Keskitetysti hallitussa kertakirjautumisessa (Enterprise Single-Sign-On) työasemiin asennetaan oma asiakassovellus. Sen avulla määritellään keskitetysti tai käyttäjän itsensä toimesta käytettävien sovellusten kirjautumistapahtumat, joilla käyttäjä päästetään sisään sovelluksiin. Suomessa on useita yrityksiä, jotka ovat erikoistuneet E-SSO (ja IAM= keskitetty käyttövaltuushallinto) ratkaisuihin. Asia on kokonaisuudessan mutkikas ja kustannustehokkuutta arvioitaessa kannattaa pyytää tarjouksia yrityksiltä, jotka ovat ko. ratkaisuja jo vastaanvankokoisiin organisaatioihin toteutteneet. OpiTietosuojaa.fi suosittelee tietosuojan ja tietoturvan näkökulmista pyrkimään käyttövaltuushallinnan sekä kertakirjautumisen suhteen ajanmukaisiin ratkaisuihin. Tietoturvan lisäksi ne tuovat oikein toteutettuina erittäin paljon tyytyväisyyttä työntekijöille.

Perusteluita, tarpeita ja tavoitteita kertakirjautumiselle (nämä voivat vaihdella organisaatioittain):

• Tavoitteena kannattaa olla vahva tunnistautuminen organisaation tietokoneille (esimerkiksi toimikortilla) ja sen jälkeen keskitetysti hallittu kertakirjautuminen sovelluksiin, jolloin käyttäjien ei tarvitse muistaa useita eri tunnuksia ja salasanoja.
• Loppukäyttäjän kannalta kertakirjautuminen nopeuttaa ja helpottaa sovelluksiin kirjautumista ja siten niiden käyttöä.     
• Työaikaa säästyy isossa paljon sovelluksia käyttävässä organisaatiossa merkittävästi.
• Nykyisellään useimmilla työntekijöillä on useita salasanoja muistettavanaan. SSO helpottaa käyttäjän tunnusten ja salasanojen hallintaa, eikä hänen välttämättä tarvitse enää muistaa tai edes tietää kaikkien sovellustensa tunnusta ja salasanaa.
• Tavoitteena kannattaa pitää eroon pääseminen yhteiskäyttötunnuksista työasemiin kirjautumisessa. Joissain työyksiköissä suurin este tälle on hidas käyttäjän vaihto toiseksi ja näissä tilanteissa SSO auttaa nopeuttamaan sovelluksiin kirjautumista ja yhdistettyjä toimikorttikirjautumiseen se nopeuttaa myös työasemaan kirjautumista ja näin edesauttaa osaltaan yhteiskäyttötunnuksista luopumisessa.
• Tietoturvan kannalta vaatimus salasanojen pituudesta ja kompleksisuudesta kasvaa ja pitääkin kasvaa koko ajan. Viestintäviraston ohjeiden (2014) mukaisesti jo nyt pitäisi käyttää internetin palveluissa vähintään15 merkin mittaisia salasanoja, joissa on muitakin merkkejä kuin vain kirjaimia.
• Lähivuosina turvallisten salasanojen vaatimukset pituudelle ja kompleksisuudelle vain kasvavat ja näin ollen käyttäjien tuska sovelluksiin kirjautuessa vain kasvaa ellei sitä voida SSO:n kaltaisilla tuotteilla helpottaa.
• Sovellukset, joissa tunnistautuminen tehdään käyttäjätunnuksella ja salasanalla, saadaan turvallisemmiksi, kun voidaan salasanojen pituutta ja kompleksisuutta kasvattaa ilman että käyttäjä joutuu niitä kirjoittamaan. Eli kertakirjautumisratkaisu voi generoida turvallisia salasanoja käyttäjän puolesta ja käyttää niitä sitten sovelluksiin kirjautumisessa.
• Osa sovelluksista ei sisällä valmiita rajapintoja keskitettyyn käyttöoikeuksien hallintaan (IAM/IDM ratkaisut), jolloin niiden käyttöoikeuksia ei voida suoraan IAM/IDM tuotteilla muokata ja tällöin ei voida esim. lopettaa automaattisesti käyttäjän pääsyä kyseiseen sovellukseen käyttäjän työsuhteen päättyessä. Mikäli käytössä on E-SSO, niin tällöin kyseinen tuote voidaan intergroida IAM puolelle E-SSO:n avulla eli tällöin määritellään niin, että E-SSO hoitaa käyttäjän kirjaamisen sovellukseen ja oikeudet voidaan poistaa E-SSO:sta, jolloin käyttäjän pääsy kohdesovellukseen saadaan keskitetysti estettyä, vaikka kohdesovelluksessa ei olisi siihen rajapintaa.
• E-SSO tarjoaa myös raportointiin parannuksia eli sovellusten käytöstä voidaan saada sen kautta tilastotietoja ja sen kautta voidaan myös raportoida mihin järjestelmiin käyttäjillä on tunnuksia, mikäli kyseistä tietoa ei ole muuta kautta raportoitavissa.
• E-SSO ratkaisun yhtenä tavoitteena on vähentää merkittävästi käyttäjätunnuksiin ja unohtuneisiin salasanoihin liittyviä tukipuheluita.
• Järjestelmää hankittaessa kannattaa miettiä vähintään seuraavia vaatimuksia kertakirjautumiselle:
• Ratkaisu tukee kertakirjautumista toimikortin (esim. terveydenhuollon ammattikortin) toimiessa tunnistusvälineenä
• Tukee kertakirjautumista jaetuilla työasemilla terveydenhuollon ammattikortin toimiessa tunnistusvälineenä (osaston yleistunnus)
• Järjestelmä tarjoaa rajapinnan vapaavalintaisen IAM/IDM:n käyttöön
• Tukee käyttäjähakemiston käyttäjien provisiointia, de-provisiointia ja muutoksia IAM/IDM järjestelmällä
• Järjestelmä tukee salasanojen hallintaa IAM/IDM järjestelmällä (SSO:n käyttäjähakemisto)
• SSO-järjestelmän loppukäyttäjäliittymä tukee salasanan vaihtoa kohdejärjestelmässä
• Kertakirjautumistoiminnallisuus ei vaadi erillisen ohjelmiston (esim. agentti tai adapteri) asennusta kirjautumisen kohdejärjestelmään. Kohdejärjestelmä on esimerkiksi web-sivusto tai asiakastietojärjestelmä.
• Järjestelmään tehdyt muutokset ja lisäykset tulevat voimaan loppukäyttäjille automaattisesti (keskitetty hallintakäyttöliittymä)
• Järjestelmällä voidaan toteuttaa kertakirjautuminen windows-työpöytäsovelluksiin (client-sovellus), Java-sovelluksiin ja web-sovelluksiin
• Järjestelmä toimii Active Directory 2012 tai uudemmalla toiminnallisuustasolla
• Järjestelmän client toimii Windows 7 ja uudemmissa Windows työasemissa
• Järjestelmän client toimii Windows 2008 R2, 2012 ja 2012 R2 terminal services ja Citrix- ympäristöissä
• Mikäli E-SSO järjestelmää käyttäviin työasemiin tallennetaan E-SSO:n tarvitsemat kirjautumistiedot, on ne salattava vahvasti E-SSO järjestelmän toimesta
• Järjestelmän tulee tukea CRL tarkistusta korttikirjautumisessa
• Korttikirjautumisessa pitää varmentaja pystyä määrittämään vapaasti
• Järjestelmä mahdollistaa useiden eri autentikointitapojen käytön (Smartcard,Active directory,Ldap). Käyttäjä tunnistetaan järjestelmässä AD:n käyttäjätunnus/salasana-parilla tai toimikortilla.
• Web-sovellusten kirjautumisessa on tuettava MS IE 9 tai uudempi ja Mozilla Firefox versio 31 tai uudempi
• Ratkaisu mahdollistaa korkean käytettävyyden. Järjestelmä tulee voida kahdentaa siten että esim.käyttöjärjestelmä ja tietoturvapäivitykset eivät aiheuta katkoa järjestelmän toimintaan
• Ratkaisulla salataan vahvasti kertakirjautumistiedot niiden tallennuspaikassa siten, että edes järjestelmän pääkäyttäjät eivät pääse mitenkään niitä selväkielisenä näkemään.
• Käyttöoikeushallinnan tulee olla keskitetty ja järjestelmään tulee pystyä määrittelemään useita käyttöoikeusrooleja ylläpito- ja loppukäyttäjille
• Järjestelmän käyttöoikeudet hallittavissa käyttäjähakemiston käyttöoikeusryhmien kautta
• Järjestelmään liitettyjen sovellusten kirjautumiskonfiguraatio on voitava hallinnoida keskitetysti
• Loppukäyttäjän tulee pystyä hallitsemaan järjestelmään tallennettuja käyttöoikeustietoja erillisen hallintasovelluksen kautta
• Järjestelmä ei aseta rajoituksia palvelimille tai työasemille asennettaville tietoturvapäivityksille
• Client-asennukset työasemille on toteutettavissa keskitetyn jakelujärjestelmän kautta esimerkiksi MSI-paketeilla
• Loppukäyttäjän käyttöliittymä on saatavissa suomenkielellä
• E-SSO-järjestelmä aktivoituu työasemaan kirjauduttaessa (esim. toimikortilla) automaattisesti
• Kertakirjautumisen (mm. palveluvalikon) tapahtumista pitää kirjautua lokitieto. Lokiin on jäätävä tieto tapahtuman ajankohdasta, tapahtumasta, sovelluksesta johon tapahtuma liittyy, käyttäjätunnuksesta, nimestä sekä työasemasta jolla tapahtuma generoitui. Lokitiedot voidaan siirtää esimerkiksi erilliseen SIEM-lokitietojärjestelmään raportointia, poikkeamien havainnointia ja hälytyksiä varten

1. Johdanto

Tieto- ja viestintäjärjestelmät tallentavat toiminnastaan tietoja. Yleisesti näitä tietoja kutsutaan lokitiedoiksi ja niiden avulla pyritään selvittämään ja ratkaisemaan järjestelmien toiminnan häiriöitä tai virheitä. Lokitietoja käytetään myös tietojärjestelmillä käsiteltävien tietojen käytönvalvontaan. Oikeudellinen intressi käytönvalvontaan voi liittyä muun muassa rahaliikenteeseen, maksullisten palvelujen käyttöön, yrityssalaisuuksiin tai henkilötietojen kuten sosiaali- ja terveydenhuollon asiakastietojen käsittelyyn. Käytön seurantaa ja valvontaa sekä käyttö- ja luovutuslokirekisterin ylläpitoa edellytetään lakisääteisesti esimerkiksi sosiaali- ja terveydenhuollossa mm. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)http://www.finlex.fi/fi/laki/ajantasa/2007/20070159

Käytönvalvonta ja siinä tarvittavat lokit edesauttavat lisäksi tietojärjestelmän käyttäjien oikeusturvan toteutumista, järjestelmien ja verkon toiminnan optimointia sekä erilaisten tietoturva- ja muiden poikkeamien selvittämistä. Esimerkiksi lokien avulla voidaan todentaa, että työntekijä ei ole käsitellyt tietoja luvatta, vaikka joku niin väittäisikin. Tämä vaatii luonnollisesti sen, että käyttötapahtumat lokittuvat oikein ja lokien tallentaminen on toteutettu huolella.

Tietoturvan ja tietosuojan kannalta lokitietojen suojaamisen, seurannan ja säilyttämisen tulee olla suunnitelmallista. Oikein toteutettuna lokit ja luotettava lokiympäristö mahdollistaa aukottoman tapahtumaketjun kirjaamisen ja tapahtumien todentamisen. Organisaation asiakasrekisterin koosta, käytettävien tietojärjestelmien määrästä, käyttäjien määrästä sekä käyttötapahtumien määrästä riippuen lokien hallinta voi olla erittäin iso ja haastava prosessi. Sen avuksi kannattaa laatia lokipolitiikka. Loki­politiikassa voidaan ottaa kantaa lokien säilytystapaan ja aikaan, lokien käsittelyyn liittyviin rooleihin sekä lokien käsittelyyn ja käsittelyn tarpeeseen.

2. Lokitietojen eheys, käsittely ja säilyttäminen  

Koska lokit ovat todisteena jostakin tapahtumasta, on erittäin tärkeää huomioida, että lokeja ei saa oikeudettomasti käsitellä, tuhota tai muuttaa niiden sisältöä. Pääperiaatteena voidaan todeta, että jo syntyneitä tietojärjestelmien lokimerkintöjä ei pidä koskaan pystyä muuttamaan, vaan esimerkiksi virheellisen merkinnän korjaamisesta pitää syntyä uusi lokimerkintä. Lokit pitää kuitenkin voida hävittää niiden määritellyn säilytysajan päätyttyä.

Lokeihin pääsy pitää rajoittaa vain niille henkilöille, joiden työtehtävien kannalta se on välttämätöntä. Tällaisia työrooleja voi olla esimerkiksi tietoturvapäälliköllä ja tietosuojavastaavalla sekä osalla tietojärjestelmien ylläpitäjiä. Organisaatioiden kannattaa laatia tietojärjestelmien ylläpitoon liittyvät linjaukset ja muodostaa niistä määräys tai ohje. Kuitenkin lähtökohtaisesti voidaan ajatella lokeihin pääsyn olevan vain erittäin pienellä joukolla henkilöitä eli vain niillä, jotka välttämättä lokitietoja työtehvävissään tarvitsevat. Tämä edesauttaa sitä, että ko. henkilöt pystytään perehdyttämään lokien valvonnan ja hallinnan asiantuntijatehtäviin ja heille voidaan määritellä varahenkilöt.

Henkilötietolain (523/1999) 34 §:n mukaan henkilötiedot tulee hävittää sen jälkeen kun tiedot eivät ole rekisterinpitäjän kannalta enää tarpeellisia. Rekisterinpitäjän intressi lokirekisteritietojen säilyttämiseen kestää niin kauan kuin suojattavan oikeushyvän haltijalla on mahdollisuus esittää oikeudellisia vaatimuksia luvattoman henkilötietojen käsittelyn johdosta. Vaatimukset ovat rikos- ja/tai vahingonkorvausoikeudellisia. Henkilörekisteririkos vanhenee 2 vuodessa ja virkarikoksena 5 vuodessa (virkavelvollisuuden rikkominen).

Sosiaali- ja terveydenhuollon asiakastietojen käyttö- ja luovutuslokien osalta on erikseen säädetty säilytysajaksi 12 vuotta (STM:n asetus potilasasiakirjoista 24§).

3. Tietojärjestelmien käyttäjien informointi

Lokitietojen avulla voidaan valvoa ja selvittää tietojärjestelmän käyttäjän toimia ja tietojen käytön luvallisuutta. Kun käyttäjä on työ- tai virkasuhteessa, on yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:n mukaan teknisin menetelmin toteutettava valvonta käytävä läpi yhteistoimintamenettelyssä. Organisaatioissa voidaan laatia ja ottaa käyttöön erillisiä tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksia. Sitoumuksissa informoidaan käyttäjiä siitä, että tietojärjestelmässä käynnit ja siellä tehdyt tapahtumat kirjautuvat lokitietoihin, käyttöä valvotaan ja epäillystä väärinkäytöstä raportoidaan esimiehelle. Esimiesten tehtävänä on myös valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita ja että tietojärjestelmiin on kulloiseenkin työnkuvaan kuuluvat käyttöoikeudet ja tarpeettomat oikeudet poistetaan tai käyttöoikeus päätetään.

4. Asiakkaan/potilaan oikeus lokitietoihin ja luvattoman käsittelyn selvittäminen

Ensimmäisenä pitää kuvata prosessi, minne ja miten selvityspyyntö laaditaan. Isoissa organisaatioissa on yleensä omat kirjaamonsa, jonne voidaan ohjeistaa lähettämään lokiselvityspyyntö. Selvitysprosessin koordinoi esimerkiksi tietosuojavastaava yhdessä toiminnan johdon sekä henkilörekistereistä vastuullisten  henkilöiden kanssa. Sosiaali- ja terveyspalvelujen osalta on pakko laatia käytönvalvonnan suunnitelma, mutta se on suotavaa laatia kattamaan minkä tahansa sektorin lokiselvitysprosessi. Lisäksi lokirekisterit (joissa on henkilötietoja) muodostavat henkilörekistereitä, joista on laadittava rekisteriselosteet.

Asiakkaan oikeudesta sosiaali- ja terveydenhuollon käyttö- ja luovutuslokitietoihin on lisäksi erityisesti säädetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetussa laissa. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja henkilötietolain 27 §:n 1 momentin 1–4 kohdassa tarkoitetuissa tapauksissa. Näissä tapauksissa on laadittava kirjallinen perustelu epäämiselle (kieltäytymistodistus). Asiakastietolaissa ei ole kuvattuna valitustietä tarkemmin, mutta selvää on että kyse ei ole rekisteröidyn tarkastusoikeudesta vaan erityisestä tiedonsaantioikeudesta.

Yleisemmin julkisella sektorilla voi tulla sovellettavaksi julkisuuslain (621/1999) 11 §:n asianosaisen tiedonsaantisäännöstä, joka voi mahdollistaa perustellusta syystä omien tärkeiden etuisuuksien ajamiseen, myös salassa pidettävän tiedon saamisen.

Lokitietojen pyytäjä ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen eli niitä koskettaa nk. hyväksikäyttökielto.

5. Poliisin ja muiden viranomaisten oikeus lokeihin

Erilaisissa poliisin rikostutkinnoissa sekä muiden valvontaviranomaisten selvityksissä voi olla perusteltua luovuttaa lokeja myös ulkopuolelle. Nämä luovutukset ovat tapauskohtaisesti harkittava ja niiden pitää perustua kirjalliseen pyyntöön. Pyynnössä oleva peruste pitää varmistaa ja luovutus tehdä vain siinä laajuudessa kuin tapauksen selvittäminen sitä vaatii. Lokitiedot ovat salassa pidettäviä ja merkintä salassa pidosta pitää tehdä luovutusasiakirjoihin.

Lähteet

VAHTI 3/2009,

Lokiohje Opinnäytetyö Lyytikka, Eija, Leppävaara 2012, Lainsäädännön vaikutus lokienhallinta-järjestelmän vaatimusmäärittelyyn: tapaustutkimus julkisesta terveydenhuollosta,

Tietosuojavaltuutetun toimiston ohje: Lokitiedot henkilötietojen suojaamisen välineinä 12.11.2012 v.1.0

Tietosuojarikkomuksia (isompia ja pienempiä) tapahtuu aivan varmasti joka organisaatiossa sekä tahattomasti että tahallisesti. Mikäli organisaatio antaa lausunnon "meillä ei tällaista tapahdu", johtuu se yleensä siitä, että käytönvalvonta ei ole mitoitettu oikein. Se miten erilaisiin rikkomuksiin suhtaudutaan pitäisi riippua teon vakavuuden ja tahallisuuden asteesta. Tietosuoja-asiat on ensin ohjeiden ja koulutuksien avulla jalkautettava henkilöstölle. Sen jälkeen käytönvalvontaan liittyvät asiat on syytä käydä läpi yhteistoimintamenettelyllä ja muutenkin tehdä avoimiksi. Vasta sen jälkeen voidaan tehdä varsinaiset rikkomuksien seuraamustaulukot ja vakiinnuttaa käytöntö työntekijöiden tietoon.

Tästä esityksestä voitte poimia tärkeitä näkökulmia ja saada apua oman organisaationne linjausta tekemiseksi: Malli Seuraamustaulukon suunnitteluun

Käyttövaltuusperiaatteet ovat osa käyttövaltuuspolitiikkaa sekä keskeinen osa organisaation tietoturvapolitiikkaa. Periaatteiden avulla hallinnoidaan ja ohjataan organisaation tietojen ja tietojärjestelmien oikeaoppista käyttöä. Ne ovat oikein toteutettuina tietojärjestelmien käyttöön liittyvien kustannusten osalta usein myös säästöjä tuovia käytäntöjä, koska turhista lisenssikustannuksista päästään eroon. Tietojärjestelmien käyttö nopeutuu ja monenlaiset väärinkäytöksien (tahattomien ja tahallisten) mahdollisuudet pienenevät merkittävästi, kun käyttöoikeudet ovat hyvin hallittuja.

Terminologiset haasteet ovat Suomessa tuttuja. Toisen organisaation vasara voi tarkoittaa toisessa organisaatiossa talttaa, varsinkin kun puhutaan tietojärjestelmiin ja niiden sisäisiin tietosuojarakenteisiin liittyvistä termeistä.

Henkilöillä voi olla yksi tai useampia käyttäjätunnuksia. Yhteen käyttäjätunnukseen voi liittyä useita erilaisia käyttöoikeuksia yhdessä tai useammassa tietojärjestelmässä. Käyttöoikeusroolit ovat yhdistelmiä tietyssä tehtävässä tarvittavista käyttöoikeuksista. Sähköinen identiteetti sisältää henkilön ja hänen käyttäjätunnuksen tiedot tietojärjestelmissä.

IAM-järjestelmällä tarkoitetaan tässä artikkelissa keskitettyä tietojärjestelmää, jolla voidaan toteuttaa ja automatisoida identiteetti- ja käyttövaltuushallintaa ja sen valvontaa. Keskitetty kertakirjautuminen (SSO=single sign on) tarkoittaa sovellusta/palvelua, jolla tunnistettu käyttäjä voidaan päästää automatisoidusti sisään useampiin tietojärjestelmiin.

Tärkeää on luoda ensin ylätason periaatteita ja sen jälkeen miettiä niihin varsinainen käyttöön jalkauttamisen prosessi. Monissa organisaatioissa haasteita lisää ostopalvelusopimukset, joissa toisen yrityksen työntekijöitä toimii toisen yrityksen lukuun tai muunlaisella vuokratyösopimuksella ja käyttää joko omia tietojärjestelmiään tai toimeksiantajan tietojärjestelmiä (joissa tapauksissa sekä että). Tämä luo painetta henkilöstöhallinnon prosesseihin sekä käyttöoikeuksien ajan tasalla pitämiseen. Sopimuksissa pitää velvoittaa, että tiedot siitä kuka ja mitä oikeuksia tarvitsee –pidetään viestinnällisesti ajan tasalla, jotta käyttöoikeuksien ylläpitäjät pystyvät hoitamaan tehtävänsä. Useat organisaatiot kärsivät nk. haamukäyttäjistä. Järjestelmissä on käyttöoikeuksia aktiivisena henkilöillä, joilla ei tosiasiallista käyttötarvetta tai oikeutta enää pitäisi olla.

Identiteetin hallinta

Periaate 1: Tietojärjestelmiä käyttävät henkilöt pitää tunnistaa.

Toteuttamisvinkkejä:

1. Perustettaessa uusi käyttäjätunnus tietojärjestelmään, joka sisältää henkilötietoja tai muita luottamuksellisia/salassa pidettäviä tietoja, tehdään ensimmäinen tunnistus valokuvallisesta henkilöllisyystodistuksesta tai sähköiseen palveluun rekisteröitymisen osalta käyttäen vahvaa tunnistusmenetelmää.
2. Henkilökunnan osalta riittää, että henkilö on tunnistettu valokuvallisesta henkilöllisyystodistuksesta aiemmin esim. työsopimuksen teon yhteydessä.
3. Opiskelijoiden osalta riittää, että heidät on tunnistettu oppilaitokseen ja tieto toimitetaan harjoittelujakson järjestevään organisaatioon.
4. Henkilöiden pitää olla hyväksyttyjä käyttämään kyseistä järjestelmää (erityisesti sosiaali- ja terveyspalveluissa huomioitava).
5. Tehtävistä ja tarvittavista käyttöoikeuksista riippuen pyydetään myös tarpeellisessa laajuudessa turvallisuusselvitys. Selvityksen kohteelta pyydetään etukäteen asiaan liittyen kirjallinen suostumus (Suomessa turvallisuusselvityksistä on säädetty lailla).
6. Terveydenhuollon ammattihenkilön ammattipätevyys tarkistetaan JulkiTerhikki-rekisteristä. (Jatkossa vastaava ratkaisu voi tulla kyseeseen myös sosiaalihuollon ammattihenkilöiden tarkistamiseen ennen työsuhteeseen ottamista)
7. Käyttäjällä pitää olla järjestelmän käyttöön vaadittava riittävä koulutus
8. Henkilötunnusta voi käyttää henkilöiden erottamiseen toisistaan järjestelmän sisällä, mutta sitä ei saa esimerkiksi käyttää suoraan käyttäjätunnuksena tai salasanana.

Periaate 2. Käyttäjätunnukset ovat henkilökohtaisia.

Toteuttamisvinkkejä:

1. Yhteiskäyttöisiä käyttäjätunnuksia (esimerkiksi yhteiskäyttöinen Windows-tunnus) ei perusteta eikä saa käyttää kuin erikseen hyväksytyissä poikkeustapauksissa.
2. Käyttäjätunnus voidaan jäljittää luotettavasti henkilöön ja myös yhteiskäyttötunnuksilla ja nk. laite- tai tilaresurssitunnuksilla on aina omistaja tai vastuuhenkilö.
3. Käyttäjätunnuksiin ja laajemmin henkilöiden sähköisiin identiteetteihin liittyvät tiedot pidetään ajan tasalla. Esimerkiksi henkilön yhteystietojen ajantasaisuudesta eri järjestelmissä tulee huolehtia IAM-järjestelmällä tai muulla tavalla.
4. Käyttäjätunnukseen liitetyn rakenteen/tiedon/ominaisuuden avulla voidaan erotella ulkoiset ja sisäiset käyttäjät.
5. Tietojärjestelmissä pidetään yllä käyttäjärekisteriä.

Käyttöoikeuksien hallinta

Periaate 3. Käyttöoikeuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu.

Toteuttamisvinkkejä:

1. Käyttöoikeudet ovat henkilö- tai tehtäväroolikohtaisia.
2. Käyttöoikeuksien hallintaan (vähintään rooli tai käyttöoikeusryhmätasolla) on oltava sovittu prosessi.
3. Käyttöoikeuksille (esimerkiksi rooli- tai käyttöoikeusryhmätasoisesti) on nimetty omistajat.
4. Käyttöoikeudet myönnetään silloin, kun työtehtävät niin edellyttävät.
5. Käyttöoikeudet perustuvat palvelussuhteeseen tai muuhun kirjalliseen sopimukseen ja järjestelmien käyttö estetään teknisesti ilman tarpeetonta viivytystä perusteen päätyttyä.
6. Käyttöoikeuden välitön päättäminen tai passivointi on kuvattu prosessina, joka on dokumentoitu.
7. Kielletyt työ- ja rooliyhdistelmät on dokumentoitu ja oikeuksia myönnettäessä tai muutettaessa kiellettyjen yhdistelmien syntymistä seurataan ja ne estetään.
8. Vaarallisia työ- ja rooliyhdistelmiä seurataan ja niitä vältetään mahdollisuuksien mukaan.
9. Ylläpito-, pääkäyttäjä- ja hallintaoikeuksista ja niihin liittyvistä tehtävistä ohjeistetaan erillisellä määräyksellä tietojärjestelmien ylläpidosta.
10. Ostopalvelusopimuksissa on kirjattuna pakolliset vaatimukset käyttöoikeuksien hallintaan, identiteetin hallintaan ja ylläpitoon sekä niiden muutoksista ilmoittamiseen silloin kun ulkoiset käyttäjät käyttävät toimeksiantajan tietojärjestelmiä ja tai niiden tietoja.
11. Tavoitteena kannattaa pitää ratkaisua, jonka avulla voidaan anoa käyttöoikeudet sähköisesti ja käyttää enenevästi keskitettyä IAM-järjestelmää.
    1. Tämä tulee ottaa huomioon hankittaessa ja suunniteltaessa uusien tietojärjestelmien käyttöönottoa.
    2. Jo olemassa olevien järjestelmien kehityksessä pitää asia huomioida, jos niitä ei vielä ole liitetty keskitettyyn käyttövaltuushallintaan.

Periaate 4. Tietojärjestelmien käyttäjätunnukset ja käyttöoikeudet katselmoidaan vähintään kerran vuodessa ja tarpeettomat tunnukset, roolit ja oikeudet suljetaan tai poistetaan.

Toteuttamisvinkkejä:

1. Tietojärjestelmille on nimetty omistajataho. Tietojärjestelmän katselmoinnin tulos raportoidaan tietojärjestelmän omistajalle.
2. Tietojen ja tietojärjestelmien käyttöön liittyvät työroolit ja tehtävät pitää olla kuvattuna ja dokumentoituina.
3. Työroolien tai -tehtävien muuttuessa käyttöoikeudet pitää katselmoida ja tarvittaessa muuttaa vastaamaan tarpeita. Muutokset voivat johtua esimerkiksi lainsäädännöstä, joka edellyttää tietyissä työtehtävissä laajempia tai suppeampia käyttöoikeuksia tietoihin.
4. Käyttäjän ja esimiehen tulee yhteistyössä huolehtia siitä, että käyttöoikeudet päätetään silloin, kun työtehtävät eivät enää edellytä kyseisen tietojärjestelmän sisältämien tietojen käyttöä.

Käytönvalvonta

Periaate 5.: Tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytönvalvonnan sekä tietoverkkojen ja tietojärjestelmien asianmukaisilla ja riittävillä turvallisuusjärjestelyillä.

Toteuttamisvinkkejä:

1. Yksittäisen käyttäjän käyttöoikeudet voidaan selvittää tarvittaessa myös jälkikäteisesti.
2. Käyttöoikeuksien myöntöprosessista pitää jäädä jälki (lokitieto tai dokumentti), milloin ja millä perusteella käyttäjälle on myönnetty käyttöoikeus ja kuka sen on myöntänyt.
3. Käyttöoikeuksien muutosprosessista pitää jäädä jälki (lokitieto tai dokumentti), milloin ja millä perusteella käyttöoikeuksia on muutettu tai ne ovat poistettu ja kuka muutokset on tehnyt.
4. Järjestelmien tuottamiin käyttölokitietoihin saa olla pääsy ainoastaan henkilöillä, joiden työtehtäviin käyttölokien valvonta tai muu käsittely on sovittu.

Periaate 6. Käytön seurantaan ja valvontaan on laadittu kirjallinen suunnitelma, jota noudatetaan.

Toteuttamisvinkkejä:

1. Käytönvalvonta on organisoitu ja dokumentoitu ja tulokset raportoidaan tietotilinpäätöksessä.
2. Tietoturvan omavalvontasuunnitelma pitää olla laadittuna ja ajan tasalla (lakisääteinen sosiaali- ja terveyspalveluissa, muutenkin järkevä sektorista riippumatta laatia).
3. Käyttäjätunnusten (aktiivisten ja passiivisten) määrää seurataan ja siltä osin kuin kustannuksia aiheutuu tunnuspohjaisesti, tilastoidaan myös niistä aiheutuvia kustannuksia (esimerkiksi lisenssimaksuja).
4. Ylläpito-, pääkäyttäjä- ja hallintaoikeuksien määrää ja käyttöä kontrolloidaan tarkasti.

Tietoturva ja tietosuoja

Periaate 7. Tietojärjestelmien tietoturva- ja tietosuoja-asioista huolehtiminen muodostuu osaksi toimintakulttuuria.

Toteuttamisvinkkejä:

1. Noudatetaan organisaation tietoturvapolitiikkaa, johon jokaisen tietojärjestelmiä tai tietoja käyttävän pitää perehtyä.
2. Organisaation salassa pidettävien tietojen käyttäjiltä edellytetään ajanmukaisen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen hyväksyminen.
3. Tietojärjestelmissä käsiteltävien tietojen salassapito ja muu suoja varmistetaan antamalla käyttöoikeudet tarvittavassa laajuudessa vain niille henkilöille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekistereihin talletettuja henkilötietoja työtehtäviensä hoitamiseksi.
4. Kunnioitetaan työkavereiden sekä kansalaisten yksityisyyden suojaa.
5. Tietojärjestelmien ja tietojen väärinkäyttöön liittyviin epäilyihin luodaan ilmoituskanava/prosessi ja niihin reagoidaan nopeasti
6. Havaituista tietoturvallisuuden tai tietosuojan puutteista ja väärinkäytöksistä ilmoitetaan viivytyksettä järjestelmän vastuuhenkilöille, tukikeskukselle tai suoraan tietoturvan ja tietosuojan vastuuhenkilöille (kuten tietoturvapäällikkö, tietosuojavastaava).
7. Ymmärretään imagolliset asiat sekä se, että vahingon torjunta on halvempaa kuin sen korjaaminen.

Periaate 8. Teknisestä tietoturvasta huolehditaan suunnittelemalla ja toteuttamalla tietojärjestelmäratkaisut huolellisesti.

Toteuttamisvinkkejä:

1. Kunnilla uusien tietojärjestelmien käyttövaltuushallinta pitää määritellä ja toteuttaa kuntasektorin käyttövaltuushallinnan kulloinkin voimassa olevan viitearkkitehtuurin mukaisesti (versio 1.0 valmistui 2013).
2. Tietojärjestelmähankinnoissa pitää pakollisilla vaatimuksilla huolehtia riittävän korkeasta tietoturvatasosta ja noudattaa Eu:n tietosuoja-asetuksen periaatetta ”privacy by default” Huomionarvoisia asioita oat mm. tunnistautuminen, istunnon hallinta, käyttövaltuuksien hallinta ja tietojen suojaus. Tietojen tai toiminnan osalta kriittiset järjestelmät tulee auditoida tarpeen vaatiessa ja mieluiten ensimmäisen kerran ennen käyttöönottoa.
3. Tavoitteena kannattaa olla vahva tunnistautuminen tietokoneille (esimerkiksi toimikortilla) ja sen jälkeen keskitetysti hallittu kertakirjautuminen (SSO) sovelluksiin, jolloin käyttäjien ei tarvitse muistaa useita eri tunnuksia ja salasanoja.
4. Tietojärjestelmien salasanoja ei tallenneta eikä välitetä verkon yli selväkielisenä. Esimerkiksi www-pohjaisissa sovelluksissa pitää sisään kirjautuminen tehdä käyttäen salattua yhteyttä (yleensä https-protokollaa).
5. Kansalaiselle suunnatuissa sähköisissä palveluissa pitää olla käytössä vahva tunnistaminen, jos tietojärjestelmä palauttaa käyttäjälle salassa pidettäviä tietoja (keskeinen huomioitava asia esim. sosiaali- ja terveydenhuollon internetpalvelut).

Periaate 9. Tietojärjestelmien käyttöön, tietoturvaan ja salassapitoon liittyvät asiat perehdytetään käyttäjille.

Toteuttamisvinkkejä

1. Yleisen perehdytyksen yhteydessä on tietojen ja tietojärjestelmien käyttöoikeuksiin ja käyttöön liittyvät asiat perehdytettävä.
2. Työntekijät perehdytetään siihen, että he vastaavat käyttäjätunnuksiensa huolellisesta käytöstä ja että he eivät saa antaa käyttäjätunnustaan/salasanaansa toisen henkilön käyttöön.
3. Henkilöstölle annetaan ohjeet ja koulutusta sähköisten asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä. Annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti.