisäiset muistit on salattu. Kannettavien tietokoneiden sisäiset massamuistit C-levy

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 6 (15) Tietohallinto 6.9.2016

Kaikissa koneissa graafikoiden tehotyöasemia lukuunottamatta on vain yksi levy ja se on kirjaimeltaan C.

C-levylle kirjoittaminen on sallittu käyttäjän omaan käyttäjäprofiiliin, jonka polku on c:\käyttäjät\<käyttäjätunnus>. Esim. c:\käyttäjät\supsahu.

D-levy

Löytyy ainoastaan graafikoiden tehotyöasemista, koska Adobe Creative Cloud sovellukset tarvitsevat paljon paikallista tallennustilaa.

Kooltaan 1 Tt

Asema ei ole varmistuksen piirissä Z-levy

Käyttäjän henkilökohtainen kotihakemisto/verkkolevy.

Kooltaan henkilökohtainen hakemisto on 3 Gigatavua.

Varmistuksen piirissä.

Windows 8.1:n "Tämä tietokone\Tiedostot-kansio" ohjataan automaattisesti Z-levylle

Windows 7:n Kirjastot\Tiedostot-kansio ohjataan automaattisesti Z-levylle.

Levy on tarkoitettu ensisijaisesti Word-, Excel-, Powerpoint-tiedostoja ja vastaavia työhön tarvittavia tiedostoja varten.

Offline-synkronoitu: Levyllä olevat tiedostot ovat käytettävissä aina vaikka kone ei olisi edes toimistoverkossa. Jos tiedostoja muokataan hakemistossa silloin kun kone ei ollut toimistoverkossa, kopioidaan tehdyt muutokset automaattisesti kun kone liitetään taas toimistoverkkoon.

Ulkoiset massamuistit

Ulkoisten massamuistien (esim. USB-tikut, ulkoiset USB-kovalevyt) salaus toteutetaan Windows Bitlocker to Go-salauksella. Bitlocker-salattuja massamuisteja ei voi lukea Mac OS- tai Linux-käyttöjärjestelmillä varustetuissa koneissa, eikä Windows XP:tä vanhemmissa Windows-käyttöjärjestelmissä.

Älypuhelimet ja muut mobiililaitteet

Kaikki liiton ja kassan älypuhelimet on suojattava sekä SIM-kortin PIN-, että suojakoodilla. Käyttäjän vastuulla on sekä SIM-kortin PIN-koodin vaihtaminen, että suojakoodin määrittely. Liiton ja kassan älypuhelimet sekä muut mobiililaitteet liitetään käyttöönoton yhteydessä mobiililaitehallintaan, jonka kautta pakotetaan seuraavat tietoturvaominaisuudet:

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 7 (15) Tietohallinto 6.9.2016

Käyttäjää vaaditaan syöttämään min. 4-merkin pituinen (voi olla pelkkiä numeroita) suojakoodi, jolla laite lukitaan sen ollessa käyttämättömänä tai uudelleenkäynnistettäessä.

Mobiililaite salataan.

Mobiililaitteen etätyhjentäminen ja lukitseminen mahdollistetaan.

Mobiililaitteen näyttö lukitaan (ja vaaditaan suojakoodilla avaus) 15 minuutin käyttämättömyyden jälkeen.

Vaihda matkapuhelimen oletus SIM-kortin PIN-koodi (puhelimen tunnusluku) toiseen. PIN koodi voi olla 4-8 numeroa pitkä. Älä käytä omaa syntymäaikaa. Huomioi, että mobiililaitteet eivät ole tietohallinnon ylläpitämän varmistuksen piirissä liiton ja kassan yhteisen sähköpostipalvelimen sähköposteja lukuunottamatta. Nokia/Microsoft Lumia-älypuhelimien yhteystiedot, tekstiviestit, kuvat ja jotkin sovellusasetukset varmuuskopioidaan automaattisesti Microsoft Onedrive-pilvipalveluun kun käyttäjä määrittelee puhelimeensa haluamansa Microsoft-tilin. Microsoft-tilien ylläpito ja varmuuskopioiden seuranta/ylläpito on käyttäjän omalla vastuulla. Mobiililaitteet voidaan etälukita- ja etätyhjentää varkaus- sekä katoamistapauksissa. Jos epäilet että mobiililaitteesi on varastettu, kadonnut tai epäilet että se on saastunut, (viruksella tai muulla haittaohjelmalla) ilmoita asiasta välittömästi tietoturvavastaavalle.

Pääsynhallinta

Vaihda säännöllisesti käyttäjätunnuksesi salasanaa. Hyvä salasana on pitkä (pitempi kun 10 merkkiä) ja monimutkainen (isoja, pieniä kirjaimia ja numeroita). Älä käytä skandeja, eli öäå tai ÖÄÅ. Tämä pätee kaikissa järjestelmissä. Älä koskaan luovuta tai lainaa käyttäjätunnusta tai tunnuksiasi kenellekään. Jos epäilet että salasanasi on paljastunut niin ilmoita asiasta välittömästi esimiehelle tai tietoturvavastaavalle. Organisaatiotunnuksen salasana vanhenee automaattisesti aina 180 päivän kuluttua ja on vaihdettava tällöin uuteen.

Sähköpostin käyttö

Jos sähköpostiin tulee epämääräisiä (esim. ulkomailta tai huonolla suomella kirjoitettuja) viestejä älä klikkaa niiden liitteitä tai linkkejä. Tarvittaessa varmista viestin oikeellisuus tietohallinnolta. Käytä sähköpostia vain työasioihin.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 8 (15) Tietohallinto 6.9.2016

Työantajan sähköpostilaatikkoa ei voi lukea muilla kuin tietohallinnon toimittamilla päätelaitteilla (tietokoneet ja mobiililaitteet) ks. kappale 5. Poikkeuksena on liiton web-sivupohjainen sähköposti Outlook Web App, jonka kautta voit lukea sähköpostisi millä tahansa päätelaitteella.

Henkilötietolain alaisen tiedon käsittely sähköpostitse

Henkilötietolain alaisen tiedon käsittelyssä sähköpostitse on oltava varovainen. Liiton ja kassan käyttämän Microsoftin Office 365-pilvipalvelun Exchange Online-sähköpostipalvelun sähköpostilaatikot ovat muutamia poikkeuksia lukuunottamatta pilvipalvelussa, joka tarkoittaa sitä että sähköpostitse lähetettävä henkilötietolain alainen tieto tallentuu Suomen rajojen ulkopuolelle ja voi tallentua joissain tapauksissa EU:n rajojen ulkopuolelle. Henkilötietolain alaisen tiedon tallentuminen Suomen ja etenkin EU:n rajojen ulkopuolelle on erittäin ongelmallista.

Henkilötietolain alaista tietoa sisältävän sähköpostin lähettäminen

Henkilötietolain alaista tietoa sisältävän sähköpostin lähettäminen siten, että se ei tallennu salaamatta Suomen tai EU-rajojen ulkopuolelle on mahdollista Deltagonin sähköpostin salausratkaisun avulla. Deltagonin ratkaisussa tieto salataan ennen kuin se tallennetaan Microsoftin pilvipalveluun. HUOM! Sähköpostin salaus on mahdollista ainoastaan käytettäessä Outlook 2016 desktop-sovellusta/ohjelmaa. Salausta ei voida käyttää web-sivupohjaisessa Outlook Web App-sähköpostissa tai lähetettäessä sähköpostia mobiililaitteista.

Henkilötietolain alaista tietoa sisältävän sähköpostin vastaanottaminen

Liiton ja kassan sähköpostilaatikoista osa yhteiskäytössä olevista (ns. jaetuista) sähköpostilaatikoista säilytetään Suomessa sijaitsevalla sähköpostipalvelimella. Näihin sähköpostilaatikoihin sähköpostia ei kuitenkaan saa lähettää suoraan vaan sähköpostin lähetys on suoritettava jommalla kummalla seuraavista tavoista:

1. Sähköisen asioinnin järjestelmien kautta (Esim. liiton Aaria Ooppera/Operetti ja Digian kassalle toimittamat sähköisen asioinnin järjestelmät).

2. Deltagonin toimittaman web-sivuopohjaisen D-Compose-portaalin läpi. D-Composen avulla liiton ja kassan jäsenet sekä yhteistyökumppanit, voivat lähettää liitolle ja kassalle sähköposteja, jotka on salattu ennen kuin ne päätyvät Microsoftin pilveen.

Taulukossa 2. on lueteteltu yhteiskäytössä olevat sähköpostilaatikot joiden sisältämä tieto sijaitsee Suomessa ja jonne henkilötietolain alaista materiaalia voi lähettää tietoturvallisesti ym. kohtien 1 ja/tai 2 tavoilla.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 9 (15) Tietohallinto 6.9.2016

Sähköpostilaatikko Sähköpostiosoite Kuvaus Omistava yksikkö

aariatesti aariatesti@superliitto.fi Attidon Aaria testiä varten luotu sähköpostitili Jäsenyksikkö

AO-asiakirjat ao-asiakirjat@superliitto.fi Yleishallinto Edu edu@superliitto.fi Edunvalvonta

Edu Aktiivit edu.aktiivit@superliitto.fi Edun yhteinen sähköpostitili pää- ja luottamusmiehille Edunvalvonta

jasenpalvelu jasenpalvelu@superliitto.fi Tähän palautuu Aariasta lähetetyt s-postit Jäsenyksikkö

jmpalautus jmpalautus@superliitto.fi Talousyksikön käytössä oleva jäsenmaksujen palautus Taloushallinto

Jäsenmuutokset jasenmuutokset@superliitto.fi

Tänne ohjataan www-sivuilla olevat sähköiset lomakkeet; jäsentietojen muutoslomake, jäsenmaksutietojen muutoslomake ja Opiskelijan jäsentietojen muutoslomake. Ei vielä käytössä. Jäsenyksikkö

Jäsenrekisteri jasenrekisteri@superliitto.fi www-sivuilta ohjautuvat eri lomakkeet Jäsenyksikkö

kera kera@superliitto.fi Kehitysyksikkö

lomatuki lomatuki@superliitto.fi Taloushallinto

no-reply-jäsenyksikkö noreplyjasrek@superliitto.fi Jäsenyksikkö

Opo-palaute opopalaute@superliitto.fi

Opiskelijatyön verkossa olevien palautelomakkeiden siirtyminen aariaan. Yleishallinto

svkera svkera@superliitto.fi Kerän ruotsinkielinen palveluosoite Kehitysyksikkö

tkpalvelu@supertk.fi Työttömyyskassan yleispostilaatikko Työttömyyskassa

työnantajarekisteri tyonantajarekisteri@superliitto.fi Jäsenyksikkö

Yleishallinnon Sähköposti yleishallinto@superliitto.fi Yleishallinto

Taulukko 2. Yhteiskäytössä olevat sähköpostilaatikot

Internet-selaimet

Internet-selainten välimuisti ja sivuhistoria tyhjennetään automaattisesti kun selain suljetaan. Tämän takia käytä selaimen historian sijasta kirjanmerkkejä ja suosikkeja. Facebookin käyttö työkoneella on sallittua, mutta käyttö on suoritettava liiton ja kassan julkaisemien ohjeiden mukaisesti. Salasanojen tallentaminen Internet-selaimiin on sallittua, mutta on suositeltavaa että tällöin käytetään yhtä pääsalasanaa esim. Firefox Master Password-ratkaisua. Pääsalasanan aktivoiminen ja käyttö sekä salasanojen tallentaminen ja säilyttäminen turvallisesti on käyttäjän omalla vastuulla.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 10 (15) Tietohallinto 6.9.2016

Sovellusasennukset

Liiton ja kassan koneille on asennettu määrätyt vakiosovellukset (esim. Microsoft Office). Kaikki tietohallinnon katselmoimat ja turvalliseksi toteamat ohjelmat, joita voi työasemille vapaasti asentaa (vakio-sovellusten lisäksi) löytyvät ”Software Center-sovelluksen kautta.” Jos haluamaasi ohjelmaa ei löydy Software Centeristä, ota yhteyttä tietohallintoon niin uuden sovelluksen lisäämismahdollisuudet selvitetään.

Tiedostonhallintakäytännöt

Tiedostoja voidaan tallentaa seuraaviin sijainteihin liiton ja kassan IT-ympäristössä:

Päätelaitteen paikallisille, salatuille massamuisteille (esim. kovalevyt (C- ja D-levy, Windowsin Tiedostot-kansio jne.), muistikortit)

Päätelaitteissa käytettäville, salatuille ulkoisille massamuisteille (esim. USB-tikut ja ulkoiset kovalevyt)

Office 365-pilvipalveluihin o Sharepoint Online o OneDrive for Business o Sähköpostipalvelu

Liiton ja kassan omille verkkolevyille (H-levy jne.) Henkilötietolain alaista tietoa (esim. henkilötunnukset, passinumerot) ei saa tallentaa Office 365-pilvipalveluihin. Kaikki henkilötietolain alainen tieto on tallennettava liiton ja kassan omille verkkolevyille tai päätelaitteiden paikallisille salatuille massamuisteille. Muiden kun työhön liittyvien tiedostojen tallentaminen toimistoverkon verkkolevyille on kiellettyä. OneDrive for Businessin ja Sharepoint Onlinen lisäksi on maailmassa useita ilmaisia ja maksullisia sekä kuluttaja- että yrityskäyttöön tarkoitettuja tiedostojenjakopalveluita (Dropbox, Google Drive jne.). Näiden käyttämistä edes ei-luottamuksellisten työaineistojen käyttöön ei suositella eikä niiden käyttöön tai käyttöongelmiin liittyen (tiha- tai BYOD-päätelaitteessa) voida tarjota minkäänlaista teknistä tukea.

Sähköpostin salaus

Henkilötietolain alaista tietoa (kuten henkilötunnuksia) ei saa lähettää sähköpostitse. Jos haluat kuitenkin lähettää muulla tavalla luottamuksellista aineistoa sähköpostitse, on sähköposti mahdollista salata.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 11 (15) Tietohallinto 6.9.2016

Sähköposti salataan lisäämällä avainsana #salattu (tai #krypterad) jonnekin sähköpostiviestiin tai otsikkoon. Salatun viestin vastaanottaja saa viestin auki ainoastaan kirjautumalla organisaatiotunnuksella tai käyttämällä vastaanottajaosoitteeseen lähetettävää erillisellä sähköpostiviestillä tulevaa kertakäyttökoodia (ns. one-time passcode).

Luottamuksellisten tietojen leviämisen estäminen

Sähköpostipalvelussa ja tiedostonjakopalvelussa käytetään teknologiaa2, jolla voi joissain tapauksissa estää luottamuksellisten/henkilökohtaisten tietojen leviäminen sähköpostitse ja potentiaalisesti vihamielisten tahojen pääsy luottamukselliseen aineistoon. Luottamuksellisiin ja henkilökohtaisiin tietoihin luetaan (mutta joihin ei ole rajattu):

Luottokorttinumerot

Henkilötunnukset Luottamuksellisia tietoja yritetään tunnistaa seuraavista paikoista:

Outlook sähköpostit

Outlook Web App-sähköpostit

Office-dokumenteista (Word, Excel, Powerpoint)

Office Online-dokumenteista (Word, Excel, Powerpoint)

Sharepoint Online-dokumenteista Jos luottamuksellisia tietoja (kuten henkilötunnus) ja sopiva avainsana (esim. ”henkilötunnus”) tunnistetaan dokumentista tai sähköpostista, varoitetaan siitä käyttäjää ja luottamuksellisen tiedon tallentaminen voidaan estää tai esim. sähköpostiviesti automaattisesti salata.

Dokumenttien luottamukselliseksi merkitseminen

Office-sovelluksissa ja sähköposti- sekä tiedostopalvelussa voidaan käyttää dokumenttien suojausteknologiaa3, jolla voidaan estää luottamuksellisen dokumentin joutuminen ulkopuolisen, mahdollisesti vihamielisen tahon käsiin. HUOM! Tämä on eri asia kuin sähköpostin salaus, joka salaa sähköpostiviestin liitteineen. Dokumenttien ja sähköpostien suojausteknologia mahdollistaa seuraavat toimenpiteet:

2 Käytetty teknologia on nimeltään DLP eli Data Loss Prevention. Lisätietoa:

https://support.office.com/en-us/article/Use-Office-365-to-help-comply-with-legal-regulatory-and-organizational-compliance-requirements-ce773cec-2151-4d06-9a4e-2818613bd7e0

3 Käytetty teknologia on nimeltään Azure RMS eli Azure Rights Management. Lisätietoa: https://docs.microsoft.com/fi-fi/rights-management/understand-explore/what-is-azure-rms

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 12 (15) Tietohallinto 6.9.2016

Dokumentti voidaan määritellä luottamukselliseksi organisaatiolle ja sen avaaminen ja/tai muokkaaminen sallitaan ainoastaan yhden tai useamman sähköpostiosoitteen omistajalle/omistajille.

Dokumentille voidaan määrittää vanhentumispäivä, jonka jälkeen organisaation ulkopuoliset käyttäjät eivät saa enää dokumenttia auki riippumatta siitä mihin se on tallennettu (muistitikulle, puhelimeen, ulkopuolisen käyttäjän työkoneen kovalevylle jne.).

Voit tilata sähköpostivaroituksen aina kun joku avaa luottamuksellisen dokumentin.

Eteenpäin lähetetyn luottamuksellisen dokumentin avaaminen/käyttö voidaan estää välittömästi.

Voit seurata Internet-sivulta jakamiesi luottamuksellisten dokumenttien käyttöä ja tilaa.

Suojattujen dokumenttien avaaminen onnistuu ilman lisätoimenpiteitä SuPerin ja Super työttömyyskassan toimistohenkilökunnan, sekä SuPerin ja Super työttömyyskassan kentän tietohallinnon toimittamilla Windows-tietokoneilla. HUOM! Lähetettäessä suojattuja dokumentteja ulkopuolisille, on otettava huomioon seuraavat dokumenttien avaamiseen liittyvät vaatimukset ulkopuolisille käyttäjille:

Suojatun dokumentin avaaminen Windows-tietokoneessa vaatii Microsoftin suojatun jakamisen mahdollistavan sovelluksen asentamisen tietokoneeseen, joka taas vaatii Windows-tietokoneen paikallisen ylläpitäjätunnuksen käyttämistä. Monissa organisaatioissa käyttäjille ei myönnetä paikallisia ylläpitäjäoikeuksia. Tämä voi estää ulkopuoliselta suojatun dokumentin avaamisen.

Suojatun dokumentin avaaminen mobiilipäätelaitteessa (esim. Apple iOS-laitteissa tai Android-laitteissa) vaatii suojatun jakamisen mahdollistavan mobiilisovelluksen asentamisen mobiililaitteeseen.

Suosituksena on, että toistaiseksi suojattuja dokumentteja ei lähetetä SuPerin tai Super työttömyyskassan ulkopuolisille käyttäjille.

Tietoliikenne

Omat ja julkiset Internet-yhteydet

Omien ja julkisten langattomien (Wi-Fi/WLAN) ja langallisten (esim. ADSL-yhteydet) käyttäminen on sallittua kaikissa päätelaitteessa, mutta niiden käyttöongelmiin ei tarjota teknistä tukea.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 13 (15) Tietohallinto 6.9.2016

Mobiilipäätelaitteiden mobiililaajakaistan SIM-korttia ei saa käyttää missään muussa päätelaitteessa. Missään päätelaitteessa ei saa käyttää muita kuin tietohallinnon toimittamia mobiililaajakaistayhteyksiä/SIM-kortteja.

Tietoturvapalvelut

Virus- ja haittaohjelmien torjunta

Kaikissa Windows-tietokoneissa ja tarvittaessa mobiilipäätelaitteissa (jos mobiilipäätelaitteen käyttöjärjestelmä on joku muu kuin Windows Phone 8.1 tai Windows 10 Mobile) on esiasennettuna tietohallinnon toimittama F-Secure Protection Service for Business-tietoturvaohjelmisto. Päätelaitteiden käyttö ilman F-Secure anti-virus ja haittaohjelmantorjuntaa ei ole sallittua. BYOD-laitteisiin ei tarjota tietohallinnon toimittamaa tietoturvaohjelmistoa, mutta käyttäjän on muutoin huolehdittava laitteen tietoturvallisuudesta:

Laitteessa on aktiivinen palomuuriohjelmisto.

Laitteessa on aktiivinen ja ajantasainen virus- ja haittaohjelmantorjuntaohjelmisto.

Palomuuri

Windows-tietokoneissa on oletuksena päällä tietohallinnon keskitetysti ylläpitämä ja hallitsema, Windowsin oma palomuurisovellus. Palomuurin käyttö ei edellytä käyttäjältä minkäänlaista vuorovaikutusta tai asetusten tekoa. Windows-tietokoneen käyttö ilman Windows-palomuuria ei ole sallittua.

Päätelaitteen paikantaminen, etälukitseminen ja etätyhjennys

Kaikki Windows-tietokoneet voi paikantaa, lukita tai tyhjentää etänä (käyttöjärjestelmää myöten) ns. Absolute Data Protect-ratkaisulla. Kaikki tietohallinnon toimittamat tai tietohallinnon toimittamaan mobiililaitehallintaan liitetyt BYOD-mobiililaitteet voidaan tyhjentää etänä ns. Microsoft Intune-mobiililaitehallintaratkaisulla. Kaikissa tietohallinnon toimittamien Windows-tietokoneiden etäpaikannus-,etälukitsemis- ja etätyhjennystarpeissa, sekä mobiililaitteiden etätyhjennystarpeissa ota yhteys tietohallintoon.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 14 (15) Tietohallinto 6.9.2016

Jos dokumentit eivät saa joutua ulkopuolisiin käsiin on ne merkittävä luottamuksellisiksi tekovaiheessa (ks. ”Dokumenttien luottamukselliseksi merkitseminen”). BYOD-laitteita voidaan etäpaikantaa jos päätelaite tukee tällaista toiminnallisuutta ja omistaja itse huolehtii toiminnon käyttöönotosta ja ylläpidosta. Kaikissa Windows Phone 8/8.1-, Windows Mobile 10-, iOS- ja Android-päätelaitteissa etäpaikannusratkaisu, jonka käyttöönotto on suositeltavaa.

Omien laitteiden hyödyntämien (BYOD, Bring Your Own Device)

Tietohallinnon palvelumalli mahdollistaa O365-palvelujen käyttämisen omilla laitteilla (ns. BYOD eli Bring Your Own Device), edellyttäen että ne täyttävät palvelujen asettamat vaatimukset4. Jos BYOD-laite ei täytä palveluvaatimuksia, sen käyttö ei ole suositeltavaa, eikä sille voida tarjota tukea tietohallinnon kautta.

Muut päätelaitteen ja IT-palvelujen käyttämiseen liittyvät rajoitukset

Seuraavanlainen toiminta kaikissa it-palveluissa ja kaikilla päätelaitteilla on ehdottomasti kiellettyä (mutta johon ei ole rajattu):

1. Haitallisten ohjelmien tuominen päätelaitteelle tai palveluun (esim. virukset, madot, Troijan hevoset, ”e-mail bomb”-tyyppiset ohjelmat, jne.) tarkoituksella.

2. Tietomurtoihin tai verkkoliikenteen häirintään johtava toiminta. Tietomurtoihin voidaan laskea (mutta joihin ei rajata) pääsy tietoon, jota ei ole tarkoitettu järjestöedustajalle, kirjautuminen palveluun johon järjestöedustajalla ei ole valtuuksia tai tilin käyttö johon järjestöedustajalla ei ole valtuuksia.

a. Verkkoliikenteen häirintä sisältää tässä (mutta johon ei ole rajattu) i. verkon ”nuuskinnan” ii. ping-tulvat iii. pakettien väärentämisen iv. palvelunestohyökkäyksen (Denial of Service/DoS) v. reititystiedon väärentämisen vihamielisiin tarkoituksiin.

3. Porttiskannaukset (esim. hyödyntäen Nmap-ohjelmistoa) tai tietoturvaskannaukset joita tehdään tiha- tai BYOD-päätelaitteilla ovat ehdottomasti kiellettyjä. Portti- ja tietoturvaskannaukset, jotka kohdistuvat organisaation IT-palveluihin ovat kiellettyjä ellei niistä erikseen sovita etukäteen Tietohallinnon kanssa.

4. Minkä tahansa verkkoliikenteen tutkiminen ja/tai monitorointi jolla tutkitaan dataa, joka ei ole kohdistunut järjestöedustajan omaan koneeseen ellei tämä toiminta ole osa järjestöedustajan normaaleja tehtäviä.

4 Palvelujen asettamat vaatimukset esitetään liitteessä Liite 2, palvelujen käytön vaatimukset.

Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 15 (15) Tietohallinto 6.9.2016

5. Minkä tahansa koneen tai verkon käyttäjävaltuutuksen tai tietoturvaratkaisun kiertäminen/yliajaminen.

6. Minkä tahansa palvelun toiminnan haittaaminen/estäminen tai väkisin kieltäminen keneltä tahansa, eli mm. kohdan 2 palvelunestohyökkäykset.

7. Minkä tahansa ohjelman/skriptin/käskyn käyttö tai viestin lähettäminen, jonka tarkoituksena on puuttua tai estää palvelujen käyttö.