Käyttövaltuushallintapolitiikka

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tietoturvapäällikkö

28.10.2022

1.0

 

 

 

Sisällys

1   Johdanto   2

2   Käyttövaltuushallinnon periaatteet   2

2.1   Hallintaprosessien määrittely ja kuvaaminen   2

2.2   Suojattavien kohteiden ja niihin liittyvien käyttöoikeuksien määrittely   2

2.3   Käyttövaltuuksien määrittely   3

2.4   Käyttövaltuusrekisterin suunnitteluvaatimus   3

3   Vaatimukset eri osa-alueille   3

3.1   Käyttäjä   3

3.1.1   Perusvaatimukset   3

3.2   Käyttäjätunnukset   4

3.3   Käyttöoikeudet   4

3.4   Käyttöoikeusprosessit   5

3.5   Tunnistautuminen ja todentaminen   5

3.5.1   Salasanapolitiikka   5

3.5.2   Kaksivaiheinen tunnistautuminen - MFA   6

4   Kootut minimivaatimukset   7

4.1   Perus- ja yhteiskäyttötunnukset   7

4.2   Hallinta- ja palvelutunnukset   8

4.3   Käyttäjäroolit ja jaetut resurssit   9

4.4   Poikkeukset   9

5   Liitteet   9

6   Dokumentin muutoshistoria   10

 


Johdanto

 

Käyttövaltuushallinnon hallintaprosesseilla tarkoitetaan toimintoja, jotka liittyvät tietojärjestelmien käyttäjä- ja käyttöoikeustietojen sekä käyttövaltuuksien ylläpitoon. Organisaatiolla tulee olla olemassa käyttövaltuuksien hallintapolitiikka, jossa määritellään organisaation käyttövaltuusperiaatteet ja toimintatavat (VAHTI: Käyttövaltuushallinnon periaatteet ja hyvät käytännöt).

 

Tämä politiikka on keskeinen osa organisaation johdon hyväksymän tietoturvapolitiikan jalkauttamista käytäntöön, ja se koskee koko Turun kaupungin henkilökuntaa ja kaikkia sen työtehtävissä käyttämiä sovelluksia, joihin sisältyy käyttöoikeushallintaa.

 

Käyttövaltuushallinnon periaatteet

 

Hallintaprosessien määrittely ja kuvaaminen

 

Hallintaprosessit tulee suunnitella niin, että ne kattavat aukottomasti sekä käyttövaltuuksien että suojattavien kohteiden elinkaaret ja ne ovat riittävän turvallisia. Prosesseista tulee ylläpitää ajan tasalla olevia kuvauksia ja ohjeistuksia. Prosesseilla ja niihin liittyvillä hallituilla kohteilla tulee olla nimetyt vastuuhenkilöt. Kaikkien prosesseihin osallistuvien organisaatioyksiköiden ja henkilöiden vastuiden, velvollisuuksien ja valtuuksien tulee olla selkeästi määriteltyjä.

 

Suojattavien kohteiden omistaja on taho, joka päättää valtuuksien myöntämisestä ja poistamisesta. Omistajan velvollisuutena on siksi myös osallistua myöntämis- ja poistamisprosessien määrittelyyn. Prosessien yleinen toteutustapa ja niihin liittyvät osapuolet on kuitenkin syytä pyrkiä sopimaan mahdollisimman yhdenmukaisiksi koko organisaatiossa.

 

Prosessien tulee olla jäljitettäviä niin, että kaikkiin lupien myöntämis-, muutos- ja poistamistapahtumiin osalliset ja heidän roolinsa voidaan haluttaessa jälkeenpäin selvittää. Kaikista käyttövaltuuksien muutoksista pitää siten löytyä dokumentti, joka mahdollistaa tapahtumien jäljitettävyyden.

 

Erityistä huomiota hallintaprosessien toteutuksessa tulee kiinnittää tilanteisiin, joissa käyttäjä poistuu tai hänen työroolinsa muuttuu tavalla, joka vaikuttaa käyttövaltuuksiin. Tällöin lähijohtajan on huolehdittava siitä, että poistuneen käyttäjän käyttäjätiedot ja kaikki siihen liittyneet käyttäjätilit ja käyttövaltuudet tai käyttäjän aikaisempaan rooliin liittyvät uutta tilannetta vastaamattomat käyttövaltuudet poistetaan. Vastaavasti tulee huolehtia, että käytöstä poistuneisiin tietoihin/järjestelmiin liittyvät käyttöoikeudet poistetaan. Irrallisiksi jääneet vanhentuneet tiedot rapauttavat järjestelmäympäristöä ja voivat aiheuttaa arvaamattomia tietoturvariskejä.

 

Parhaiten käyttövaltuushallinnon prosessien määrämuotoisuus- ja jäljitettävyysvaatimukset voidaan täyttää mahdollisimman pitkälle automatisoiduilla hallintaprosesseilla.

 

Suojattavien kohteiden ja niihin liittyvien käyttöoikeuksien määrittely

 

Käyttövaltuushallinnon viitekehyksessä suojattavia kohteita voivat olla mitkä tahansa tiedot, toiminnot tai fyysiset kohteet, joiden käyttöä halutaan rajoittaa ja valvoa. Yksilöllisesti suojattavia kohteita voi olla tietojärjestelmäarkkitehtuurin kaikilla tasoilla: sovellukset, sovellustoiminnot, tietokannat, tiedostot, tietojoukot ja yksittäiset tiedot ja dokumentit, käyttöliittymät, järjestelmien liittymistavat, erilaiset käyttöjärjestelmä- ja väliohjelmisto-tason kohteet ja toiminnot.

 

Suojattavan kohteen omistajan tehtävä on määritellä, millaisia erilaisia käyttöoikeuksia ja niitä mahdollisesti täsmentäviä sääntöjä kohteelle annetaan. Johonkin käyttöoikeuteen voi esimerkiksi liittyä vaatimus, että käyttäjän tulee olla vahvasti tunnistettu, että suojattavan kohteen käyttöä ei sallita yleisen verkon kautta yhteydessä olevalle käyttäjälle, tai että käyttöoikeus on voimassa vain tiettynä aikana tai tietyssä käyttötilanteessa. Omistaja vastaa siitä, että suojattaviin kohteisiin liittyvät määritykset poistetaan järjestelmistä samalla kun kyseinen suojauksen kohde poistuu.

 

Käyttövaltuuksien määrittely

 

Käyttövaltuuksien määrittely tarkoittaa käyttöoikeuksien kytkemistä käyttäjien työrooleihin, jotta käyttäjällä on riittävät oikeudet työtehtäviensä suorittamiseen. Palvelujärjestelmien käyttöoikeudet tai osa niistä saattaa olla koottu joukoksi järjestelmän rooleja, joihin työroolit kytketään siten, että halutut käyttövaltuudet syntyvät.

Jos rooleja ei ole määritelty järjestelmään, niin työrooleihin kytketään asianmukaiset yksittäiset käyttöoikeudet.

 

Käyttövaltuusrekisterin suunnitteluvaatimus

 

Käyttövaltuuksista muodostuu henkilörekisteri, joka sisältää henkilötietoja. Sen käsittelyssä tulee ottaa huomioon lainsäädännön vaatimukset, kuten. suojaamis- ja huolellisuusvelvoitteet.

 

Käyttövaltuusrekisteri on suunniteltava etukäteen, jossa yhteydessä on kuvattava:

 

sen käyttötarkoitus

sen tietosisältö

mistä tiedot säännönmukaisesti hankitaan

mihin niitä säännönmukaisesti luovutetaan

millä tavalla ja miten pitkään rekisteritietoja säilytetään

miten ne hävitetään

miten tarpeellisuusvaatimus huomioidaan

miten huolehditaan tietojen virheettömyydestä ja ajan tasalla pidosta

miten huolehditaan henkilöiden informoinnista

miten huolehditaan tarkastusoikeudesta ja virheellisen tiedon oikaisusta

 

Jokaisesta eri käyttötarkoitukseen perustetusta henkilörekisteristä tulee laatia informointiasiakirja eli rekisteriseloste (tai seloste käsittelytoimista)

 

Silloin kun järjestelmän käytöstä jää merkintä siitä, kuka ko. järjestelmää tai sen tietoja on käyttänyt, myös nämä lokit muodostavat henkilörekisterin, josta tulee myös laatia rekisteriseloste.

 

Rekisteriselosteet tulee pitää kaikkien rekisteröityjen saatavilla.

 

Vaatimukset eri osa-alueille

 

Käyttäjä

 

Perusvaatimukset

 

1. Perustettaessa käyttäjätunnus tietojärjestelmään, joka sisältää henkilötietoja tai muita luottamuksellisia/salassa pidettäviä tietoja, tehdään ensimmäinen tunnistus virallisesti hyväksytystä voimassa olevasta henkilöllisyystodistuksesta tai sähköiseen palveluun rekisteröitymisen osalta käyttäen vahvaa sähköistä tunnistusmenetelmää. Henkilökunnan osalta riittää, että henkilö on jo tunnistettu aiemmin esim. työsopimuksen teon yhteydessä.

2. Jos järjestelmän käyttöön on lainsäädännöllisiä tms. erityisvaatimuksia, henkilöiden pitää olla hyväksyttyjä käyttämään kyseistä järjestelmää.

3. Tunnuksia ja käyttöoikeuksia luotaessa noudatetaan sovelluksen omistajan hyväksymää nimeämiskäytäntöä, joka pohjautuu mahdollisuuksien mukaan kaupungin nimeämisstandardiin.

4. Tunnukset ja käyttöoikeudet myönnetään ja ylläpidetään sen mukaisina, kun työtehtävät niin edellyttävät ja niitä päivitetään ilman tarpeetonta viivytystä edellytysten muututtua tai päätyttyä

a. Jos ylläpito on ulkoistettu, on vasteajat syytä huomioida sopimuksissa

b. Käyttäjän ja lähijohtajan tulee yhteistyössä huolehtia päivityksestä silloin, kun työtehtävät eivät enää edellytä kyseisen tietojärjestelmän sisältämien tietojen käyttöä.

5. Vaarallisten työyhdistelmien syntyminen pyritään tunnistamaan ja estämään esim. roolipohjaisen käyttöoikeusmäärittelyn avulla.

6. Tehtävistä ja tarvittavista käyttöoikeuksista riippuen pyydetään myös tarpeellisessa laajuudessa turvallisuusselvitys. Selvityksen tarpeen arvioi lähijohtaja yhdessä palvelukokonaisuuden johdon kanssa perustuen myös tiedonhallintalain asettamiin vaatimuksiin. Selvitettävältä kohteelta pyydetään etukäteen asiaan liittyen kirjallinen suostumus (turvallisuusselvityslaki).

7. Käyttäjällä pitää olla tai hänelle pitää sovelluksen omistajan toimesta tarjota, sen käyttöön vaadittava riittävä koulutus, jonka valvonta on lähijohtajan vastuulla.

 

Käyttäjätunnukset

 

Henkilöillä voi olla yksi tai useampia käyttäjätunnuksia. Käyttäjätunnukset voivat olla henkilökohtaisia, yhteiskäyttöisiä, hallintakäyttöisiä (ylläpito), sovelluksen palveluun (service) liittyviä. Tunnuksen vastuullinen haltija tulee aina olla nimetty. Henkilökohtaisen tunnuksen käyttäjä on samalla myös sen vastuullinen haltija. Vastuullinen haltija vastaa tunnuksen käyttöoikeuksilla tehdyistä merkinnöistä ja tapahtumista.

 

Jos samalla henkilöllä on järjestelmään sekä perus- että ylläpito-oikeuksia on hänellä niitä varten oltava erilliset tunnukset.

 

Lähtökohtana on, ettei yhteiskäyttöisiä tunnuksia luotaisi ja niiden poikkeuksellinen tarve on aina erikseen perusteltava ja dokumentoitava.

 

Sovelluksen palvelutunnuksella ei tule olla mahdollista kirjautua järjestelmään normaalisti käyttäjän tavoin. Jos näin kuitenkin on, käsitellään ko. tunnusta hallintatunnuksena.

 

Käyttöoikeudet

 

Käyttöoikeus voi sisältyä käyttäjätunnukseen, -ryhmään, -rooliin tai jaettuun resurssiin (esim. verkkolevy tai tulostin jne.). Käyttäjätunnukseen, ryhmään, rooliin tai jaettuun resurssiin voi liittyä useita erilaisia määriteltyjä käyttöoikeuksia yhdessä tai useammassa tietojärjestelmässä. Käyttöoikeusroolit ovat yhdistelmiä tietyssä tehtävässä tarvittavista käyttöoikeuksista.

 

Lähtökohtana tulee olla, että käyttöoikeudet ovat aina rajattuja, eikä laajoja ”kaikille kaikki oikeudet” -käyttöoikeuksia (kuten Everyone – Full Control) ole olemassa ilman erityistä perustelua, jonka omistaja on dokumentoidusti hyväksynyt.

 

Ryhmien, roolien ja jaettujen resurssien vastuullinen haltija on niihin liittyvän sovelluksen omistaja.

 

Käyttöoikeusprosessit

 

Käyttäjätunnusten ja käyttöoikeuksien rekisterin ylläpidolle on määriteltävä ja dokumentoitava prosessit, joiden olemassaolosta ja vaatimuksista vastaa ko. sovelluksen omistaja. Pääprosesseja ovat tunnusten ja käyttöoikeuksien nimeäminen, luonti, muutos, katselmointi sekä käytöstä poisto.

 

Jokainen prosesseista sisältää dokumentoidun toimenpiteen lisäksi sovelluksen omistajan itsensä tai valtuuttamansa (usein lähijohtajan) hyväksynnän muutokselle perusteluineen Näin voidaan jälkikäteenkin tarvittaessa selvittää milloin ja millä perusteella käyttöoikeuksia on muutettu ja kuka muutokset on tehnyt (audit-trail). Oikeuksia myönnettäessä tai muutettaessa kiellettyjen yhdistelmien syntymistä seurataan ja ne estetään esim. roolipohjaisuuden avulla.

 

Katselmoinnissa tunnusten ja käyttöoikeuksien tarpeellisuus ja oikeellisuus arvioidaan säännöllisesti ja lopputulos tarvittavine muutoksineen dokumentoidaan omistajan hyväksynnällä – myös silloin kun katselmointi ei aiheuta muutoksia. Katselmointiprosessi voi olla automatisoitu. Hallintatunnusten (admin, ylläpito, pääkäyttäjä jne.) katselmointi suoritetaan muita tunnuksia useammin ja ko. tunnusten lukumäärää ja käyttöastetta tulee myös seurata harkiten.

 

Erityistä huomiota tulee kiinnittää tunnusten ja käyttöoikeuksien käytöstä poistoon henkilö- ja työtehtävämuutosten yhteydessä, jolloin esim. HR-rekisterin apuna käyttö on suositeltavaa, erityisesti siltä osin kuin esim. kustannuksia aiheutuu tunnuspohjaisesti (esim. lisenssimaksut).

 

Tunnuksen/oikeuksien pikapoisto erityistilanteissa on suositeltavaa olla kuvattuna omana erillisenä toimenpiteenään.

 

Tunnistautuminen ja todentaminen

 

Salasanapolitiikka

 

Sovelluksen käyttäjätunnuksiin ja käyttöoikeuksiin tulee liittyä salasanapolitiikka joka:

 

1. On dokumentoitu ja ylläpidetty sovelluksen omistajan vastuuttamana

2. Pohjautuu tähän käyttövaltuushallintapolitiikkaan

3. Varmistaa että henkilökohtaisten tunnusten salasana on aina VAIN käyttäjän itsensä tiedossa. Esimerkiksi

a. salasana toimitetaan käyttäjälle suojattua reittiä erillään käyttäjätunnuksesta

b. käyttäjä vaihtaa itse salasanansa ensimmäisellä käyttökerralla tai nk. resetoinnin yhteydessä

4. Toteuttaa kohdan 4. Kootut minimivaatimukset salasanoihin liittyen

 

Kaksivaiheinen tunnistautuminen - MFA

 

Erityisoikeudellisten ylläpitokäyttäjätunnusten (pääkäyttäjä, Domain Admin tms.) käyttöön on oltava aina liitettynä 2-vaiheinen tunnistautuminen (MFA) Turun kaupungin tietojärjestelmiin tunnistauduttaessa niin kaupungin oman henkilöstön kuin samoja tietojärjestelmiä käyttävien ulkopuolisten osalta.

 

2-vaiheinen tunnistautuminen on oltava käytössä myös kaikille peruskäyttäjille kaupungin tietojärjestelmiin liittyen, silloin kun niihin tunnistaudutaan kaupungin verkkoympäristön ulkopuolelta (4827-2021: Salasanan muotovaatimukset sekä 2-vaiheinen tunnistautuminen).

 


 

Kootut minimivaatimukset

 

Minimivaatimukset ja toimenpiteet, joiden sisällöstä ja dokumentoinnista sovelluksen omistaja vastaa omaan sovellukseensa soveltuvissa kohdin.

 

Perus- ja yhteiskäyttötunnukset

 

Kohde (sekä sisäiset että ulkoiset)

Peruskäyttäjätunnus

Yhteiskäyttötunnus (useita käyttäjiä)

Henkilön/haltijan tunnistaminen

Kyllä

Kyllä

Turvallisuusselvityksen tarvearviointi

Kyllä

Kyllä

Rekisteriselostevaatimus

Kyllä

Kyllä

Lokienhallintapolitiikka

Kyllä

Kyllä

Henkilöhaltija oltava nimetty

Kyllä

Kyllä

Nimeämiskäytännön dokumentointi

Kyllä

Kyllä

Luonnin dokumentointi

Kyllä

Kyllä

Muutoksen dokumentointi

Kyllä

Kyllä

Katselmointi-intervalli (kk)

12

12

Käytöstä poiston dokumentointi

Kyllä

Kyllä

MFA-tunnistautuminen käytössä

Kyllä

Kyllä

Voi kirjautua järjestelmään

Kyllä

Kyllä

Lukkiutuminen (vapautusprosessi oltava)

50 kertaa/8h

50 kertaa/8h

Salasana vanhenee automaattisesti

Kyllä

Kyllä

Salasanan minimipituus (merkkiä)

16

16

Salasanavaihtoväli (vrk)

380

380

Salasanahistoria (vrk)

3

3

Salasana kompleksisuus

Kyllä

Kyllä

Salasana minimi voimassaolo (vrk)

1

1

Salasanan toimittaminen käyttäjälle

suojattu reitti, erillään tunnuksesta, käyttäjä vaihtaa heti

suojattu reitti, erillään tunnuksesta, haltija vaihtaa heti ja vastaa jakelusta

Salasanan resetointi

Ylläpidon toimesta tarvittaessa, käyttäjä vaihtaa heti uudelleen

suojattu reitti, erillään tunnuksesta, haltija vaihtaa heti ja vastaa jakelusta

 


 

Hallinta- ja palvelutunnukset

 

Kohde (sekä sisäiset että ulkoiset)

Hallintatunnus (admin tai vastaava rooli)

Palvelutunnus (service tai vastaava)

Henkilön/haltijan tunnistaminen

Kyllä

Kyllä

Turvallisuusselvityksen tarvearviointi

Kyllä

Kyllä

Rekisteriselostevaatimus

Kyllä

Kyllä

Lokienhallintapolitiikka

Kyllä

Kyllä

Henkilöhaltija oltava nimetty

Kyllä

Kyllä

Nimeämiskäytännön dokumentointi

Kyllä

Kyllä

Luonnin dokumentointi

Kyllä

Kyllä

Muutoksen dokumentointi

Kyllä

Kyllä

Katselmointi-intervalli (kk)

6

24

Käytöstä poiston dokumentointi

Kyllä

Kyllä

MFA-tunnistautuminen käytössä

Kyllä

Ei

Voi kirjautua järjestelmään

Kyllä

Ei

Lukkiutuminen (vapautusprosessi oltava)

50 kertaa/8h

50 kertaa/8h

Salasana vanhenee automaattisesti

Kyllä

Ei

Salasanan minimipituus (merkkiä)

20

25

Salasanavaihtoväli (vrk)

183

2v

Salasanahistoria (vrk)

3

3

Salasana kompleksisuus

Kyllä

Kyllä

Salasana minimi voimassaolo (vrk)

1

1

Salasanan toimittaminen käyttäjälle

suojattu reitti, erillään tunnuksesta, käyttäjä vaihtaa heti

Ylläpitäjän toimesta + dokumentointi sovitusti

Salasanan resetointi

Ylläpidon toimesta tarvittaessa, käyttäjä vaihtaa heti uudelleen

Ylläpitäjän toimesta + dokumentointi sovitusti

 


 

Käyttäjäroolit ja jaetut resurssit

 

Kohde (sekä sisäiset että ulkoiset)

Käyttäjärooli (ryhmä tai vastaava)

Jaettu resurssi (levy, tulostin tai vastaava)

Henkilön/haltijan tunnistaminen

Kyllä

Kyllä

Turvallisuusselvityksen tarvearviointi

Kyllä

Kyllä

Rekisteriselostevaatimus

Kyllä

Ei

Lokienhallintapolitiikka

Kyllä

Kyllä

Henkilöhaltija oltava nimetty

Kyllä

Kyllä

Nimeämiskäytännön dokumentointi

Kyllä

Kyllä

Luonnin dokumentointi

Kyllä

Kyllä

Muutoksen dokumentointi

Kyllä

Kyllä

Katselmointi-intervalli (kk)

12

12

Käytöstä poiston dokumentointi

Kyllä

Kyllä

MFA-tunnistautuminen käytössä

Ei sovellu

Ei sovellu

Voi kirjautua järjestelmään

Ei sovellu

Ei sovellu

Lukkiutuminen (vapautusprosessi oltava)

Ei sovellu

Ei sovellu

Salasana vanhenee automaattisesti

Ei sovellu

Ei sovellu

Salasanan minimipituus (merkkiä)

Ei sovellu

Ei sovellu

Salasanavaihtoväli (vrk)

Ei sovellu

Ei sovellu

Salasanahistoria (vrk)

Ei sovellu

Ei sovellu

Salasana kompleksisuus

Ei sovellu

Ei sovellu

Salasana minimi voimassaolo (vrk)

Ei sovellu

Ei sovellu

Salasanan toimittaminen käyttäjälle

Ei sovellu

Ei sovellu

Salasanan resetointi

Ei sovellu

Ei sovellu

 

Poikkeukset

 

Sovelluksen omistaja dokumentoi sovelluksensa tiedossaan olevat poikkeamat em. minimivaatimuksista ja niiden tilannemuutoksista vähintään vuosittain, ja tarvittaessa ilmoittaa edelleen niistä syntyvän riskin käsiteltäväksi riskienhallinnan ohjeistusten mukaan.

Dokumentointiin voi käyttää esim. kohdan 5. Liitteet mallidokumentaatiota.

 

Liitteet

 

KVH mallidokumentti sovelluksen omistajalle

 


 

Dokumentin muutoshistoria

 

Versio

PVM

Nimi

Muutoskuvaus

0.08

9.7.2021

Pasi Kalevo

Vielä alustava versio

0.09

24.8.2021

Pasi Kalevo

Kommentoitava versio

0.091

17.9.2021

SisTa, Tietosuoja, IT-palvelut

Kommentoitu versio

0.092

21.9.2021

Pasi Kalevo

Versio kommenttien pohjalta ja pohja päivitetty

0.13

6.10.2021

Pasi Kalevo

Läpikäyty tietosuojan kanssa

0.14

8.10.2021

Pasi Kalevo

Muotoiluja korjattu, MFA pilvipalveluille

0.15

5.11.2021

Pasi Kalevo

Poikkeusten ilmoittaminen riskienhallintaan (4.4)

0.16

29.11.2021

Pasi Kalevo

3.3: Everyone-oikeuksien kannanotto lisätty

0.17

13.4.2022

Pasi Kalevo

4: Minimivaatimukset läpikäyty

0.18/0.9

26.4.2022

Pasi Kalevo

Hyväksyttäväksi tietohallinnon ohjausryhmään

0.19/0.9

28.4.2022

Pasi Kalevo

Rajaus koskien koko henkilökuntaa (ei alaikäiset oppilaat tms.)

0.20/0.9

23.6.2022

Pasi Kalevo

Hyväksytty: Tietohallinnon ohjausryhmä

0.21/0.9

3.8.2022

Pasi Kalevo

Esihenkilö Lähijohtaja

0.21/0.9

7.9.2022

Pasi Kalevo

Hyväksytty: Laajennetun, yhdistetty Digi- ja tiha ryhmä

1.0

28.10.2022

Pasi Kalevo

Hyväksyttäväksi kansliapäällikölle

 

 

 

 

< ========== Dokumentin loppu ========== >