Käyttövaltuushallintapolitiikka
Tietoturvapäällikkö
28.10.2022
1.0
Sisällys
2 Käyttövaltuushallinnon periaatteet 2
2.1 Hallintaprosessien määrittely ja kuvaaminen 2
2.2 Suojattavien kohteiden ja niihin liittyvien käyttöoikeuksien määrittely 2
2.3 Käyttövaltuuksien määrittely 3
2.4 Käyttövaltuusrekisterin suunnitteluvaatimus 3
3 Vaatimukset eri osa-alueille 3
3.5 Tunnistautuminen ja todentaminen 5
3.5.2 Kaksivaiheinen tunnistautuminen - MFA 6
4.1 Perus- ja yhteiskäyttötunnukset 7
4.2 Hallinta- ja palvelutunnukset 8
4.3 Käyttäjäroolit ja jaetut resurssit 9
6 Dokumentin muutoshistoria 10
Käyttövaltuushallinnon hallintaprosesseilla tarkoitetaan toimintoja, jotka liittyvät tietojärjestelmien käyttäjä- ja käyttöoikeustietojen sekä käyttövaltuuksien ylläpitoon. Organisaatiolla tulee olla olemassa käyttövaltuuksien hallintapolitiikka, jossa määritellään organisaation käyttövaltuusperiaatteet ja toimintatavat (VAHTI: Käyttövaltuushallinnon periaatteet ja hyvät käytännöt).
Tämä politiikka on keskeinen osa organisaation johdon hyväksymän tietoturvapolitiikan jalkauttamista käytäntöön, ja se koskee koko Turun kaupungin henkilökuntaa ja kaikkia sen työtehtävissä käyttämiä sovelluksia, joihin sisältyy käyttöoikeushallintaa.
Käyttövaltuushallinnon periaatteet
Hallintaprosessien määrittely ja kuvaaminen
Hallintaprosessit tulee suunnitella niin, että ne kattavat aukottomasti sekä käyttövaltuuksien että suojattavien kohteiden elinkaaret ja ne ovat riittävän turvallisia. Prosesseista tulee ylläpitää ajan tasalla olevia kuvauksia ja ohjeistuksia. Prosesseilla ja niihin liittyvillä hallituilla kohteilla tulee olla nimetyt vastuuhenkilöt. Kaikkien prosesseihin osallistuvien organisaatioyksiköiden ja henkilöiden vastuiden, velvollisuuksien ja valtuuksien tulee olla selkeästi määriteltyjä.
Suojattavien kohteiden omistaja on taho, joka päättää valtuuksien myöntämisestä ja poistamisesta. Omistajan velvollisuutena on siksi myös osallistua myöntämis- ja poistamisprosessien määrittelyyn. Prosessien yleinen toteutustapa ja niihin liittyvät osapuolet on kuitenkin syytä pyrkiä sopimaan mahdollisimman yhdenmukaisiksi koko organisaatiossa.
Prosessien tulee olla jäljitettäviä niin, että kaikkiin lupien myöntämis-, muutos- ja poistamistapahtumiin osalliset ja heidän roolinsa voidaan haluttaessa jälkeenpäin selvittää. Kaikista käyttövaltuuksien muutoksista pitää siten löytyä dokumentti, joka mahdollistaa tapahtumien jäljitettävyyden.
Erityistä huomiota hallintaprosessien toteutuksessa tulee kiinnittää tilanteisiin, joissa käyttäjä poistuu tai hänen työroolinsa muuttuu tavalla, joka vaikuttaa käyttövaltuuksiin. Tällöin lähijohtajan on huolehdittava siitä, että poistuneen käyttäjän käyttäjätiedot ja kaikki siihen liittyneet käyttäjätilit ja käyttövaltuudet tai käyttäjän aikaisempaan rooliin liittyvät uutta tilannetta vastaamattomat käyttövaltuudet poistetaan. Vastaavasti tulee huolehtia, että käytöstä poistuneisiin tietoihin/järjestelmiin liittyvät käyttöoikeudet poistetaan. Irrallisiksi jääneet vanhentuneet tiedot rapauttavat järjestelmäympäristöä ja voivat aiheuttaa arvaamattomia tietoturvariskejä.
Parhaiten käyttövaltuushallinnon prosessien määrämuotoisuus- ja jäljitettävyysvaatimukset voidaan täyttää mahdollisimman pitkälle automatisoiduilla hallintaprosesseilla.
Suojattavien kohteiden ja niihin liittyvien käyttöoikeuksien määrittely
Käyttövaltuushallinnon viitekehyksessä suojattavia kohteita voivat olla mitkä tahansa tiedot, toiminnot tai fyysiset kohteet, joiden käyttöä halutaan rajoittaa ja valvoa. Yksilöllisesti suojattavia kohteita voi olla tietojärjestelmäarkkitehtuurin kaikilla tasoilla: sovellukset, sovellustoiminnot, tietokannat, tiedostot, tietojoukot ja yksittäiset tiedot ja dokumentit, käyttöliittymät, järjestelmien liittymistavat, erilaiset käyttöjärjestelmä- ja väliohjelmisto-tason kohteet ja toiminnot.
Suojattavan kohteen omistajan tehtävä on määritellä, millaisia erilaisia käyttöoikeuksia ja niitä mahdollisesti täsmentäviä sääntöjä kohteelle annetaan. Johonkin käyttöoikeuteen voi esimerkiksi liittyä vaatimus, että käyttäjän tulee olla vahvasti tunnistettu, että suojattavan kohteen käyttöä ei sallita yleisen verkon kautta yhteydessä olevalle käyttäjälle, tai että käyttöoikeus on voimassa vain tiettynä aikana tai tietyssä käyttötilanteessa. Omistaja vastaa siitä, että suojattaviin kohteisiin liittyvät määritykset poistetaan järjestelmistä samalla kun kyseinen suojauksen kohde poistuu.
Käyttövaltuuksien määrittely tarkoittaa käyttöoikeuksien kytkemistä käyttäjien työrooleihin, jotta käyttäjällä on riittävät oikeudet työtehtäviensä suorittamiseen. Palvelujärjestelmien käyttöoikeudet tai osa niistä saattaa olla koottu joukoksi järjestelmän rooleja, joihin työroolit kytketään siten, että halutut käyttövaltuudet syntyvät.
Jos rooleja ei ole määritelty järjestelmään, niin työrooleihin kytketään asianmukaiset yksittäiset käyttöoikeudet.
Käyttövaltuusrekisterin suunnitteluvaatimus
Käyttövaltuuksista muodostuu henkilörekisteri, joka sisältää henkilötietoja. Sen käsittelyssä tulee ottaa huomioon lainsäädännön vaatimukset, kuten. suojaamis- ja huolellisuusvelvoitteet.
Käyttövaltuusrekisteri on suunniteltava etukäteen, jossa yhteydessä on kuvattava:
•sen käyttötarkoitus
•sen tietosisältö
•mistä tiedot säännönmukaisesti hankitaan
•mihin niitä säännönmukaisesti luovutetaan
•millä tavalla ja miten pitkään rekisteritietoja säilytetään
•miten ne hävitetään
•miten tarpeellisuusvaatimus huomioidaan
•miten huolehditaan tietojen virheettömyydestä ja ajan tasalla pidosta
•miten huolehditaan henkilöiden informoinnista
•miten huolehditaan tarkastusoikeudesta ja virheellisen tiedon oikaisusta
Jokaisesta eri käyttötarkoitukseen perustetusta henkilörekisteristä tulee laatia informointiasiakirja eli rekisteriseloste (tai seloste käsittelytoimista)
Silloin kun järjestelmän käytöstä jää merkintä siitä, kuka ko. järjestelmää tai sen tietoja on käyttänyt, myös nämä lokit muodostavat henkilörekisterin, josta tulee myös laatia rekisteriseloste.
Rekisteriselosteet tulee pitää kaikkien rekisteröityjen saatavilla.
1. Perustettaessa käyttäjätunnus tietojärjestelmään, joka sisältää henkilötietoja tai muita luottamuksellisia/salassa pidettäviä tietoja, tehdään ensimmäinen tunnistus virallisesti hyväksytystä voimassa olevasta henkilöllisyystodistuksesta tai sähköiseen palveluun rekisteröitymisen osalta käyttäen vahvaa sähköistä tunnistusmenetelmää. Henkilökunnan osalta riittää, että henkilö on jo tunnistettu aiemmin esim. työsopimuksen teon yhteydessä.
2. Jos järjestelmän käyttöön on lainsäädännöllisiä tms. erityisvaatimuksia, henkilöiden pitää olla hyväksyttyjä käyttämään kyseistä järjestelmää.
3. Tunnuksia ja käyttöoikeuksia luotaessa noudatetaan sovelluksen omistajan hyväksymää nimeämiskäytäntöä, joka pohjautuu mahdollisuuksien mukaan kaupungin nimeämisstandardiin.
4. Tunnukset ja käyttöoikeudet myönnetään ja ylläpidetään sen mukaisina, kun työtehtävät niin edellyttävät ja niitä päivitetään ilman tarpeetonta viivytystä edellytysten muututtua tai päätyttyä
a. Jos ylläpito on ulkoistettu, on vasteajat syytä huomioida sopimuksissa
b. Käyttäjän ja lähijohtajan tulee yhteistyössä huolehtia päivityksestä silloin, kun työtehtävät eivät enää edellytä kyseisen tietojärjestelmän sisältämien tietojen käyttöä.
5. Vaarallisten työyhdistelmien syntyminen pyritään tunnistamaan ja estämään esim. roolipohjaisen käyttöoikeusmäärittelyn avulla.
6. Tehtävistä ja tarvittavista käyttöoikeuksista riippuen pyydetään myös tarpeellisessa laajuudessa turvallisuusselvitys. Selvityksen tarpeen arvioi lähijohtaja yhdessä palvelukokonaisuuden johdon kanssa perustuen myös tiedonhallintalain asettamiin vaatimuksiin. Selvitettävältä kohteelta pyydetään etukäteen asiaan liittyen kirjallinen suostumus (turvallisuusselvityslaki).
7. Käyttäjällä pitää olla tai hänelle pitää sovelluksen omistajan toimesta tarjota, sen käyttöön vaadittava riittävä koulutus, jonka valvonta on lähijohtajan vastuulla.
Henkilöillä voi olla yksi tai useampia käyttäjätunnuksia. Käyttäjätunnukset voivat olla henkilökohtaisia, yhteiskäyttöisiä, hallintakäyttöisiä (ylläpito), sovelluksen palveluun (service) liittyviä. Tunnuksen vastuullinen haltija tulee aina olla nimetty. Henkilökohtaisen tunnuksen käyttäjä on samalla myös sen vastuullinen haltija. Vastuullinen haltija vastaa tunnuksen käyttöoikeuksilla tehdyistä merkinnöistä ja tapahtumista.
Jos samalla henkilöllä on järjestelmään sekä perus- että ylläpito-oikeuksia on hänellä niitä varten oltava erilliset tunnukset.
Lähtökohtana on, ettei yhteiskäyttöisiä tunnuksia luotaisi ja niiden poikkeuksellinen tarve on aina erikseen perusteltava ja dokumentoitava.
Sovelluksen palvelutunnuksella ei tule olla mahdollista kirjautua järjestelmään normaalisti käyttäjän tavoin. Jos näin kuitenkin on, käsitellään ko. tunnusta hallintatunnuksena.
Käyttöoikeus voi sisältyä käyttäjätunnukseen, -ryhmään, -rooliin tai jaettuun resurssiin (esim. verkkolevy tai tulostin jne.). Käyttäjätunnukseen, ryhmään, rooliin tai jaettuun resurssiin voi liittyä useita erilaisia määriteltyjä käyttöoikeuksia yhdessä tai useammassa tietojärjestelmässä. Käyttöoikeusroolit ovat yhdistelmiä tietyssä tehtävässä tarvittavista käyttöoikeuksista.
Lähtökohtana tulee olla, että käyttöoikeudet ovat aina rajattuja, eikä laajoja ”kaikille kaikki oikeudet” -käyttöoikeuksia (kuten Everyone – Full Control) ole olemassa ilman erityistä perustelua, jonka omistaja on dokumentoidusti hyväksynyt.
Ryhmien, roolien ja jaettujen resurssien vastuullinen haltija on niihin liittyvän sovelluksen omistaja.
Käyttäjätunnusten ja käyttöoikeuksien rekisterin ylläpidolle on määriteltävä ja dokumentoitava prosessit, joiden olemassaolosta ja vaatimuksista vastaa ko. sovelluksen omistaja. Pääprosesseja ovat tunnusten ja käyttöoikeuksien nimeäminen, luonti, muutos, katselmointi sekä käytöstä poisto.
Jokainen prosesseista sisältää dokumentoidun toimenpiteen lisäksi sovelluksen omistajan itsensä tai valtuuttamansa (usein lähijohtajan) hyväksynnän muutokselle perusteluineen Näin voidaan jälkikäteenkin tarvittaessa selvittää milloin ja millä perusteella käyttöoikeuksia on muutettu ja kuka muutokset on tehnyt (audit-trail). Oikeuksia myönnettäessä tai muutettaessa kiellettyjen yhdistelmien syntymistä seurataan ja ne estetään esim. roolipohjaisuuden avulla.
Katselmoinnissa tunnusten ja käyttöoikeuksien tarpeellisuus ja oikeellisuus arvioidaan säännöllisesti ja lopputulos tarvittavine muutoksineen dokumentoidaan omistajan hyväksynnällä – myös silloin kun katselmointi ei aiheuta muutoksia. Katselmointiprosessi voi olla automatisoitu. Hallintatunnusten (admin, ylläpito, pääkäyttäjä jne.) katselmointi suoritetaan muita tunnuksia useammin ja ko. tunnusten lukumäärää ja käyttöastetta tulee myös seurata harkiten.
Erityistä huomiota tulee kiinnittää tunnusten ja käyttöoikeuksien käytöstä poistoon henkilö- ja työtehtävämuutosten yhteydessä, jolloin esim. HR-rekisterin apuna käyttö on suositeltavaa, erityisesti siltä osin kuin esim. kustannuksia aiheutuu tunnuspohjaisesti (esim. lisenssimaksut).
Tunnuksen/oikeuksien pikapoisto erityistilanteissa on suositeltavaa olla kuvattuna omana erillisenä toimenpiteenään.
Tunnistautuminen ja todentaminen
Sovelluksen käyttäjätunnuksiin ja käyttöoikeuksiin tulee liittyä salasanapolitiikka joka:
1. On dokumentoitu ja ylläpidetty sovelluksen omistajan vastuuttamana
2. Pohjautuu tähän käyttövaltuushallintapolitiikkaan
3. Varmistaa että henkilökohtaisten tunnusten salasana on aina VAIN käyttäjän itsensä tiedossa. Esimerkiksi
a. salasana toimitetaan käyttäjälle suojattua reittiä erillään käyttäjätunnuksesta
b. käyttäjä vaihtaa itse salasanansa ensimmäisellä käyttökerralla tai nk. resetoinnin yhteydessä
4. Toteuttaa kohdan 4. Kootut minimivaatimukset salasanoihin liittyen
Kaksivaiheinen tunnistautuminen - MFA
Erityisoikeudellisten ylläpitokäyttäjätunnusten (pääkäyttäjä, Domain Admin tms.) käyttöön on oltava aina liitettynä 2-vaiheinen tunnistautuminen (MFA) Turun kaupungin tietojärjestelmiin tunnistauduttaessa niin kaupungin oman henkilöstön kuin samoja tietojärjestelmiä käyttävien ulkopuolisten osalta.
2-vaiheinen tunnistautuminen on oltava käytössä myös kaikille peruskäyttäjille kaupungin tietojärjestelmiin liittyen, silloin kun niihin tunnistaudutaan kaupungin verkkoympäristön ulkopuolelta (4827-2021: Salasanan muotovaatimukset sekä 2-vaiheinen tunnistautuminen).
Minimivaatimukset ja toimenpiteet, joiden sisällöstä ja dokumentoinnista sovelluksen omistaja vastaa omaan sovellukseensa soveltuvissa kohdin.
Perus- ja yhteiskäyttötunnukset
Kohde (sekä sisäiset että ulkoiset) | Peruskäyttäjätunnus | Yhteiskäyttötunnus (useita käyttäjiä) |
Henkilön/haltijan tunnistaminen | Kyllä | Kyllä |
Kyllä | Kyllä | |
Rekisteriselostevaatimus | Kyllä | Kyllä |
Kyllä | Kyllä | |
Henkilöhaltija oltava nimetty | Kyllä | Kyllä |
Nimeämiskäytännön dokumentointi | Kyllä | Kyllä |
Luonnin dokumentointi | Kyllä | Kyllä |
Muutoksen dokumentointi | Kyllä | Kyllä |
Katselmointi-intervalli (kk) | 12 | 12 |
Käytöstä poiston dokumentointi | Kyllä | Kyllä |
MFA-tunnistautuminen käytössä | Kyllä | Kyllä |
Voi kirjautua järjestelmään | Kyllä | Kyllä |
Lukkiutuminen (vapautusprosessi oltava) | 50 kertaa/8h | 50 kertaa/8h |
Salasana vanhenee automaattisesti | Kyllä | Kyllä |
Salasanan minimipituus (merkkiä) | 16 | 16 |
Salasanavaihtoväli (vrk) | 380 | 380 |
Salasanahistoria (vrk) | 3 | 3 |
Salasana kompleksisuus | Kyllä | Kyllä |
Salasana minimi voimassaolo (vrk) | 1 | 1 |
Salasanan toimittaminen käyttäjälle | suojattu reitti, erillään tunnuksesta, käyttäjä vaihtaa heti | suojattu reitti, erillään tunnuksesta, haltija vaihtaa heti ja vastaa jakelusta |
Salasanan resetointi | Ylläpidon toimesta tarvittaessa, käyttäjä vaihtaa heti uudelleen | suojattu reitti, erillään tunnuksesta, haltija vaihtaa heti ja vastaa jakelusta |
Kohde (sekä sisäiset että ulkoiset) | Hallintatunnus (admin tai vastaava rooli) | Palvelutunnus (service tai vastaava) |
Henkilön/haltijan tunnistaminen | Kyllä | Kyllä |
Kyllä | Kyllä | |
Rekisteriselostevaatimus | Kyllä | Kyllä |
Kyllä | Kyllä | |
Henkilöhaltija oltava nimetty | Kyllä | Kyllä |
Nimeämiskäytännön dokumentointi | Kyllä | Kyllä |
Luonnin dokumentointi | Kyllä | Kyllä |
Muutoksen dokumentointi | Kyllä | Kyllä |
Katselmointi-intervalli (kk) | 6 | 24 |
Käytöstä poiston dokumentointi | Kyllä | Kyllä |
MFA-tunnistautuminen käytössä | Kyllä | Ei |
Voi kirjautua järjestelmään | Kyllä | Ei |
Lukkiutuminen (vapautusprosessi oltava) | 50 kertaa/8h | 50 kertaa/8h |
Salasana vanhenee automaattisesti | Kyllä | Ei |
Salasanan minimipituus (merkkiä) | 20 | 25 |
Salasanavaihtoväli (vrk) | 183 | 2v |
Salasanahistoria (vrk) | 3 | 3 |
Salasana kompleksisuus | Kyllä | Kyllä |
Salasana minimi voimassaolo (vrk) | 1 | 1 |
Salasanan toimittaminen käyttäjälle | suojattu reitti, erillään tunnuksesta, käyttäjä vaihtaa heti | Ylläpitäjän toimesta + dokumentointi sovitusti |
Salasanan resetointi | Ylläpidon toimesta tarvittaessa, käyttäjä vaihtaa heti uudelleen | Ylläpitäjän toimesta + dokumentointi sovitusti |
Käyttäjäroolit ja jaetut resurssit
Kohde (sekä sisäiset että ulkoiset) | Käyttäjärooli (ryhmä tai vastaava) | Jaettu resurssi (levy, tulostin tai vastaava) |
Henkilön/haltijan tunnistaminen | Kyllä | Kyllä |
Kyllä | Kyllä | |
Rekisteriselostevaatimus | Kyllä | Ei |
Kyllä | Kyllä | |
Henkilöhaltija oltava nimetty | Kyllä | Kyllä |
Nimeämiskäytännön dokumentointi | Kyllä | Kyllä |
Luonnin dokumentointi | Kyllä | Kyllä |
Muutoksen dokumentointi | Kyllä | Kyllä |
Katselmointi-intervalli (kk) | 12 | 12 |
Käytöstä poiston dokumentointi | Kyllä | Kyllä |
MFA-tunnistautuminen käytössä | Ei sovellu | Ei sovellu |
Voi kirjautua järjestelmään | Ei sovellu | Ei sovellu |
Lukkiutuminen (vapautusprosessi oltava) | Ei sovellu | Ei sovellu |
Salasana vanhenee automaattisesti | Ei sovellu | Ei sovellu |
Salasanan minimipituus (merkkiä) | Ei sovellu | Ei sovellu |
Salasanavaihtoväli (vrk) | Ei sovellu | Ei sovellu |
Salasanahistoria (vrk) | Ei sovellu | Ei sovellu |
Salasana kompleksisuus | Ei sovellu | Ei sovellu |
Salasana minimi voimassaolo (vrk) | Ei sovellu | Ei sovellu |
Salasanan toimittaminen käyttäjälle | Ei sovellu | Ei sovellu |
Salasanan resetointi | Ei sovellu | Ei sovellu |
Sovelluksen omistaja dokumentoi sovelluksensa tiedossaan olevat poikkeamat em. minimivaatimuksista ja niiden tilannemuutoksista vähintään vuosittain, ja tarvittaessa ilmoittaa edelleen niistä syntyvän riskin käsiteltäväksi riskienhallinnan ohjeistusten mukaan.
Dokumentointiin voi käyttää esim. kohdan 5. Liitteet mallidokumentaatiota.
KVH mallidokumentti sovelluksen omistajalle
Versio | PVM | Nimi | Muutoskuvaus |
0.08 | 9.7.2021 | Pasi Kalevo | Vielä alustava versio |
0.09 | 24.8.2021 | Pasi Kalevo | Kommentoitava versio |
0.091 | 17.9.2021 | SisTa, Tietosuoja, IT-palvelut | Kommentoitu versio |
0.092 | 21.9.2021 | Pasi Kalevo | Versio kommenttien pohjalta ja pohja päivitetty |
0.13 | 6.10.2021 | Pasi Kalevo | Läpikäyty tietosuojan kanssa |
0.14 | 8.10.2021 | Pasi Kalevo | Muotoiluja korjattu, MFA pilvipalveluille |
0.15 | 5.11.2021 | Pasi Kalevo | Poikkeusten ilmoittaminen riskienhallintaan (4.4) |
0.16 | 29.11.2021 | Pasi Kalevo | 3.3: Everyone-oikeuksien kannanotto lisätty |
0.17 | 13.4.2022 | Pasi Kalevo | 4: Minimivaatimukset läpikäyty |
0.18/0.9 | 26.4.2022 | Pasi Kalevo | Hyväksyttäväksi tietohallinnon ohjausryhmään |
0.19/0.9 | 28.4.2022 | Pasi Kalevo | Rajaus koskien koko henkilökuntaa (ei alaikäiset oppilaat tms.) |
0.20/0.9 | 23.6.2022 | Pasi Kalevo | Hyväksytty: Tietohallinnon ohjausryhmä |
0.21/0.9 | 3.8.2022 | Pasi Kalevo | Esihenkilö – Lähijohtaja |
0.21/0.9 | 7.9.2022 | Pasi Kalevo | Hyväksytty: Laajennetun, yhdistetty Digi- ja tiha ryhmä |
1.0 | 28.10.2022 | Pasi Kalevo | Hyväksyttäväksi kansliapäällikölle |
< ========== Dokumentin loppu ========== >